转载泉源：网络清静威胁和误差信息共享平台公众号

针对“龙虾”典范应用场景下的清静危害，，，，，，，工业和信息化部网络清静威胁和误差信息共享平台（NVDB）组织智能体提供商、误差网络平台运营单位、网络清静企业等，，，，，，，研究提出“六要六不要”建议。。。。。。

典范应用场景清静危害

01 智能办公场景主要保存供应链攻击和企业内网渗透的突出危害

1．场景形貌：通过在企业内部安排“龙虾”，，，，，，，对接企业已有治理系统，，，，，，，实现智能化数据剖析、文档处置惩罚、行政治理、财务辅助和知识治理等。。。。。。

2．清静危害：引入异常插件、“手艺包”等引发供应链攻击；；；；；；；网络清静危害在内网横向扩散，，，，，，，引发已对接的系统平台、数据库等敏感信息泄露或丧失；；；；；；；缺乏审计和追溯机制情形下易引发合规危害。。。。。。

3．应对战略：自力网段安排，，，，，，，与要害生产情形隔离运行，，，，，，，榨取在内部网络使用未审批的“龙虾”智能体终端；；；；；；；安排前举行充分清静测试，，，，，，，安排时接纳最小化权限授予，，，，，，，榨取非须要的跨网段、跨装备、跨系统会见；；；；；；；留存完整操作和运行日志，，，，，，，确保知足审计等合规要求。。。。。。

02 开发运维场景主要保存系统装备敏感信息泄露和被挟制控制的突出危害

1．场景形貌：通过企业或小我私家安排“龙虾”，，，，，，，将自然语言转化为可执行指令，，，，，，，辅助举行代码编写、代码运行、装备巡检、设置备份、系统监控、治理历程等。。。。。。

2．清静危害：非授权执行系统下令，，，，，，，装备遭网络攻击挟制；；；；；；；系统账号和端口信息袒露，，，，，，，遭受外部攻击或口令爆破；；；；；；；网络拓扑、账户口令、API接口等敏感信息泄露。。。。。。

3．应对战略：阻止生产情形直接安排使用，，，，，，，优先在虚拟机或沙箱中运行；；；；；；；安排前举行充分清静测试，，，，，，，安排时接纳最小化权限授予，，，，，，，榨取授予治理员权限；；；；；；；建设高危下令黑名单，，，，，，，主要操作启用人工审批机制。。。。。。

03 小我私家助手场景主要保存小我私家信息被窃和敏感信息泄露的突出危害

1．场景形貌：通过小我私家即时通讯软件等远程接入外地化安排的“龙虾”，，，，，，，提供小我私家信息治理、一样平常事务处置惩罚、数字资产整理等，，，，，，，并可作为知识学习和生涯娱乐助手。。。。。。

2．清静危害：权限过高导致恶意读写、删除恣意文件；；；；；；；互联网接入情形下遭受网络攻击入侵；；；；；；；通过提醒词注入误执行危险下令，，，，，，，甚至接受智能体；；；；；；；明文存储密钥等导致小我私家信息泄露或被窃取。。。。。。

3．应对战略：增强权限治理，，，，，，，仅允许会见须要目录，，，，，，，榨取会见敏感目录；；；；；；；优先通过加密通道接入，，，，，，，榨取非须要互联网会见，，，，，，，榨取高危操作指令或增添二次确认；；；；；；；严酷通过加密方法存储API密钥、设置文件、小我私家主要信息等。。。。。。

04 金融生意场景主要保存引发过失生意甚至账户被接受的突出危害

1．场景形貌：通过企业或小我私家安排“龙虾”，，，，，，，挪用金融相关应用接口，，，，，，，举行自动化生意与危害控制，，，，，，，提高量化生意、智能投研及资产组合治理效率，，，，，，，实现市场数据抓取、战略剖析、生意指令执行等功效。。。。。。

2．清静危害：影象投毒导致过失生意，，，，，，，身份认证绕过导致账户被不法接受；；；；；；；引入包括恶意代码的插件导致生意凭证被窃。。。。。；；；；；；；极端情形下因缺乏熔断或应急机制，，，，，，，导致智能体失控频仍下单等危害。。。。。。

3．应对战略：实验网络隔离与最小权限，，，，，，，关闭非须要互联网端口；；；；；；；建设人工复核和熔断应急机制，，，，，，，要害操作增添二次确认；；；；；；；强化供应链审核，，，，，，，使用官方组件并按期修复误差；；；；；；；落实全链路审计与清静监测，，，，，，，实时发明并处置惩罚清静危害。。。。。。

清静使用建议

（一）使用官方最新版本。。。。。。要从官方渠道下载最新稳固版本，，，，，，，并开启自动更新提醒；；；；；；；在升级前备份数据，，，，，，，升级后重启服务并验证补丁是否生效。。。。。。不要使用第三方镜像版本或历史版本。。。。。。

（二）严酷控制互联网袒露面。。。。。。要按期自查是否保存互联网袒露情形，，，，，，，一旦发明连忙下线整改。。。。。。不要将“龙虾”智能体实例袒露到互联网，，，，，，，确需互联网会见的可以使用SSH等加密通道，，，，，，，并限制会见源地点，，，，，，，使用强密码或证书、硬件密钥等认证方法。。。。。。

（三）坚持最小权限原则。。。。。。要凭证营业需要授予完成使命必需的最小权限，，，，，，，对删除文件、发送数据、修改系统设置等主要操作举行二次确认某人工审批。。。。。。优先思量在容器或虚拟机中隔离运行，，，，，，，形成自力的权限区域。。。。。。不要在安排时使用治理员权限账号。。。。。。

（四）审慎使用手艺市场。。。。。。要审慎下载ClawHub“手艺包”，，，，，，，并在装置前审查手艺包代码。。。。。。不要使用要求“下载ZIP”、“执行shell剧本”或“输入密码”的手艺包。。。。。。

（五）提防社会工程学攻击和浏览器挟制。。。。。。要使用浏览器沙箱、网页过滤器等扩展阻止可疑剧本，，，，，，，启用日志审计功效，，，，，，，遇到可疑行为连忙断开网关并重置密码。。。。。。不要浏览泉源不明的网站、点击生疏的网页链接、读取不可信文档。。。。。。

（六）建设长效防护机制。。。。。。要按期检查并修补误差，，，，，，，实时关注OpenClaw官方清静通告、工业和信息化部网络清静威胁和误差信息共享平台等误差库的危害预警。。。。。。党政机关、企事业单位和小我私家用户可以团结网络清静防护工具、主流杀毒软件举行实时防护，，，，，，，实时处置惩罚可能保存的清静危害。。。。。。不要禁用详细日志审计功效。。。。。。

附录：部分清静基线及设置参考

一、智能体安排

建设OpenClaw专有用户，，，，，，，切勿使用sudo组：sudo adduser --shell /bin/rbash --disabled-password clawuser通过建设的专有用户登录操作系统。。。。。。建设受限的下令目录，，，，，，，榨取rm、mv、dd、format、powershell等：sudo mkdir -p /home/clawuser/binsudo ln -s /bin/ls /home/clawuser/bin/lssudo ln -s /bin/echo /home/clawuser/bin/echo强制设置 PATH 并只读，，，，，，，如在 /etc/profile.d/restricted_clawuser.sh修改设置：echo 'if [ "$USER" = "clawuser" ]; then export PATH=/home/clawuser/bin; readonly PATH; fi' | sudo tee /etc/profile.d/restricted_clawuser.shsudo chmod 644 /etc/profile.d/restricted_clawuser.sh禁用root登录：sudo sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_configsudo systemctl restart sshd

二、限制互联网会见

（一）Linux服务器设置

建设自界说链：sudo iptables -N ALLOWED_IPS添加允许的IP（IP地点为示例，，，，，，，操作时需替换为现实IP地点）：sudo iptables -A ALLOWED_IPS -s 192.168.1.100 -j ACCEPTsudo iptables -A ALLOWED_IPS -s 10.0.0.5 -j ACCEPTsudo iptables -A ALLOWED_IPS -s 172.24.57.160 -j ACCEPTsudo iptables -A ALLOWED_IPS -j RETURN应用到SSH端口：sudo iptables -A INPUT -p tcp --dport 22 -j ALLOWED_IPSsudo iptables -A INPUT -p tcp --dport 17477 -j ALLOWED_IPS别的，，，，，，，可参考上述下令关闭以下端口互联网会见或设置IP地点白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（5900-5910）、数据库类端口（3306、5432、6379、27017）。。。。。。

（二）VPN接入的情形下设置

将OpenClaw Gateway绑定127.0.0.1，，，，，，，切勿直接绑定到0.0.0.0。。。。。。关闭18789端口：sudo ufw deny 18789远程会见时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。。。。。。

三、开启详细日志

开启日志纪录：openclaw gateway --log-level debug >> /var/log/openclaw.log 2>&1

四、文件系统会见控制

在Docker安排设置文件(docker-compose.yml)中，，，，，，，使用volumes参数将系统要害目录挂载为:ro（只读）模式，，，，，，，仅保存特定的/workspace为可写状态。。。。。。在宿主机系统层，，，，，，，通过chmod 700指令对私密数据目录实验强制会见控制：sudo chmod 700 /path/to/your/workspace

五、第三方手艺审查

装置前执行手艺审查下令：openclaw skills info <skill>并审查~/.openclaw/skills/<skill>/SKILL.md文件，，，，，，，确认无恶意指令（如curl、bash）。。。。。。优先选用内置55个Skill或社区精选列表（如awesome-openclaw-skills）。。。。。。

六、清静自检

按期运行清静审计下令：openclaw security audit针对审计发明的清静隐患，，，，，，，如网关认证袒露、浏览器控制袒露等，，，，，，，实时凭证上述清静基线及设置参考、官方手册等举行处置惩罚。。。。。。

七、更新版本

运行版本更新下令：openclaw update

八、卸载

翻开终端，，，，，，，执行删除下令：

openclaw uninstall

使用鼠标上下移动光标，，，，，，，按空格键勾选所有选项，，，，，，，然后按回车键确认。。。。。。

选择yes并按回车，，，，，，，此下令会自动删除OpenClaw的事情目录。。。。。。

卸载npm包：

1. 使用npm装置openclaw对应卸载下令：npm rm -g openclaw

2. 若是使用pnpm装置openclaw对应卸载下令：pnpm remove -g openclaw

3. 若是使用bun装置openclaw对应卸载下令：bun remove -g openclaw

相关阅读

1、3377体育网官网入口超融合老用户专属OpenClaw安排计划上线，，，，，，，清静也给安排上！

2、3377体育网官网入口：做好五层防护让OpenClaw清静上岗?

3、3377体育网官网入口智算云一键安排OpenClaw?清静养龙虾，，，，，，，算力不铺张！

4、OpenClaw误差曝光！当AI接受电脑后，，，，，，，是万能助手照旧AI刺客？？？？？

5、3377体育网官网入口双计划获IDC推荐，，，，，，，为清静智能体加持下的私有云清静建设赋能