近期，开源AI智能体OpenClaw（网友俗称“龙虾”）持续走红，全网掀起“养龙虾”热潮，国内主流云平台也纷纷推出一键部署服务。然而热潮背后，安全隐患悄然浮现，监管部门已多次发布安全提醒。3月11日晚，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）针对性发布防范OpenClaw安全风险的“六要六不要”建议，为各类用户筑牢安全防线。
　　据悉，该建议由NVDB组织智能体提供商、漏洞收集平台运营单位、网络安全企业等多方研究制定，重点聚焦OpenClaw四大典型应用场景的突出风险。其中，智能办公场景易遭遇供应链攻击和企业内网渗透，开发运维场景存在系统设备敏感信息泄露、被劫持控制的风险，个人助手场景可能出现个人信息被窃、敏感信息泄露问题，金融交易场景则面临引发错误交易、账户被接管的安全隐患。
　　针对这些风险，工信部明确提出“六要六不要”具体要求。首先要使用官方最新版本，从官方渠道下载稳定版本并开启自动更新提醒，升级前备份数据、升级后验证补丁生效，切勿使用第三方镜像或历史版本。其次要严格控制互联网暴露面，定期自查暴露情况并及时整改，不随意将智能体实例暴露在互联网，确需访问可通过SSH等加密通道，限制访问源地址并采用强认证方式。
　　同时，需坚持最小权限原则，根据业务需求授予必需的最小权限，对删除文件、修改系统配置等重要操作进行二次确认或人工审批，优先在容器或虚拟机中隔离运行，杜绝使用管理员权限账号部署。此外，要谨慎使用技能市场，审慎下载ClawHub“技能包”并提前审查代码，拒绝使用要求“下载ZIP”“执行shell脚本”或“输入密码”的技能包。
　　在防范攻击方面，要做好社会工程学攻击和浏览器劫持防护，借助浏览器沙箱、网页过滤器阻止可疑脚本，启用日志审计功能，遇到可疑行为立即断开网关并重置密码，不浏览不明网站、不点击陌生链接、不读取不可信文档。最后，要建立长效防护机制，定期检查修补漏洞，关注官方及NVDB等平台的风险预警，党政机关、企事业单位和个人用户可结合安全防护工具、杀毒软件实时防护，切勿禁用详细日志审计功能。
　　除工信部外，国家互联网应急中心此前也发布风险提示，指出Open⁃Claw因支持自然语言操控计算机广受关注，但该软件需较高系统权限，且默认安全配置薄弱，已被曝出严重安全隐患，攻击者可借此轻易获取系统完全控制权。
　　目前，OpenClaw已确认四类核心风险：提示词注入风险可能导致系统密钥泄露，误操作风险或造成核心数据丢失，插件投毒风险会使设备沦为“肉鸡”，多个高中危漏洞则直接威胁个人敏感信息及关键行业业务安全。对此，安全专家建议，相关单位和个人需优化网络配置、加强凭证管理，严格审核插件来源，禁用自动更新功能，仅安装经签名验证的扩展程序，及时部署安全补丁，防范各类安全风险。 记者 李广智