警惕“龙虾”出没!面对智能ai工具,工信部发布“六要六不要”,企业部署智能体前必看!

警惕“龙虾”出没!面对智能ai工具,工信部发布“六要六不要”,企业部署智能体前必看!

01

开源AI工具OpenClaw使用风险高企，这份安全指南助您守好数字资产

各位京津冀的企业家、金融科技从业者和关注数智转型的朋友们，近日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）发布了一份重要的安全建议，专门针对当前热门的开源智能体（AI Agent）—— OpenClaw（俗称“龙虾”） 。随着AI技术加速融入企业管理、研发乃至个人工作流，其伴生的安全风险也日益凸显。

为了帮助河北及全国的企业和个人用户安全、合规地使用这类强大工具，避免因“智能”而“致损”，我们特别提炼了官方的核心安全建议，即“ 六要六不要 ”，并结合典型场景进行解读，供您参考。

02

风险无处不在：四大典型场景敲响警钟

官方指出，“龙虾”在带来效率革命的同时，在以下场景中存在突出风险：

• 智能办公场景：可能导致供应链攻击，并成为风险在企业内网扩散的跳板，严重威胁公司核心数据和系统安全。

• 开发运维场景：可能导致服务器、数据库的敏感信息（如账号、拓扑）泄露，甚至整个系统被攻击者劫持控制。

• 个人助手场景：权限管理不当易导致个人隐私文件、数字资产被恶意读取或窃取，互联网接入更增加了被入侵风险。

• 金融交易场景：风险极高！可能引发自动化错误交易、账户被非法接管，在缺乏熔断机制时甚至可能造成失控的频繁下单。

03

核心防护指南：“六要六不要”安全使用建议

面对风险，关键在于建立正确的使用习惯和安全屏障。以下是工信部提出的具体行动指南：

1. 一要：使用官方最新版本，及时更新。一不要：使用来路不明的第三方镜像或陈旧的历史版本。
2. 二要：严格控制互联网暴露面，非必要不公开。二不要：将“龙虾”智能体实例直接暴露在公网上。确需远程访问，务必使用SSH等加密通道，并严格限制访问源。
3. 三要：坚持最小权限原则，能不给的权限坚决不给。三不要：使用管理员权限（root/Administrator） 账号来部署和运行智能体。建议在虚拟机或容器中隔离运行。
4. 四要：谨慎使用技能市场（如ClawHub），对“技能包”保持警惕，安装前审阅代码。四不要：安装任何要求你“下载ZIP压缩包”、“执行Shell脚本”或“输入密码”的可疑技能包。
5. 五要：防范社会工程学攻击，为浏览器安装沙箱、过滤器等安全扩展，并启用日志审计。五不要：随意点击陌生链接、浏览不明网站或打开不可信文档，以防提示词注入或浏览器劫持。
6. 六要：建立长效防护机制，定期修补漏洞，关注工信部NVDB平台及官方安全公告，并配合使用主流安全软件。
   六不要：禁用系统的详细日志审计功能，这是事后追溯和定责的关键。

04

河北企融智库提示

在数字化、智能化浪潮中，效率提升与安全保障必须“双轮驱动”。尤其是对于处理敏感金融数据、企业核心知识产权的机构而言，部署任何AI工具前，务必进行充分的安全评估与测试。

“龙虾”虽好，安全第一。请务必将这“六要六不要”作为企业内部技术管理和员工安全培训的必修课，共同筑牢京津冀地区数字经济发展的安全底座。

来源 ：根据工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）发布的《关于防范OpenClaw（“龙虾”）开源智能体安全风险的“六要六不要”建议》整理。

转发周知，防范风险！