立即开户
快速上手技巧,轻松学会,高效掌握!
快速上手技巧,轻松学会,高效掌握!
爱达·魔都号
针对“龙虾”典型应用场景下的安全风险,工业和信息化部相聚安全挟制和舛误信息分享平台(NVDB)组织智能体提供商、舛误汇集平台运营单元、相聚安全企业等,盘考提倡“六要六不要”建议。
一、典型应用场景安全风险
(一)智能办公场景主要存在供应链攻击和企业内网渗入的凸刮风险
1.场景描述:通过在企业里面部署“龙虾”,对接企业已有束缚系统,已毕智能化数据分析、文档处理、行政束缚、财务援手和常识束缚等。
2.安全风险:引入特殊插件、“手段包”等激励供应链攻击;相聚安全风险在内网横向扩散,激励已对接的系统平台、数据库等明锐信息露馅或丢失;穷乏审计和回顾机制情况下易激励合规风险。
3.应酬计谋:寥寂网段部署,与要津分娩环境碎裂运转,不容在里面相聚使用未审批的“龙虾”智能体末端;部署前进行充分安全测试,部署时遴荐最小化权限授予,不容非必要的跨网段、跨诱导、跨系统走访;留存圆善操作和运转日记,确保满足审计等合规条件。
(二)开发运维场景主要存在系统诱导明锐信息露馅和被劫持界限的凸刮风险
1.场景描述:通过企业或个东谈主部署“龙虾”,将当然说话更正为可试验指示,援手进行代码编写、代码运转、诱导巡检、建立备份、系统监控、束缚程度等。
2.安全风险:非授权试验系统大叫,诱导遭相聚攻击劫持;系统账号和端口信息走漏,遭受外部攻击或口令爆破;相聚拓扑、账户口令、API接口等明锐信息露馅。
3.应酬计谋:幸免分娩环境平直部署使用,优先在臆造机或沙箱中运转;部署前进行充分安全测试,部署时遴荐最小化权限授予,不容授予束缚员权限;建立高危大叫黑名单,抨击操作启用东谈主工审批机制。
(三)个东谈主助手场景主要存在个东谈主信息被窃和明锐信息露馅的凸刮风险
1.场景描述:通过个东谈主即时通信软件等辛勤接入土产货化部署的“龙虾”,提供个东谈主信息束缚、闲居事务处理、数字财富整理等,并可动作常识学习和活命文娱助手。
2.安全风险:权限过高导致坏心读写、删除恣意文献;互联网接入情况下遭受相聚攻击入侵;通过提醒词注入误试验危急大叫,以致领受智能体;明文存储密钥等导致个东谈主信息露馅或被窃取。
3.应酬计谋:加强权限束缚,仅允许走访必要目次,不容走访明锐目次;优先通过加密通谈接入,不容非必要互联网走访,不容高危操作指示或加多二次阐发;严格通过加密方法存储API密钥、建立文献、个东谈主抨击信息等。
(四)金融交游场景主要存在激励失实交游以致账户被领受的凸刮风险
1.场景描述:通过企业或个东谈主部署“龙虾”,调用金融联系应用接口,进行自动化交游与风险界限,普及量化交游、智能投研及财富组合束缚效果,已毕市集数据合手取、计谋分析、交游指示试验等功能。
2.安全风险:顾虑投毒导致失实交游,身份认证绕过导致账户被犯科领受;引入包含坏心代码的插件导致交游证据被窃取;顶点情况下因穷乏熔断或救急机制,导致智能体失控常常下单等风险。
3.应酬计谋:实施相聚碎裂与最小权限,关闭非必要互联网端口;建立东谈主工复核和熔断救急机制,深圳配资服务要津操作加多二次阐发;强化供应链审核,使用官方组件并如期设立舛误;落实全链路审计与安全监测,实时发现并处理安全风险。
二、安全使用建议
(一)使用官方最新版块。要从官方渠谈下载最新阐明版块,并开启自动更新提醒;在升级前备份数据,升级后重启劳动并考证补丁是否告成。不要使用第三方镜像版块或历史版块。
(二)严格界限互联网显出头。要如期自查是否存在互联网走漏情况,一朝发现立即下线整改。不要将“龙虾”智能体实例走漏到互联网,确需互联网走访的不错使用SSH等加密通谈,并落幕走访源地址,使用强密码或文凭、硬件密钥等认证方法。
(三)宝石最小权限原则。要根据业务需要授予完成任务必需的最小权限,对删除文献、发送数据、修改系统建立等抨击操作进行二次阐发或东谈主工审批。优先探讨在容器或臆造机中碎裂运转,造成寥寂的权限区域。不要在部署时使用束缚员权限账号。
(四)严慎使用手段市集。要审慎下载ClawHub“手段包”,并在安设前审查手段包代码。不要使用条件“下载ZIP”、“试验shell剧本”或“输入密码”的手段包。
(五)珍摄社会工程学攻击和浏览器劫持。要使用浏览器沙箱、网页过滤器等扩张遏止可疑剧本,启用日记审计功能,遭遇可疑行径立即断开网关并重置密码。不要浏览来历不解的网站、点击生疏的网页诱导、读取不成信文档。
(六)建立长效防卫机制。要如期搜检并修补舛误,实时慈祥OpenClaw官方安全公告、工业和信息化部相聚安全挟制和舛误信息分享平台等舛误库的风险预警。党政机关、企行状单元和个东谈主用户不错贯串相聚安全防卫用具、主流杀毒软件进行实时防卫,实时处理可能存在的安全风险。不要禁用详备日记审计功能。
附录:部分安全基线及建立参考
一、智能体部署
创建OpenClaw独到用户,切勿使用sudo组:
sudo adduser --shell /bin/rbash --disabled-password clawuser
通过创建的独到用户登录操作系统。
创建受限的大叫目次,不容rm、mv、dd、format、powershell等:
sudo mkdir -p /home/clawuser/bin
sudo ln -s /bin/ls /home/clawuser/bin/ls
sudo ln -s /bin/echo /home/clawuser/bin/echo
强制设立PATH并只读,如在/etc/profile.d/restricted_clawuser.sh修改建立:
echo 'if [ "$USER" = "clawuser" ]; then export PATH=/home/clawuser/bin; readonly PATH; fi' | sudo tee /etc/profile.d/restricted_clawuser.sh
sudo chmod 644 /etc/profile.d/restricted_clawuser.sh
禁用root登录:
sudo sed -i 's/^#\\\\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sudo systemctl restart sshd
二、落幕互联网走访
(一)Linux劳动器建立
创建自界说链:
sudo iptables -N ALLOWED_IPS
添加允许的IP(IP地址为示例,操作时需替换为本体IP地址):
sudo iptables -A ALLOWED_IPS -s 192.168.1.100 -j ACCEPT
sudo iptables -A ALLOWED_IPS -s 10.0.0.5 -j ACCEPT
sudo iptables -A ALLOWED_IPS -s 172.24.57.160 -j ACCEPT
sudo iptables -A ALLOWED_IPS -j RETURN
应用到SSH端口:
sudo iptables -A INPUT -p tcp --dport 22 -j ALLOWED_IPS
sudo iptables -A INPUT -p tcp --dport 17477 -j ALLOWED_IPS
此外,可参考上述大叫关闭以下端口互联网走访或设立IP地址白名单:Telnet(23)、Windows文献分享(135、137、138、139、445)、Windows辛勤桌面(3389)、辛勤桌面界限(5900-5910)、数据库类端口(3306、5432、6379、27017)。
(二)VPN接入的情况下建立
将OpenClaw Gateway绑定127.0.0.1,切勿平直绑定到0.0.0.0。
关闭18789端口:
sudo ufw deny 18789
亿正策略辛勤走访时强制使用VPN并启用Gateway认证(在openclaw.json中设立gateway.auth.mode: "token"及强令牌)。
三、开启详备日记
开启日记记载:
openclaw gateway --log-level debug >> /var/log/openclaw.log 2>&1
四、文献系统走访界限
在Docker部署建立文献(docker-compose.yml)中,诳骗volumes参数将系统要津目次挂载为:ro(只读)模式,仅保留特定的/workspace为可写现象。
在宿主机系统层,通过chmod 700指示对高明数据目次实施强制走访界限:
sudo chmod 700 /path/to/your/workspace
五、第三方手段审查
安设前试验手段审查大叫:
openclaw skills info
并审查~/.openclaw/skills//SKILL.md文献,阐发无坏心指示(如curl、bash)。
优先采用内置55个Skill或社区精选列表(如awesome-openclaw-skills)。
六、安全自检
如期运转安全审计大叫:
openclaw security audit
针对审计发现的安全隐患,如网关认证走漏、浏览器界限走漏等,实时按照上述安全基线及建立参考、官方手册等进行处理。
七、更新版块
运转版块更新大叫:
openclaw update
八、卸载
掀开末端,试验删除大叫:
openclaw uninstall
使用鼠标凹凸迁移光标,按空格键勾选通盘选项,然后按回车键阐发。
取舍yes并按回车,此大叫会自动删除OpenClaw的使命目次。
卸载npm包:
1.使用npm安设openclaw对应卸载大叫:
npm rm -g openclaw
2.如若使用pnpm安设openclaw对应卸载大叫:
pnpm remove -g openclaw
3.如若使用bun安设openclaw对应卸载大叫:
bun remove -g openclaw出彩速配
启盈优配富华优配迎尚网配资佳禾资本嘉喜网配资联华证券提示:文章来自网络,不代表本站观点。
