中新网3月22日电 据“国家互联网应急中心CNCERT”微信公众号消息,为帮助用户安全使用OpenClaw,国家互联网应急中心联合中国网络空间安全协会组织国内相关厂商共同研究,针对普通用户、企业用户、云服务提供商、技术开发者/爱好者等提出以下安全防护建议。
其中,对一般用户的建议包括使用专用机器、虚拟机或容器来安装OpenClaw来隔离环境。它不适合安装在日常办公计算机上。不要使用管理员或超级用户权限来运行 OpenClaw。请勿在 OpenClaw 环境中存储或处理个人数据。立即更新到最新版本的OpenClaw等。
全文如下:
1.一般用户
(1) 我们建议使用专用工具安装 OpenClaw机器、虚拟机或容器来隔离环境。不适合安装在办公室日常使用的计算机上。
选项 1:专门运行您的旧闲置计算机并删除您的个人数据。
选项 2:使用 VMware、VirtualBox 或 Docker 创建独立的虚拟机或容器,并将其与主机隔离。
选项 3:仅使用本地远程访问部署到云服务器。
(2) 我们建议您不要将OpenClaw的默认端口(18789\19890)暴露到公共网络。
仅配置本地访问 (127.0.0.1) 并禁用端口映射和公共 IP 绑定。
如果需要远程访问,我们建议使用 VPN 访问等方法,并启用 passcode.verification igos 等强身份验证方法。
即时通讯软件(如微信、钉钉、飞书等)连接时,我们建议您仅允许您自己或信任的授权人员访问。
(3) 我们建议您不要运行OpenClaw 具有管理员或超级用户权限。
创建一个具有低权限的专用帐户,并且仅对最低限度的必要目录具有读写权限。
禁用有风险的权限,例如可访问性、屏幕录制和系统自动化。
仅打开专用工作目录,并且禁止访问桌面、文档、下载和密码管理器目录。
配置白名单路由以拒绝读取配置文件、密钥文件和其他隐私设置。
禁用系统命令执行功能,仅暂时启用,必要时确认两次。
仅将网络访问限制为必要的 AI 和 API 服务。
(4)建议安装高可靠的技能插件(Skills)
在安装和使用外部社区或个人发布的技能时,请谨防信息泄露、服务器攻击等风险。
拒绝“自动赚钱、赚钱、黑客”未知技能或黑灰色技能。
(5) 我们建议您不要在OpenClaw环境中存储或处理个人数据。
您不需要使用OpenClaw来处理银行卡、密码、身份证、钥匙或其他数据。
(6)建议您及时更新至OpenClaw最新版本
关注官方安全公告和补丁漏洞通知,适时安装官方安全。
2. 商业用户
(1) 我们建议为智能代理应用建立安全管理体系和用户规范。
通过明确允许和禁止的使用场景、数据范围和操作类型,定义智能代理应用的业务边界。
建立内部使用规范和审批流程。新客栈部署智能应用程序和高权限功能需要安全评估和行政审批,以确保其使用基于证据和规则。
(2) 我们建议您保护您的代理运行环境的核心网络和环境安全。
禁止将代理服务直接暴露于公共网络。应通过防火墙、VPN 等限制访问,并且仅对受信任的网络或 IP 地址开放必要的端口。
在代理所在的服务器上启用主机入侵防御、恶意流量检测和其他对策,以对抗网络攻击的威胁。
确保操作环境定期更新补丁,消除已知的系统漏洞,确保底层环境安全可靠。
(3)我们建议您妥善管理代理人的权限和边界。
所有代理服务帐户均基于最小权限原则进行配置。
使用系统特定或第三方权限控制工具来限制限制和访问控制,例如代理可以访问的文件目录、网络域和数据库表。
对于代理商提升权限后,您应该实施强大的多因素身份验证和操作授权,并在关键资源层建立额外的防线,以防止权限滥用。
(四)对代理人的经营活动进行充分的监督和审计。
建立持续监控自主代理行为的机制。监控包括代理活动日志、关键决策结果、系统资源使用情况和异常事件日志。
应针对关键操作和安全相关事件生成审核日志并存储以防止篡改。
配置安全信息和事件管理 (SIEM) 工具以实现对代理日志的集中分析,以快速检测可疑行为的迹象。
审计追溯功能可以在事件发生后还原代理人的行动过程,为问题排查和责任认定提供依据。
(5) 我们建议实施保护策略代理的核心业务。
公司必须制定保护策略,作为治理自主代理可能执行的风险操作的基础。例如,对大数据删除、中心配置变更、资金交易等操作设置人工二次审核和多重审批流程。对不可逆操作进行模拟培训或安全检查。限制高影响行动的时间和范围,使其仅在特定条件下进行。
上述策略应与金融系统、生产控制系统等高安全场景的控制措施相配合,确保智能代理不会在一个点上破坏整个企业的安全。
(六)实施智能供应链安全和代码管理
必须为自主代理所依赖的第三方组件和技能补充建立安全管理系统。
新技能l 引入的模块必须经过安全审查和测试,满足安全要求后才能使用。
您应该定期检查现有运行时技能和依赖库的版本和安全更新,并及时响应。使用补丁或更新。
我们建议您使用公司内部的代码存储来存储已批准的技能代码,并且禁止在代理运行时从外部直接检索和执行非存档代码。
(7) 建议妥善管理代理凭证和密钥。
所有敏感凭据不应以明文形式写入代码或配置文件中,而应使用安全管理系统按需插入。凭据的分配。
一旦代理使用完毕,应及时处理或回收,以免相关密钥长时间保留在内存或寄存器中。
定期更换和更新关键凭证o 降低泄漏风险。(8) 建议人力资源开发和防灾培训。
定期对相关研发、运维人员和用户进行安全培训,提高自主智能的风险意识。
避免“单短语身份验证”,这可能会导致无意中的高风险交易。
强化员工使用智能机器的安全责任意识,防止非法使用和误用。
制定应急计划并定期进行模拟演习,以更好地提高团队对智能代理安全事件的响应速度和性能。
3、云服务提供商
(1)建议您仔细评估您的云主机的安全性,加强其基础安全级别。
执行身份验证、隔离和访问控制,并努力尽可能内部化默认安全性。
基于基本密码规则,防止泄露已知信息弱密码,默认禁止远程登录访问云主机。
对 OpenClaw 服务实施身份验证和访问控制。 OpenClaw Gateway 服务默认为每个用户启用唯一的随机令牌,并且默认不将网关暴露到公共网络。
为了保证安全隔离,我们建议您在自己的账户中建立一个单独的、隔离的VPC网络并实施OpenClaw。
对产品迭代进行安全分析,并进行手动安全测试,包括镜像、产品控制平面、用户运行实例等,避免云产品设计和部署层面的典型安全问题、API密钥泄露等风险。
(2) 我们建议实施/访问安全保护功能
在主机层、网络层等引入入侵检测功能,提供基础的安全防护。
默认情况下,它提供基本保护,例如防止 DDoS 攻击。
云主机在哪部署 OpenClaw 增加对您的姿势中的安全风险的监控。
(3)我们建议保护供应链和数据安全。
适当监控和保护 OpenClaw 安全漏洞,启动定期监控并定期更新云中的 OpenClaw 镜像。
确保技能设施的安全控制。 OpenClaw云产品接口默认提供经过安全测试和验证的技能,并具有阻止已知恶意技能安装的能力,以预防和控制恶意技能的部署。
提升AI新场景的恶意风险检测能力,让云平台和用户更加安全、及时可控地使用AI助手。
为了保障模型调用的安全,OpenClaw云产品接口仅支持已注册的大模型的调用。较大型号的增强型安全列保护功能包括即时字注入保护、附加功能最终的增强功能,防止隐私泄露等等。
4. 开发者/技术爱好者
(一)加强基础配置的建议
我们建议使用最新版本,确保修复所有已知漏洞,并持续关注版本更新和漏洞修复。
启用身份认证。
1) 在 config.json 中设置密码或安全令牌。
2) 激活DM撮合策略,将聊天软件撮合策略设置为撮合(需要验证码)或允许列表(白名单)。严禁将其打开。
保持隐形并尽量减少您的在线曝光。
1)不要将Web管理界面(18789端口)直接暴露在公网/局域网中。
2) 请勿私自使用Tailscale或WireGuard等安全隧道解决方案将端口分配给外部网络。
3) 安全性确保将 gateway.controlUi.allowInsecure Auth 设置为 false 以避免使用损坏的 UI 并防止控制台降级。
(2)建议隔离操作环境。
根据官方文档,OpenClaw 提供了两种互补的沙箱策略。如果您需要防止 OpenClaw 添加、删除或修改您的系统并损害其完整性,我们建议您采取以下措施:
启用完整的 Docker/虚拟机执行
直接在 Docker 容器/虚拟机中运行整个 OpenClaw Gateway 及其所有依赖项。即使网关本身被攻破,攻击者也被困在容器内,无法直接损害主机系统。
启用工具沙箱
1)网关运行在宿主机上,但是代理工具的执行(代码执行、文件操作等)被隔离在一个容器Docker内部。
2)通过Agents.defaults.sandbox启用它。我们建议保留 Scope: “Agent”(默认)或 Scope: “Session” 以防止代理之间的数据访问。
3)使用workspaceAccess参数对agen进行细粒度的控制t 对工作区的权限(无访问锁、ro 只读、rw 读/写)。
最小特权原则
1) 设置插件白名单,方法是启用工具白名单,在设置中禁用高风险工具(例如 shell 和浏览器写入权限),并仅打开您需要的工具。
2)启用文件系统限制并以:ro(只读)模式挂载敏感目录,防止核心文件被意外删除。
我们建议使用官方安全审核工具进行定期安全审核。
1) 启用 OpenClaw 安全审核以定期验证和接收扫描。访问控制、网络发布和本地文件权限。
2)启用openclaw安全审计-deep进行深度检测,以执行实时网关检测并模拟攻击者试图发现潜在的暴露点。
3)启用OpenClaw安全审核:修复自动修复和自动安全强化。
(3) 我们建议采取足够的预防措施您的供应链中的行动
1)我们不建议盲目安装技能商店(ClawHub)中的热门技能或非官方渠道的 VS Code 插件或 NPM 包。请在安装前执行代码审查。您可以使用clawhub Inspection –files命令来查找可疑指令,例如运行npm install、pip install、远程脚本下载等的提示。
2)明确代理人禁止执行的事项和需要注册的任务。禁止运行危险命令(如rm -rf /)、更改身份验证或权限设置、向外部网络发送令牌/私钥/助记词、盲目对文档运行“一键安装”命令。
3)安装完成后,建议立即创建安全配置,允许本机仅访问核心配置文件,设置配置哈希基线,不向本地机器传递私钥或助记词代理人。 【编辑:曹子健】
八个国家真的想保护霍尔木兹吗?
“梅姨”被捕,律师称“最高刑罚是死刑”
109个大项目高质量发展规模化。
“最富有的国家从最贫穷的国家偷钱”
在美国和科学之间,这位美国官员选择了良心。
这辈子,你一定要去长江入江西的第一站。
央企投资千亿新疆打造能源“双保险”
美国对日本施压
战斗机的命名规则是什么?以“龙”命名的国家工业战斗机回顾
值此“腾飞”一周年之际,低迷的香港经济表现如何?
今年反垄断法应该做什么?国家市场监管总局回应三里河
从明天开始你可以随时做!请保留本实用指南或计算个人税。
台当局:相互反制!韩国网友称“零伤害”
你的双双在春分遇到“龙抬头”会有多幸运呢?
“钱袋子”被炸,伊朗猛烈攻击美国盟友
两个“超自然”机会为未来五年带来新机遇
这份榜单十分亮眼:中国上升了 9 位,美国下降了 11 位。
长城脚下的“临时父母”:他们守护着飞下山的孩子