【官方发布:开源智能体“龙虾”(OpenClaw)存在重大安全风险!】AI安全预警 工信部网络安全威胁和漏洞信息共享平台(NVDB)今日紧急发布“六要六不要”建议,针对“龙虾”在办公、开发、个人、金融四大场景的风险敲响警钟!
🚨四大场景致命风险1️⃣ 智能办公:恶意插件引发供应链攻击,可横向渗透内网,致敏数据大泄露2️⃣ 开发运维:非授权执行系统命令,服务器变“肉鸡”,网络拓扑、账号口令全曝光3️⃣ 个人助手:权限过高致文件被删,提示词注入可接管智能体,密钥明文存储4️⃣ 金融交易:记忆投毒致错误交易,账户被非法接管,无熔断机制可致程序化崩溃
⚠️“六要六不要”核心守则✅要:只从官方渠道下载最新版❌不要:用第三方镜像或历史版本
✅要:严格隐藏内网,用SSH加密通道❌不要:把实例暴露在公网
✅要:给最小权限,用容器隔离运行❌不要:用管理员账号部署
✅要:审查ClawHub技能包代码❌不要:装要求输密码或执行脚本的技能
✅要:用浏览器沙箱,遇可疑行为断网❌不要:点不明链接或读不可信文档
✅要:定期审计漏洞,开启详细日志❌不要:关闭日志审计功能
🛡️技术配置快照
专设用户:创建clawuser,禁用sudo、rm等高危命令
IP白名单:用iptables锁死SSH端口,只放行业务IP
文件只读:Docker挂载关键目录为:ro模式
自检命令:定期执行openclaw security audit
AI智能体是把双刃剑,安全意识必须跑在能力前面!扩散周知🔁
