随着开源智能体在自动化运维、信息检索等场景的快速落地,其安全风险日益显现。智能体具备调用外部工具、访问数据等能力,若配置不当或存在漏洞,可能被攻击者利用,导致主机失陷、数据泄露等问题。针对OpenClaw("龙虾")涉及的风险,工信部网络安全威胁和漏洞信息共享平台发布安全提示,建议通过规范部署和持续防护降低风险。 原因: 安全治理滞后于快速部署需求是主因。开源项目迭代快、依赖组件多,用户追求"即装即用"时容易忽视版本管理和补丁更新。同时,部分应用场景需要联网调用资源或远程管理,若服务端口暴露或使用弱口令,极易成为攻击入口。此外,第三方扩展包可能引入未经审查的代码,带来后门或恶意脚本风险。"配置错误+权限过大+组件不明"成为主要风险点。 影响: 智能体通常连接多种数据源和工具链,一旦遭入侵,攻击者可快速横向移动,造成数据窃取、配置篡改等连锁反应。对政企机构而言,这涉及业务连续性和合规要求;对个人用户则可能导致隐私泄露、账号被盗等问题。此次提示将新型风险明确列出,便于用户自查整改。 对策: 工信部提出"六要六不要"建议: 1. 版本管理:通过官方渠道获取最新版本,升级前备份并验证补丁效果 2. 控制暴露面:定期检查公网开放情况,远程访问需加密并限制来源 3. 权限管控:遵循最小权限原则,高风险操作需二次确认 4. 谨慎使用扩展:下载前进行代码审查,警惕高风险操作指令 5. 建立防护机制:定期修补漏洞,关注官方安全公告 6. 完善日志审计:保留详细日志以便溯源 前景: 业内人士指出,智能体的普及将推动企业在资产管理、权限控制等加强规范。未来开源组件、远程访问等环节仍是治理重点。通过建立"版本可控、权限可限"等制度,可在保障效率的同时提升安全性。
开源智能体的安全防护关乎国家信息安全和机构运营安全。工信部的指导建议提供了明确的操作规范,反映了对新技术的安全管理思路。各方应主动落实防护要求,在技术创新发展的同时确保安全可控。