3 月 11 日、工業情報化省のサイバーセキュリティ脅威および脆弱性情報共有プラットフォームは、OpenClaw (「ロブスター」) オープンソース インテリジェンスのセキュリティ リスクを防止するための「6 つの推奨事項と 6 つの禁止事項」を発表しました。 「ロブスター」の典型的なアプリケーション シナリオにおけるセキュリティ リスクに対応して、工業情報化省のネットワーク セキュリティ脅威および脆弱性情報共有プラットフォーム (NVDB) は、インテリジェンス プロバイダー、脆弱性収集プラットフォーム運営部門、ネットワーク セキュリティ会社などを組織し、「6 つの推奨事項と 6 つの禁止事項」の推奨事項を検討し、提案しました。

(1) 最新の正式版を使用してください。公式チャネルから最新の安定バージョンをダウンロードし、自動更新リマインダーをオンにします。アップグレードする前にデータをバックアップし、アップグレード後にサービスを再起動して、パッチが有効かどうかを確認します。サードパーティのイメージ バージョンや過去のバージョンは使用しないでください。
(2) インターネットへの露出を厳しく管理します。インターネットへの露出がないか定期的に自己検査し、発見した場合は直ちにオフラインにして修正する必要があります。 「Lobster」エージェント インスタンスをインターネットに公開しないでください。本当にインターネット アクセスが必要な場合は、SSH などの暗号化チャネルを使用し、送信元アドレスへのアクセスを制限し、強力なパスワードや証明書やハードウェア キーなどの認証方法を使用できます。
(3) 最小権限の原則を遵守します。ビジネスニーズに応じてタスクを完了するために必要な最小限の権限を付与し、ファイルの削除、データの送信、システム構成の変更などの重要な操作については2次確認や手動承認を行う必要があります。コンテナまたは仮想マシン内で隔離して実行することを優先して、独立した権限領域を形成します。導入時には管理者権限を持つアカウントを使用しないでください。
(4) スキルマーケットの利用には注意が必要です。 ClawHub の「スキル パック」をダウンロードするときは注意し、インストールする前にスキル パックのコードを確認してください。 「ZIPのダウンロード」「シェルスクリプトの実行」「パスワードの入力」を必要とするスキルパックは使用しないでください。
(5) ソーシャルエンジニアリング攻撃やブラウザハイジャックを防止します。ブラウザーのサンドボックスや Web フィルターなどの拡張機能を使用して、不審なスクリプトをブロックし、ログ監査を有効にし、不審な動作が発生した場合はすぐにゲートウェイを切断してパスワードをリセットします。不明なソースからの Web サイトを閲覧したり、見慣れない Web リンクをクリックしたり、信頼できない文書を読んだりしないでください。
(6) 長期的な保護メカニズムを確立する。脆弱性は定期的にチェックしてパッチを適用する必要があり、OpenClaw 公式セキュリティ情報や工業情報化省のサイバー セキュリティ脅威および脆弱性情報共有プラットフォームなどの脆弱性データベースからのリスク警告にタイムリーに注意を払う必要があります。党および政府機関、企業、機関、および個人ユーザーは、ネットワーク セキュリティ保護ツールと主流のウイルス対策ソフトウェアを使用してリアルタイム保護を実現し、起こり得るセキュリティ リスクにタイムリーに対処できます。詳細ログ監査を無効にしないでください。