网易首页 > 网易号 > 正文 申请入驻

工信部提醒开源智能体应“六要六不要”

0
分享至

全网掀起“养龙虾”热潮,与之相对的是,监管部门已多次发布安全提醒。3月11日晚,工业和信息化部网络安全威胁和漏洞信息共享平台发布关于防范OpenClaw(“龙虾”)开源智能体安全风险的“六要六不要”建议。其中,工信部明确四大典型应用场景安全风险,智能办公场景主要存在供应链攻击和企业内网渗透的突出风险,开发运维场景主要存在系统设备敏感信息泄露和被劫持控制的突出风险,个人助手场景主要存在个人信息被窃和敏感信息泄露的突出风险,金融交易场景主要存在引发错误交易甚至账户被接管的突出风险。对此,工信部建议,使用官方最新版本,严格控制互联网暴露面,坚持最小权限原则,谨慎使用技能市场,防范社会工程学攻击和浏览器劫持,建立长效防护机制。


最新提醒

3月11日,工业和信息化部网络安全威胁和漏洞信息共享平台发布关于防范OpenClaw(“龙虾”)开源智能体安全风险的“六要六不要”建议。针对“龙虾”典型应用场景下的安全风险,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)组织智能体提供商、漏洞收集平台运营单位、网络安全企业等,研究提出“六要六不要”建议。

其中,工信部建议,首先要使用官方最新版本。要从官方渠道下载最新稳定版本,并开启自动更新提醒;在升级前备份数据,升级后重启服务并验证补丁是否生效。不要使用第三方镜像版本或历史版本。

其次,要严格控制互联网暴露面。要定期自查是否存在互联网暴露情况,一旦发现立即下线整改。不要将“龙虾”智能体实例暴露到互联网,确需互联网访问的可以使用SSH等加密通道,并限制访问源地址,使用强密码或证书、硬件密钥等认证方式。

同时,要坚持最小权限原则。要根据业务需要授予完成任务必需的最小权限,对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。优先考虑在容器或虚拟机中隔离运行,形成独立的权限区域。不要在部署时使用管理员权限账号。

此外,要谨慎使用技能市场。要审慎下载ClawHub“技能包”,并在安装前审查技能包代码。不要使用要求“下载ZIP”“执行shell脚本”或“输入密码”的技能包。

另外,要防范社会工程学攻击和浏览器劫持。要使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本,启用日志审计功能,遇到可疑行为立即断开网关并重置密码。不要浏览来历不明的网站、点击陌生的网页链接、读取不可信文档。

最后,要建立长效防护机制。要定期检查并修补漏洞,及时关注OpenClaw官方安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警。对于党政机关、企事业单位和个人用户可以结合网络安全防护工具、主流杀毒软件进行实时防护,及时处置可能存在的安全风险。需要注意的是,不要禁用详细日志审计功能。

多个漏洞

不仅工信部发文提示,日前国家互联网应急中心发布的《关于OpenClaw安全应用的风险提示》指出,近期,AI智能体应用OpenClaw(曾用名Clawdbot、Moltbot)因支持自然语言操控计算机而受到广泛关注,并获国内主流云平台一键部署支持。然而,由于该软件运行需要包括访问本地文件系统、调用外部API等较高系统权限,加之其默认安全配置薄弱,目前已被曝出存在严重安全隐患,攻击者利用这些缺陷可轻易获取系统完全控制权。

针对OpenClaw的不当部署与使用,目前已确认四类核心风险。首先是提示词注入风险,攻击者可通过网页暗藏恶意指令,诱导软件泄露用户系统密钥;其次为误操作风险,软件在错误解析用户意图时,可能直接彻底删除电子邮件及核心生产数据;第三是插件投毒风险,目前已发现多个适用于该应用的恶意扩展程序,安装后可执行窃取凭证或部署木马后门等操作,导致设备沦为“肉鸡”;最后是严重的安全漏洞风险,该应用已被公开披露多个高中危漏洞,直接威胁个人用户的支付账户、隐私文档等敏感信息,甚至可能导致金融、能源等关键行业发生代码仓库泄露或业务系统瘫痪。

鉴于潜在的严重损失,安全专家建议相关部署单位与个人采取严格的安全防护策略。在网络配置层面,必须避免将默认管理端口直接暴露于公网,同时利用容器技术隔离运行环境以限制其过高的权限。在凭证管理方面,严禁在环境变量中明文存储密钥,并需建立完整的操作日志审计机制。

此外,用户应严格审核插件来源,禁用自动更新功能,仅安装经签名验证的扩展程序,并持续关注官方通报及时部署安全补丁与版本更新。

集体下跌

3月11日,OpenClaw概念股集体回调。A股方面,博睿数据一度跌逾12%,尾盘跌幅收窄至8.75%,该股前两个交易日分别大涨20%、16.40%;昆仑万维、顺网科技、美格智能等纷纷跟跌。

港股方面,被称为“龙虾”三兄弟的迅策午后持续下探,截至收盘跌8.19%;Mini Max、智谱收盘均跌逾6%。

3月10日晚,博睿数据披露股票交易异常波动公告称,公司主要为企业级客户的IT运维管理提供应用性能管理及可观测性解决方案。OpenClaw是开源AI智能体执行框架,公司目前对此类技术尚无监控方案和产品,未形成商业化应用,也未形成收入,对公司目前业务不构成影响。

优刻得也披露股票交易异常波动公告称,公司搭载OpenClaw镜像的轻量云主机产品尚未形成规模化的产品体系,技术迭代及商业化进展可能不及预期。目前相关业务尚未形成稳定、可持续的收入来源,收入占比极低,未来产品的收入规模、盈利水平及现金流贡献存在高度不确定性,短期内对公司整体经营业绩影响有限。

该公司还提醒,OpenClaw等自主AI智能体框架目前处于早期发展阶段,其未来市场空间、技术稳定性、数据安全性等方面存在不确定性,并且有多家云服务商上线了类似产品,公司面临较大的市场竞争,相关产品对公司未来的业绩贡献存在较高不确定性。

OpenClaw是一款开源、本地优先的AI Agent框架。区别于ChatGPT、豆包等传统对话式AI,核心特质是“能听懂指令、能动手执行”。

谈及“龙虾”为何爆火,浦银国际首席科技分析师赵丹表示,OpenClaw的应用热潮,标志着AI产业正式从“对话式交互”向“行动式交互”转型,打破了传统AI“只说不做”的局限,推动AI从“辅助工具”升级为“执行主体”。它完成了AI角色从“提供建议”到“交付结果”的根本性跨越,让AI真正成为能融入工作流的“数字员工”。另外,它极大地降低了AI自动化的使用门槛,使个人和小团队也能以极低成本构建专属的自动化工作流,催生新型工作模式。

不过,赵丹认为,安全是目前最大的瓶颈。Open-Claw默认的高权限运行模式与模糊的信任边界,使其极易被恶意利用;官方技能市场ClawHub存在严重的供应链安全问题,大量恶意技能可窃取凭证、植入木马;提示词注入成为AI原生威胁,可通过网页、邮件等载体诱导AI执行越权操作。

北京商报综合报道

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
刚刚,证监会发布:再融资新规来了!利好哪些板块?下周行情预测

刚刚,证监会发布:再融资新规来了!利好哪些板块?下周行情预测

虎哥闲聊
2026-07-04 08:28:35
中央再发铁令!领导干部出现这15种情形 , 将不能再担任现职!

中央再发铁令!领导干部出现这15种情形 , 将不能再担任现职!

细说职场
2026-07-03 18:18:55
山海经里面唯一不敢记载的妖怪,曾预言人类修炼飞升的唯一途径

山海经里面唯一不敢记载的妖怪,曾预言人类修炼飞升的唯一途径

掠影后有感
2026-07-03 10:13:52
格林:人们并不了解詹姆斯的影响力,湖人下赛季会感受到这一点

格林:人们并不了解詹姆斯的影响力,湖人下赛季会感受到这一点

懂球帝
2026-07-04 08:22:16
欧洲发出哀叹:中国的发展,让发达国家变得“猪狗不如”

欧洲发出哀叹:中国的发展,让发达国家变得“猪狗不如”

流史岁月
2026-07-02 15:10:04
阿根廷淘汰佛得角!赛后收4好2坏消息!沃齐尼亚间接的帮助了梅西

阿根廷淘汰佛得角!赛后收4好2坏消息!沃齐尼亚间接的帮助了梅西

小彭美识
2026-07-04 09:34:11
九华山美女道士,靠身体施法“日进斗金”,8个男徒弟曝光内幕

九华山美女道士,靠身体施法“日进斗金”,8个男徒弟曝光内幕

苏大强专栏
2025-05-08 15:16:18
比新生儿数量跌破800万更可怕的,是生出来的男孩越来越多了!

比新生儿数量跌破800万更可怕的,是生出来的男孩越来越多了!

夏至陌离殇
2026-06-17 01:57:20
梅西单刀被扑出!40岁佛得角门将2次阻挡梅西必进球 球王抱头无奈

梅西单刀被扑出!40岁佛得角门将2次阻挡梅西必进球 球王抱头无奈

风过乡
2026-07-04 07:44:13
终于是清楚了,为何各地被要求“老破小”加装电梯,目的十分明确

终于是清楚了,为何各地被要求“老破小”加装电梯,目的十分明确

混沌录
2026-07-02 19:52:10
俄总统新闻秘书:普京宣布俄军“完全解放”卢甘斯克

俄总统新闻秘书:普京宣布俄军“完全解放”卢甘斯克

环球网资讯
2026-07-04 06:15:06
马斯克被曝卷入多人关系,太炸裂了

马斯克被曝卷入多人关系,太炸裂了

新浪财经
2026-07-03 19:26:35
女子6.8万装爬楼机供全楼免费使用,邻居全抵制:楼道只剩67厘米

女子6.8万装爬楼机供全楼免费使用,邻居全抵制:楼道只剩67厘米

听心堂
2026-07-03 18:19:38
前无古人!39岁梅西封神,20球+9助攻历史第1,解锁N项世界杯纪录

前无古人!39岁梅西封神,20球+9助攻历史第1,解锁N项世界杯纪录

萌兰聊个球
2026-07-04 08:49:28
你被骗了几十年!地球不是飘在太空,它已经往下掉了46亿年

你被骗了几十年!地球不是飘在太空,它已经往下掉了46亿年

观察宇宙
2026-07-03 17:52:58
山姆被吐槽“双标”“吃相难看”!女子抢在涨价前买MacBook,结果被取消订单……消费者:山姆“砍单”不是第一次了

山姆被吐槽“双标”“吃相难看”!女子抢在涨价前买MacBook,结果被取消订单……消费者:山姆“砍单”不是第一次了

大风新闻
2026-07-03 20:49:04
收割腾讯10年!房东一次贪心,亏掉几百亿家底

收割腾讯10年!房东一次贪心,亏掉几百亿家底

流苏晚晴
2026-07-02 20:05:44
梅西人太好了!进16强后先安慰对手,1场造3球+推射破门创6纪录

梅西人太好了!进16强后先安慰对手,1场造3球+推射破门创6纪录

体育知多少
2026-07-04 09:17:55
独家:阿里全面禁用Claude

独家:阿里全面禁用Claude

智东西
2026-07-03 13:40:26
别被降价蒙蔽双眼!理想、蔚来、小鹏集体换二线电池,真相扎心了

别被降价蒙蔽双眼!理想、蔚来、小鹏集体换二线电池,真相扎心了

趣味萌宠的日常
2026-07-02 14:21:33
2026-07-04 11:07:00
北京商报 incentive-icons
北京商报
北京商报社隶属于中共北京市委宣传部,由北京日报报业集团主管主办
287305文章数 300128关注度
往期回顾 全部

科技要闻

iPhone 18 Pro泄密影响恶劣,印度调查塔塔

头条要闻

佛得角主教练回应被绝杀 坦言“完全可以站着离开”

头条要闻

佛得角主教练回应被绝杀 坦言“完全可以站着离开”

体育要闻

今夏最动人告别!世界从此记住佛得角

娱乐要闻

最富女歌手霉霉完婚 在纽约设宴庆贺

财经要闻

韩国股市杠杆失控:450亿美元资金狂飙

汽车要闻

方程豹钛9内饰曝光 用上了长联屏设计/下半年上市

态度原创

艺术
数码
亲子
家居
时尚

艺术要闻

这位女子,在画坛默默无闻,作品清新质朴

数码要闻

华硕ROG预热新款游戏手柄控制器,号称“性能颜值双升级”

亲子要闻

保护孩子从来不是小题大做(cr小明有俩娃)

家居要闻

传奇筑 日常诗

裙子+玛丽珍鞋、背心+阔腿裤,今年夏天最流行搭配,谁穿谁好看!

无障碍浏览 进入关怀版