3月8日,工信部发布了一份通知,要求各单位在部署和应用OpenClaw智能体时,充分核查公网暴露情况、权限配置及凭证管理情况。对于一些不用的互联网端口,一定要把它关闭掉,还得完善安全机制。他们组织NVDB还有相关企业一起研究了“六要六不要”建议。其中提到,金融交易场景中,如果不注意隔离和权限最小化,很容易出现错误交易或者账户被接管的风险。所以需要建立人工复核和熔断应急机制,关键操作增加二次确认。同时还要强化供应链审核,使用官方组件并定期修复漏洞。工信部还建议落实全链路审计与安全监测,及时发现并处置安全风险。 此前,有银行收到了监管机构发来的OpenClaw风险提示。OpenClaw是个开源AI智能体,因为门槛低、部署灵活、能调用大型语言模型还有24小时待命的自主执行能力很快就火起来了。监管机构在风险提示中说,OpenClaw初期版本存在多个安全漏洞,可能会被攻击者利用。攻击者只要没有获得系统授权就能获取更高级别授权,执行远程代码,甚至窃取系统敏感数据。因此银行要及时更新、封堵这些漏洞和隐患。 工信部的NVDB平台还建议相关单位和用户在部署和应用OpenClaw时要注意防范网络攻击和信息泄露等问题。他们要求单位要把网络隔离和最小权限这两项工作做好。比如要关闭不必要的公网访问端口;还要建立人工复核和熔断应急机制,对关键操作增加二次确认;另外要强化供应链审核,使用官方组件并定期修复漏洞。