工信部网络安全漏洞威胁信息共享平台发布“六做六不”建议,防范OpenClaw开源代理(“Lobster”)安全风险。针对“龙虾”典型应用场景中的安全风险,工业和信息化部网络安全漏洞威胁信息共享平台(NVDB)组织情报提供者、漏洞采集平台运营部门、网络安全企业等研究并提出“六件事做、六件事不做”建议。 (1) 请使用官方最新版本。从官方渠道下载最新稳定版本并开启自动更新提醒。更新前先备份数据,更新后重启服务,检查补丁是否有效。避免使用第三方或旧版本的 i法师。 (二)严格控制网络暴露。您应该定期检查自己是否接触过互联网,如果发现任何情况,您应该立即断开连接并解决它们。不要将“Lobster”代理的实例暴露到 Internet。如果确实需要访问 Internet,可以使用 SSH 等加密通道、限制对源地址的访问、使用密码以及证书和硬件密钥等强身份验证方法。 (3)尊重最小特权原则。根据业务需求授予完成任务所需的最低权限,并要求对删除文件、发送数据或更改系统配置设置等关键操作进行二次确认或手动批准。它更喜欢在容器或虚拟机内隔离运行,形成独立的权限范围。安装过程中请勿使用具有管理员权限的帐户。 (四)使用技能市场需谨慎。从 ClawHub 下载“技能包”时要小心,并在安装之前检查技能包代码。 “下载 ZIP”、“Shell”不要使用需要运行脚本或输入密码的技能包。 (5)防止社会工程攻击和浏览器劫持。使用浏览器沙箱和 Web 过滤器等扩展程序来阻止可疑脚本、启用日志审核,并在发现可疑行为时立即使网关脱机并重置密码。避免访问来源不明的网站、点击未知的网页链接以及阅读不受信任的文档。 (六)建立长效保障机制。应定期检查和修补漏洞,及时关注OpenClaw官方安全公告、工信部网络安全威胁与漏洞信息共享平台等漏洞库的风险预警。政府及党机关、企业企业、机构和个人用户可以利用网络安全防护工具和常规杀毒软件实现实时防护,及时应对潜在的安全风险。不要禁用详细日志审核。来源:央视新闻
Leave a Reply