工业和信息化部发布“龙虾”应用场景安全风险及使用建议
3月11日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)针对“龙虾”典型应用场景下的安全风险,组织相关单位研究提出“六要六不要”建议,以提高安全性。
典型应用场景安全风险
| 场景 | 描述 | 安全风险 | 应对策略 |
|---|---|---|---|
| 智能办公 | 企业内部部署“龙虾”,实现智能化数据分析等。 | 供应链攻击、内网渗透、敏感信息泄露。 | 独立网段部署、安全测试、最小权限授予。 |
| 开发运维 | 部署“龙虾”辅助代码编写、系统监控等。 | 系统设备敏感信息泄露、被劫持控制。 | 虚拟机或沙箱运行、安全测试、最小权限授予。 |
| 个人助手 | 个人部署“龙虾”,提供信息管理、事务处理等。 | 个人信息被窃、敏感信息泄露。 | 权限管理、加密通道接入、加密存储信息。 |
| 金融交易 | 部署“龙虾”进行自动化交易与风险控制。 | 错误交易、账户被接管、交易凭证被窃取。 | 网络隔离、人工复核、供应链审核、全链路审计。 |
安全使用建议
使用官方最新版本:从官方渠道下载最新稳定版本,开启自动更新提醒,升级前备份数据,升级后重启服务并验证补丁是否生效。
严格控制互联网暴露面:定期自查互联网暴露情况,一旦发现立即下线整改,使用SSH等加密通道,并限制访问源地址。
坚持最小权限原则:根据业务需要授予最小权限,对重要操作进行二次确认或人工审批,优先考虑在容器或虚拟机中隔离运行。
谨慎使用技能市场:审慎下载ClawHub“技能包”,并在安装前审查技能包代码。
防范社会工程学攻击和浏览器劫持:使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本,启用日志审计功能。
建立长效防护机制:定期检查并修补漏洞,关注OpenClaw官方安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警。
