最近,一个名叫“龙虾”的智能体被发现有安全风险,为了应对这个问题,工业和信息化部发布了一些建议。这个智能体是个开源项目,名字叫OpenClaw。它在很多场景下被使用,比如企业内部办公、开发运维、个人助手还有金融交易等。针对这些场景,工信部和NVDB平台把“龙虾”安全风险的应对策略整理成了“六要六不要”。他们请了不少智能体提供商、漏洞收集平台还有网络安全公司来研究,最后给出了建议。 这个“六要六不要”里面主要讲了四个典型应用场景的安全风险。首先是智能办公场景,主要问题在于供应链攻击和企业内网渗透。企业内部部署“龙虾”后,跟管理系统对接实现智能化数据分析和文档处理这些功能。但引入异常插件或者技能包可能引发供应链攻击,还会让敏感信息泄露或者丢失。应对策略是把“龙虾”部署在独立网段,跟关键生产环境隔离运行,禁止内部使用未审批的“龙虾”终端。 其次是开发运维场景,主要风险是系统设备敏感信息泄露和被劫持控制。通过自然语言转换指令辅助代码编写或者设备巡检时容易出现这种问题。应对策略是避免直接在生产环境部署使用,优先用虚拟机或沙箱运行,权限最小化授予。 接下来是个人助手场景,主要问题是个人信息被窃和敏感信息泄露。通过即时通讯软件接入本地化部署的“龙虾”,提供个人信息管理和日常事务处理等功能时容易中招。应对策略是加强权限管理,仅允许访问必要目录并禁止敏感目录访问。 最后是金融交易场景,主要风险是引发错误交易甚至账户被接管。通过调用金融相关接口进行自动化交易时要小心记忆投毒或者身份认证绕过导致账户被非法接管。应对策略是实施网络隔离与最小权限还有熔断应急机制。 除了这四个场景外还有一些安全使用建议:首先要使用官方最新版本,不要用第三方镜像版本或历史版本;严格控制互联网暴露面;坚持最小权限原则;谨慎使用技能市场;防范社会工程学攻击和浏览器劫持;建立长效防护机制。 在这次安全建议里提到了IT之家、工业和信息化部、NVDB平台、SSH、ZIP、ClawHub、OpenClaw还有API这些关键词。这些信息都是为了让大家更好地防范“龙虾”智能体带来的安全风险。大家要记得遵守这些建议哦!