Le 11 mars, la plateforme de partage d’informations sur les menaces et les vulnérabilités en matière de cybersécurité du ministère de l’Industrie et des Technologies de l’information a publié des recommandations de « six choses à faire et six à ne pas faire » pour prévenir les risques de sécurité liés aux renseignements open source d’OpenClaw (« Lobster »). En réponse aux risques de sécurité dans les scénarios d'application typiques du « homard », la plate-forme de partage d'informations sur les menaces et les vulnérabilités de sécurité des réseaux (NVDB) du ministère de l'Industrie et des Technologies de l'information a organisé des fournisseurs de renseignements, des unités opérationnelles de plate-forme de collecte de vulnérabilités, des sociétés de sécurité des réseaux, etc. pour étudier et proposer les recommandations des « six choses à faire et six à ne pas faire ».

(1) Utilisez la dernière version officielle. Téléchargez la dernière version stable depuis les chaînes officielles et activez les rappels de mise à jour automatiques ; sauvegardez les données avant la mise à niveau, redémarrez le service après la mise à niveau et vérifiez si le correctif prend effet. N'utilisez pas de versions d'images tierces ou de versions historiques.

(2) Contrôler strictement l’exposition sur Internet. Il est nécessaire de s'auto-examiner régulièrement pour savoir s'il y a une exposition sur Internet et, si elle est détectée, de se déconnecter immédiatement et d'effectuer des rectifications. N'exposez pas l'instance de l'agent « Lobster » à Internet. Si vous avez vraiment besoin d'un accès à Internet, vous pouvez utiliser des canaux cryptés tels que SSH, limiter l'accès aux adresses sources et utiliser des mots de passe forts ou des méthodes d'authentification telles que des certificats et des clés matérielles.

(3) Adhérer au principe de la moindre autorité. Il est nécessaire d'accorder les autorisations minimales nécessaires pour terminer la tâche en fonction des besoins de l'entreprise et d'effectuer une confirmation secondaire ou une approbation manuelle pour les opérations importantes telles que la suppression de fichiers, l'envoi de données, la modification des configurations du système, etc. Donnez la priorité à l'exécution de manière isolée dans un conteneur ou une machine virtuelle pour former une zone d'autorisation indépendante. N'utilisez pas de compte doté de privilèges d'administrateur lors du déploiement.

(4) Utilisez le marché des compétences avec prudence. Soyez prudent lorsque vous téléchargez les « packs de compétences » de ClawHub et examinez le code du pack de compétences avant l'installation. N'utilisez pas de packs de compétences qui nécessitent « Télécharger le code ZIP », « Exécuter un script shell » ou « Entrer le mot de passe ».

(5) Empêcher les attaques d'ingénierie sociale et le piratage de navigateur. Utilisez des extensions telles que les sandbox de navigateur et les filtres Web pour bloquer les scripts suspects, activer l'audit des journaux, déconnecter immédiatement la passerelle et réinitialiser les mots de passe lorsque vous rencontrez un comportement suspect. Ne parcourez pas les sites Web provenant de sources inconnues, ne cliquez pas sur des liens Web inconnus et ne lisez pas de documents non fiables.

(6) Établir un mécanisme de protection à long terme. Les vulnérabilités doivent être vérifiées et corrigées régulièrement, et les avertissements de risques provenant des bases de données de vulnérabilités telles que les bulletins de sécurité officiels d'OpenClaw et la plateforme de partage d'informations sur les menaces de cybersécurité et les vulnérabilités du ministère de l'Industrie et des Technologies de l'information doivent être pris en compte en temps opportun. Les agences partisanes et gouvernementales, les entreprises, les institutions et les utilisateurs individuels peuvent utiliser des outils de protection de la sécurité du réseau et des logiciels antivirus traditionnels pour une protection en temps réel et gérer les risques de sécurité possibles en temps opportun. Ne désactivez pas l’audit détaillé des journaux.