针对“龙虾”智能体的网络安全建议 - 使用官方最新版本 应从官方渠道下载最新稳定版本并开启自动更新 升级前需备份数据 升级后需重启服务并验证补丁 禁止使用第三方镜像或历史版本 [2] - 严格控制互联网暴露面 应定期自查互联网暴露情况并立即下线整改 禁止将智能体实例直接暴露于互联网 确需访问应使用SSH等加密通道并限制访问源地址 采用强密码或证书等认证方式 [2] - 坚持最小权限原则 应根据业务需要授予最小权限 对删除文件、发送数据等关键操作进行二次确认或人工审批 优先考虑在容器或虚拟机中隔离运行 禁止在部署时使用管理员权限账号 [2] - 谨慎使用技能市场 应审慎下载ClawHub“技能包”并在安装前审查代码 禁止使用要求“下载ZIP”、“执行shell脚本”或“输入密码”的技能包 [2] - 防范社会工程学攻击和浏览器劫持 应使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本并启用日志审计 遇到可疑行为立即断开网关并重置密码 禁止浏览来历不明网站、点击陌生链接或读取不可信文档 [3] - 建立长效防护机制 应定期检查并修补漏洞 及时关注OpenClaw官方安全公告及工信部漏洞共享平台等风险预警 结合网络安全防护工具及杀毒软件进行实时防护 禁止禁用详细日志审计功能 [3]

文章核心观点 - 工业和信息化部网络安全威胁和漏洞信息共享平台针对“龙虾”智能体的典型应用场景，联合行业各方提出了“六要六不要”安全建议，旨在指导用户防范安全风险并建立长效防护机制 [1][2] 根据相关目录分别进行总结 使用官方最新版本 - 要从官方渠道下载最新稳定版本并开启自动更新提醒，升级前需备份数据，升级后需重启服务并验证补丁生效情况 [1] - 不要使用第三方镜像版本或历史版本 [1] 严格控制互联网暴露面 - 要定期自查互联网暴露情况，发现后立即下线整改，确需互联网访问时应使用SSH等加密通道并限制访问源地址，采用强密码、证书或硬件密钥认证 [1] - 不要将“龙虾”智能体实例暴露到互联网 [1] 坚持最小权限原则 - 要根据业务需要授予完成任务必需的最小权限，对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批，优先考虑在容器或虚拟机中隔离运行以形成独立权限区域 [1] - 不要在部署时使用管理员权限账号 [1] 谨慎使用技能市场 - 要审慎下载ClawHub“技能包”并在安装前审查技能包代码 [1] - 不要使用要求“下载ZIP”、“执行shell脚本”或“输入密码”的技能包 [1] 防范社会工程学攻击和浏览器劫持 - 要使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本，启用日志审计功能，遇到可疑行为立即断开网关并重置密码 [2] - 不要浏览来历不明的网站、点击陌生的网页链接、读取不可信文档 [2] 建立长效防护机制 - 要定期检查并修补漏洞，及时关注OpenClaw官方安全公告及工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警，党政机关、企事业单位和个人用户可结合网络安全防护工具及主流杀毒软件进行实时防护并及时处置安全风险 [2] - 不要禁用详细日志审计功能 [2]