工信部：使用“龍蝦”六要六不要防范開源智能體風險

小大

用微信掃描二維碼
分享至好友和朋友圈

關鍵詞：

2026-03-12 12:31:02 環(huán)球網

關于防范OpenClaw（“龍蝦”）開源智能體安全風險的建議

針對“龍蝦”典型應用場景下的安全風險，工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺組織智能體提供商、漏洞收集平臺運營單位、網絡安全企業(yè)等，研究提出以下建議。

在智能辦公場景中，通過在企業(yè)內部部署“龍蝦”，對接企業(yè)已有管理系統(tǒng)，實現(xiàn)智能化數(shù)據分析、文檔處理、行政管理、財務輔助和知識管理等功能。引入異常插件、“技能包”等可能引發(fā)供應鏈攻擊；網絡安全風險在內網橫向擴散，可能導致已對接的系統(tǒng)平臺、數(shù)據庫等敏感信息泄露或丟失；缺乏審計和追溯機制情況下易引發(fā)合規(guī)風險。應對策略包括獨立網段部署，與關鍵生產環(huán)境隔離運行，禁止在內部網絡使用未審批的“龍蝦”智能體終端；部署前進行充分安全測試，部署時采取最小化權限授予，禁止非必要的跨網段、跨設備、跨系統(tǒng)訪問；留存完整操作和運行日志，確保滿足審計等合規(guī)要求。

在開發(fā)運維場景中，通過企業(yè)或個人部署“龍蝦”，將自然語言轉化為可執(zhí)行指令，輔助進行代碼編寫、代碼運行、設備巡檢、配置備份、系統(tǒng)監(jiān)控、管理進程等工作。非授權執(zhí)行系統(tǒng)命令可能導致設備遭網絡攻擊劫持；系統(tǒng)賬號和端口信息暴露可能遭受外部攻擊或口令爆破；網絡拓撲、賬戶口令、API接口等敏感信息泄露。應避免生產環(huán)境直接部署使用，優(yōu)先在虛擬機或沙箱中運行；部署前進行充分安全測試，部署時采取最小化權限授予，禁止授予管理員權限；建立高危命令黑名單，重要操作啟用人工審批機制。

在個人助手場景中，通過個人即時通訊軟件等遠程接入本地化部署的“龍蝦”，提供個人信息管理、日常事務處理、數(shù)字資產整理等功能，并作為知識學習和生活娛樂助手。權限過高可能導致惡意讀寫、刪除任意文件；互聯(lián)網接入情況下可能遭受網絡攻擊入侵；通過提示詞注入誤執(zhí)行危險命令，甚至接管智能體；明文存儲密鑰等導致個人信息泄露或被竊取。需加強權限管理，僅允許訪問必要目錄，禁止訪問敏感目錄；優(yōu)先通過加密通道接入，禁止非必要互聯(lián)網訪問，禁止高危操作指令或增加二次確認；嚴格通過加密方式存儲API密鑰、配置文件、個人重要信息等。

12 全文共 2 頁下一頁

關閉

工信部：使用“龍蝦”六要六不要 防范開源智能體風險

相關新聞

今日熱點

頻道熱點

工信部：使用“龍蝦”六要六不要防范開源智能體風險