工信部发布防范OpenClaw开源智能体安全风险六要六不要建议

工业和信息化部网络安全威胁和漏洞信息共享平台发布关于防范OpenClaw（“龙虾”）开源智能体安全风险的“六要六不要”建议。该建议针对“龙虾”典型应用场景下的安全风险，组织智能体提供商、漏洞收集平台运营单位、网络安全企业等共同研究提出。

在企业内部部署“龙虾”时，建议独立网段部署并与关键生产环境隔离运行，禁止在内部网络使用未审批的智能体终端。部署前需进行充分安全测试，采取最小化权限授予，并留存完整操作日志。

通过企业或个人部署“龙虾”辅助代码编写、设备巡检等操作时，应避免在生产环境直接部署，优先在虚拟机或沙箱中运行。部署时采取最小化权限授予，禁止授予管理员权限，并建立高危命令黑名单。

通过个人即时通讯软件远程接入“龙虾”时，需加强权限管理，仅允许访问必要目录。优先通过加密通道接入，禁止非必要互联网访问，并严格加密存储API密钥等敏感信息。

在金融领域部署“龙虾”进行自动化交易时，应实施网络隔离与最小权限，建立人工复核和熔断应急机制。强化供应链审核，使用官方组件并定期修复漏洞，落实全链路审计与安全监测。

建议从官方渠道下载最新稳定版本并开启自动更新提醒，定期自查互联网暴露情况。根据业务需要授予最小权限，审慎下载技能包并审查代码。使用浏览器沙箱等扩展阻止可疑脚本，定期检查并修补漏洞。