中国工业和信息化部近日针对开源代理式人工智能OpenClaw（俗称“龙虾”）的安全风险，正式发布了“六要六不要”防范建议，重点强调严控互联网暴露面、坚持最小权限原则等核心防护措施，旨在帮助用户安全部署和使用这一强大工具。

据央视新闻报道，工信部网络安全威胁和漏洞信息共享平台于3月11日（星期三）推出这份指南。OpenClaw是一款可部署在个人电脑、手机或云服务器上的开源智能体，它能整合调用各类大语言模型和应用软件，只需用户下达语音指令，便可自主完成文件管理、数据汇总等复杂任务。

以下是“六要六不要”的具体内容：

第一，要始终使用官方最新版本，并开启自动更新提醒。升级前务必备份重要数据，升级后立即重启服务并验证补丁生效。切勿使用第三方镜像或旧版程序。

第二，要严格控制互联网暴露面。用户应定期自查系统是否存在公网暴露情况，一旦发现立即下线整改。原则上不要将OpenClaw实例直接暴露在互联网上；若确需远程访问，可通过SSH等加密通道实现，并严格限制访问源IP，使用强密码、数字证书或硬件密钥进行认证。

第三，要坚持最小权限原则。根据实际业务需求，只授予完成任务所需的最低权限，对删除文件、传输数据、修改系统配置等高危操作设置二次确认或人工审批机制。优先在容器或虚拟机环境中隔离运行，形成独立权限边界。切忌以管理员账号部署OpenClaw。

第四，要谨慎使用技能市场。下载ClawHub上的“技能包”前，必须仔细审查其代码。坚决不要安装那些要求“下载ZIP”“执行shell脚本”或“输入密码”的可疑技能包。

第五，要防范社会工程学攻击和浏览器劫持。建议安装浏览器沙箱、网页过滤器等扩展程序，启用详细日志审计功能；遇到异常行为时立即断开网络并重置所有凭证。切勿随意浏览未知网站、点击陌生链接或打开不可信文档。

第六，要建立长效防护机制。定期扫描并修补系统漏洞，及时关注官方风险预警。党政机关、企事业单位及个人用户可结合主流杀毒软件、网络安全防护工具进行实时监测，快速处置潜在威胁。切勿关闭详细日志审计功能。

早在2月5日，工信部就已发布预警提示，指出OpenClaw可能因指令诱导、配置缺陷或被恶意接管而执行越权操作，导致信息泄露或系统失控。中国国家互联网应急中心10日也进一步提醒，该工具默认安全配置较为薄弱，一旦被攻击者找到突破口，便可能轻松掌控用户设备。

作为一款开源AI代理工具，OpenClaw确实代表了AI从“对话助手”向“自主执行者”的重要跃进，给日常工作和生活带来了极大便利。但正如工信部这份指南所警示的，其强大执行力也放大了安全风险——一旦被诱导或劫持，后果可能远超传统软件。政府及时发布实用、可操作的防护建议，既体现了中国对AI安全治理的重视，也为全球用户提供了宝贵参考。我认为，未来AI发展不能只追求能力上限，更要同步筑牢安全底线。普通用户最聪明的做法，就是“用得起、控得住”：严格遵循最小权限、隔离运行等原则，在拥抱AI红利的同时，把风险牢牢关在笼子里。只有这样，技术才能真正服务于人，而非反噬。建议大家把这份“六要六不要”存下来，真正落实到每一次部署中。