工信部發布關於防範OpenClaw（”龍蝦”）開源智能體安全風險的”六要六不要”建議

安全風險概述

工業和信息化部網絡安全威脅和漏洞信息共享平臺（NVDB）針對OpenClaw（”龍蝦”）開源AI智能體在典型應用場景下的安全風險，發佈預警提示，並提出”六要六不要”防範建議。儘管該智能體已更新至最新版本並修復部分已知漏洞，但專家指出，不意味著完全消除安全風險。

典型應用場景與風險

在金融交易場景中，存在引發錯誤交易甚至賬戶被接管的突出風險。通過企業或個人部署”龍蝦”，調用金融相關應用接口，進行自動化交易與風險控制，可能造成市場數據抓取、策略分析、交易指令執行等功能失控。

應對策略

• 實施網絡隔離與最小權限：部署時應確保網絡隔離，僅授予必要權限，關閉非必要的互聯網端口。
• 建立人工複核和熔斷應急機制：關鍵操作需增加二次確認，建立熔斷機制以應對異常行為。
• 強化供應鏈審核：優先使用官方組件，定期修復已知漏洞，確保軟件供應鏈安全。
• 落實全鏈路審計與安全監測：持續監控系統運行狀態，及時發現並處置潛在安全風險。
• 完善身份認證與訪問控制：加強身份認證機制，確保訪問控制與數據加密措施到位。
• 持續關注官方安全公告：用戶與企業應持續關注官方發佈的安全更新與風險提示，及時進行系統加固。

專家建議與提醒

專家建議相關單位和用戶在部署與應用”龍蝦”智能體時，充分核查公網暴露情況、權限配置及憑證管理，避免因不當配置導致安全事件發生。

來源：https://www.panewslab.com/zh/articles/019cdcb9-1c6f-7342-9a92-00d4ebd8e1b7