工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)近日联合智能体开发企业、漏洞收集平台及网络安全机构,针对人工智能应用场景中的安全风险,发布了一套名为“六要六不要”的防护指南。该指南聚焦智能体“龙虾”的安全管理,旨在规范用户操作流程,降低技术滥用带来的潜在威胁。
在软件使用层面,指南强调需通过官方渠道获取最新稳定版本,并开启自动更新功能。升级前应备份关键数据,升级后需重启服务验证补丁效果,同时明确禁止使用第三方镜像或旧版本软件。针对网络暴露风险,要求用户定期自查互联网访问情况,非必要情况下不得将智能体实例直接暴露于公网;确需远程访问时,需通过SSH加密通道并限制IP范围,配合强密码或硬件密钥认证。
权限管理方面,指南提出“最小权限原则”,要求根据业务需求分配操作权限,对文件删除、数据发送等敏感操作设置二次确认机制。建议优先采用容器或虚拟机隔离运行环境,形成独立权限区域,并严禁使用管理员账户进行初始部署。对于技能市场下载的“技能包”,需严格审查代码安全性,尤其警惕要求下载压缩包、执行脚本或输入密码的异常请求。
为防范社会工程学攻击,指南建议用户启用浏览器沙箱、网页过滤器等工具拦截恶意脚本,同时开启日志审计功能。发现可疑行为时应立即断开网络连接并重置密码,避免访问不明网站或点击陌生链接。在长效防护机制上,要求定期扫描系统漏洞,关注OpenClaw官方安全公告及NVDB平台的风险预警,建议党政机关、企事业单位结合杀毒软件构建实时防护体系,并保持日志审计功能持续运行。
相关专家指出,人工智能技术的广泛应用需以安全为前提。此次发布的防护指南通过细化操作规范,为智能体“龙虾”的合规使用提供了明确指引,有助于推动行业在法治框架内实现健康发展。
