“龙虾”引发广泛关注 工信部提醒“六要六不要”

近日，开源智能体OpenClaw（俗称“龙虾”）凭借其自主执行任务的强大能力，在全国两会上受到广泛关注，迅速成为人工智能领域热点应用。为防范安全风险，工业和信息化部网络安全威胁和漏洞信息共享平台专门发布防范“龙虾”安全风险“六要六不要”建议，提醒广大用户安全规范使用。

工信部指出，“龙虾”在智能办公、开发运维、个人助手、金融交易四大典型场景中应用广泛，但同时存在多重安全隐患。智能办公场景易出现供应链攻击、企业内网渗透、敏感信息泄露等问题；开发运维场景可能发生非授权执行指令、设备被劫持、敏感信息泄露风险；个人助手场景可能存在文件被恶意操作、个人信息窃取等隐患；金融交易场景则可能出现错误交易、账户被接管、智能体失控下单等严重风险。针对各场景，平台明确网络隔离、权限管控、安全测试、日志留存、人工复核等具体防护要求，确保安全。

在此基础上，工信部正式推出防范“龙虾”安全风险“六要六不要”使用准则，为用户提供清晰指引。

 一要使用官方最新版本，从正规渠道下载，开启自动更新，升级前备份数据；不要使用第三方镜像或老旧版本。二要严格控制互联网暴露面，定期自查公网暴露情况，及时整改，确需联网采用加密通道、强认证方式；不要将智能体直接暴露在互联网，避免无限制公网访问。三要坚持最小权限原则，按需授予最低权限，重要操作设置二次确认，优先在隔离环境运行；不要使用管理员权限部署，严控跨系统、跨网段访问。四要谨慎使用技能市场，下载技能包前严格审查代码；不要使用要求下载压缩包、执行脚本、输入密码的可疑技能包。五要防范社会工程学攻击和浏览器劫持，启用安全防护与日志审计，发现异常立即断网处置；不要浏览不明网站、点击陌生链接、打开不可信文档。六要建立长效防护机制，定期修补漏洞，关注官方安全预警，配合安全工具实时防护；不要关闭日志审计功能，确保全程可追溯。

  工信部提醒，当前智能体技术快速发展，安全风险不容忽视，党政机关、企事业单位和个人用户要切实增强安全意识，落实“六要六不要”要求，规范部署、合理授权、强化防护，有效防范网络攻击、信息泄露、系统被控等安全事件，保障数字安全。 （本综）