发布日期:2026-04-01 17:35 点击次数:150
央视网音问:3月11日,针对“龙虾”典型应用场景下的安全风险,工业和信息化部辘集安全羁系和破绽信息分享平台(NVDB)组织智能体提供商、破绽汇集平台运营单元、辘集安全企业等,询查冷漠“六要六不要”建议。
一、典型应用场景安全风险
(一)智能办公场景主要存在供应链袭击和企业内网渗入的杰出风险
1.场景描写:通过在企业里面部署“龙虾”,对接企业已有照看系统,终了智能化数据分析、文档处理、行政照看、财务扶直和常识照看等。
2.安全风险:引入卓越插件、“手段包”等激发供应链袭击;辘集安全风险在内网横向扩散,激发已对接的系统平台、数据库等明锐信息浮现或丢失;穷乏审计和细腻机制情况下易激发合规风险。
3.搪塞战术:孤苦网段部署,与要害分娩环境禁闭开动,谢却在里面辘集使用未审批的“龙虾”智能体终局;部署前进行充分安全测试,部署时接纳最小化权限授予,谢却非必要的跨网段、跨开发、跨系统考核;留存好意思满操作和开动日记,确保骄横审计等合规条件。
(二)开发运维场景主要存在系统开发明锐信息浮现和被劫持适度的杰出风险
1.场景描写:通过企业或个东说念主部署“龙虾”,将当然言语迁徙为可引申指示,扶直进行代码编写、代码开动、开发巡检、配置备份、系统监控、照看程度等。
2.安全风险:非授权引申系统敕令,开发遭辘集袭击劫持;系统账号和端口信息浮现,遭受外部袭击或口令爆破;辘集拓扑、账户口令、API接口等明锐信息浮现。
3.搪塞战术:幸免分娩环境平直部署使用,优先在捏造机或沙箱中开动;部署前进行充分安全测试,部署时接纳最小化权限授予,谢却授予照看员权限;建立高危敕令黑名单,蹙迫操作启用东说念主工审批机制。
(三)个东说念主助手场景主要存在个东说念主信息被窃和明锐信息浮现的杰出风险
1.场景描写:通过个东说念主即时通信软件等费力接入腹地化部署的“龙虾”,提供个东说念主信息照看、泛泛事务处理、数字金钱整理等,并可手脚常识学习和活命文娱助手。
2.安全风险:权限过高导致坏心读写、删除肆意文献;互联网接入情况下遭受辘集袭击入侵;通过领导词注入误引申危境敕令,以致领受智能体;明文存储密钥等导致个东说念主信息浮现或被窃取。
3.搪塞战术:加强权限照看,仅允许考核必要目次,谢却考核明锐目次;优先通过加密通说念接入,谢却非必要互联网考核,谢却高危操作指示或增多二次阐发;严格通过加密形势存储API密钥、配置文献、个东说念主蹙迫信息等。
(四)金融交游场景主要存在激发造作交游以致账户被领受的杰出风险
1.场景描写:通过企业或个东说念主部署“龙虾”,调用金融有关应用接口,进行自动化交游与风险适度,擢升量化交游、智能投研及金钱组合照看效果,终了商场数据握取、战术分析、交游指示引申等功能。
2.安全风险:缅思投毒导致造作交游,身份认证绕过导致账户被行恶领受;引入包含坏心代码的插件导致交游凭据被窃取;顶点情况下因穷乏熔断或救急机制,导致智能体失控常常下单等风险。
3.搪塞战术:实施辘集禁闭与最小权限,ag手机网页版 关闭非必要互联网端口;建立东说念主工复核和熔断救急机制,要害操作增多二次阐发;强化供应链审核,使用官方组件并按期种植破绽;落实全链路审计与安全监测,实时发现并处分安全风险。
二、安全使用建议
(一)使用官方最新版块。要从官方渠说念下载最新褂讪版块,并开启自动更新提醒;在升级前备份数据,升级后重启劳动并考证补丁是否顺利。不要使用第三方镜像版块或历史版块。
(二)严格适度互联网浮现面。要按期自查是否存在互联网浮现情况,一朝发现立即下线整改。不要将“龙虾”智能体实例浮现到互联网,确需互联网考核的不错使用SSH等加密通说念,并截至考核源地址,使用强密码或文凭、硬件密钥等认证形势。
(三)对峙最小权限原则。要根据业务需要授予完成任务必需的最小权限,对删除文献、发送数据、修改系统配置等蹙迫操作进行二次阐发或东说念主工审批。优先讨论在容器或捏造机中禁闭开动,造成孤苦的权限区域。不要在部署时使用照看员权限账号。
(四)严慎使用手段商场。要审慎下载ClawHub“手段包”,并在装配前审查手段包代码。不要使用条件“下载ZIP”、“引申shell剧本”或“输入密码”的手段包。
(五)注意社会工程学袭击和浏览器劫持。要使用浏览器沙箱、网页过滤器等彭胀随便可疑剧本,启用日记审计功能,遭逢可疑行径立即断开网关并重置密码。不要浏览来历不解的网站、点击目生的网页连气儿、读取不行信文档。
(六)建立长效注重机制。要按期检讨并修补破绽,实时关心OpenClaw官方安全公告、工业和信息化部辘集安全羁系和破绽信息分享平台等破绽库的风险预警。党政机关、企业绩单元和个东说念主用户不错吞并辘集安全注重器具、主流杀毒软件进行实时注重,实时处分可能存在的安全风险。不要禁用详备日记审计功能。
附录:部分安全基线及配置参考
一、智能体部署
创建OpenClaw私有效户,切勿使用sudo组:
sudo adduser --shell /bin/rbash --disabled-password clawuser
通过创建的私有效户登录操作系统。
创建受限的敕令目次,谢却rm、mv、dd、format、powershell等:
sudo mkdir -p /home/clawuser/bin
sudo ln -s /bin/ls /home/clawuser/bin/ls
sudo ln -s /bin/echo /home/clawuser/bin/echo
强制确立 PATH 并只读,如在 /etc/profile.d/restricted_clawuser.sh修改配置:
echo 'if [ "$USER" = "clawuser" ]; then export PATH=/home/clawuser/bin; readonly PATH; fi' | sudo tee /etc/profile.d/restricted_clawuser.sh
sudo chmod 644 /etc/profile.d/restricted_clawuser.sh
禁用root登录:
sudo sed -i 's/^#\\PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sudo systemctl restart sshd
二、截至互联网考核
(一)Linux劳动器配置
创建自界说链:
sudo iptables -N ALLOWED_IPS
添加允许的IP(IP地址为示例,操作时需替换为本色IP地址):
sudo iptables -A ALLOWED_IPS -s 192.168.1.100 -j ACCEPT
sudo iptables -A ALLOWED_IPS -s 10.0.0.5 -j ACCEPT
sudo iptables -A ALLOWED_IPS -s 172.24.57.160 -j ACCEPT
sudo iptables -A ALLOWED_IPS -j RETURN
应用到SSH端口:
sudo iptables -A INPUT -p tcp --dport 22 -j ALLOWED_IPS
sudo iptables -A INPUT -p tcp --dport 17477 -j ALLOWED_IPS
此外,可参考上述敕令关闭以下端口互联网考核或确立IP地址白名单:Telnet(23)、Windows文献分享(135、137、138、139、445)、Windows费力桌面(3389)、费力桌面适度(5900-5910)、数据库类端口(3306、5432、6379、27017)。
(二)VPN接入的情况下配置
将OpenClaw Gateway绑定127.0.0.1,切勿平直绑定到0.0.0.0。
关闭18789端口:
sudo ufw deny 18789
费力考核时强制使用VPN并启用Gateway认证(在openclaw.json中确立gateway.auth.mode: "token"及强令牌)。
三、开启详备日记
开启日记纪录:
openclaw gateway --log-level debug >> /var/log/openclaw.log 2>&1
四、文献系统考核适度
在Docker部署配置文献(docker-compose.yml)中,诳骗volumes参数将系统要害目次挂载为:ro(只读)容貌,仅保留特定的/workspace为可写景色。
在宿主机系统层,通过chmod 700指示对深邃数据目次实施强制考核适度:
sudo chmod 700 /path/to/your/workspace
五、第三方手段审查
装配前引申手段审查敕令:
openclaw skills info
并审查~/.openclaw/skills//SKILL.md文献,阐发无坏心指示(如curl、bash)。
优先采用内置55个Skill或社区精选列表(如awesome-openclaw-skills)。
六、安全自检
按期开动安全审计敕令:
openclaw security audit
针对审计发现的安全隐患,如网关认证浮现、浏览器适度浮现等,实时按照上述安全基线及配置参考、官方手册等进行处分。
七、更新版块
开动版块更新敕令:
openclaw update
八、卸载
大开终局,引申删除敕令:
openclaw uninstall
使用鼠标高下移动光标,按空格键勾选所有这个词选项,然后按回车键阐发。
聘用yes并按回车,此敕令会自动删除OpenClaw的职责目次。
卸载npm包:
1. 使用npm装配openclaw对应卸载敕令:
npm rm -g openclaw
2. 如若使用pnpm装配openclaw对应卸载敕令:
pnpm remove -g openclaw
3. 如若使用bun装配openclaw对应卸载敕令:
bun remove -g openclawAG中国手机官方网页版
澳洲幸运5官方网站
备案号: