工信部:OpenClaw(「ロブスター」)のオープンソースAIのセキュリティリスクを防ぐための「六つの要点と六つの禁止事項」提言。(一)公式の最新バージョンを使用する。公式のチャネルから最新の安定版をダウンロードし、自動更新の通知を有効にする。アップグレード前にデータをバックアップし、アップグレード後にサービスを再起動してパッチの適用を確認する。サードパーティのミラー版や過去のバージョンは使用しないこと。(二)インターネットへの露出を厳格に管理する。定期的にインターネットへの露出状況を自己点検し、発見次第直ちにオフラインにして修正すること。「ロブスター」AIのインスタンスをインターネットに公開しない。必要な場合はSSHなどの暗号化通信を利用し、アクセス元アドレスを制限し、強力なパスワードや証明書、ハードウェアキーなどの認証方式を採用すること。(三)最小権限の原則を徹底する。業務に必要な最小限の権限だけを付与し、ファイルの削除やデータ送信、システム設定の変更など重要な操作は二次確認や手動承認を行う。コンテナや仮想マシン内で隔離して運用し、権限エリアを独立させることを優先する。管理者権限のアカウントをデプロイ時に使用しないこと。(四)スキルマーケットの利用には注意を払う。ClawHubの「スキルパッケージ」のダウンロードを慎重に行い、インストール前にコードをレビューすること。「ZIPのダウンロード」や「シェルスクリプトの実行」、「パスワード入力」を要求するスキルパッケージは使用しないこと。(五)ソーシャルエンジニアリング攻撃やブラウザのハイジャックを防ぐ。ブラウザサンドボックスやウェブフィルターなどの拡張機能を利用し、疑わしいスクリプトをブロックする。ログ監査機能を有効にし、疑わしい行動を検知したら直ちにゲートウェイを切断し、パスワードをリセットすること。不審なサイトの閲覧や未知のリンクのクリック、不信頼なドキュメントの読取は避けること。(六)長期的な防護体制を構築する。定期的に脆弱性を点検・修正し、OpenClawの公式セキュリティアナウンスや工業情報化部のネットワークセキュリティ脅威・脆弱性情報共有プラットフォームなどの脆弱性情報リストを監視し、リスクを早期に警戒すること。
工信部NVDB:OpenClaw(“ロブスター”)オープンソースインテリジェントエージェントのセキュリティリスク防止に関する「六要六不要」提言
工信部:OpenClaw(「ロブスター」)のオープンソースAIのセキュリティリスクを防ぐための「六つの要点と六つの禁止事項」提言。(一)公式の最新バージョンを使用する。公式のチャネルから最新の安定版をダウンロードし、自動更新の通知を有効にする。アップグレード前にデータをバックアップし、アップグレード後にサービスを再起動してパッチの適用を確認する。サードパーティのミラー版や過去のバージョンは使用しないこと。(二)インターネットへの露出を厳格に管理する。定期的にインターネットへの露出状況を自己点検し、発見次第直ちにオフラインにして修正すること。「ロブスター」AIのインスタンスをインターネットに公開しない。必要な場合はSSHなどの暗号化通信を利用し、アクセス元アドレスを制限し、強力なパスワードや証明書、ハードウェアキーなどの認証方式を採用すること。(三)最小権限の原則を徹底する。業務に必要な最小限の権限だけを付与し、ファイルの削除やデータ送信、システム設定の変更など重要な操作は二次確認や手動承認を行う。コンテナや仮想マシン内で隔離して運用し、権限エリアを独立させることを優先する。管理者権限のアカウントをデプロイ時に使用しないこと。(四)スキルマーケットの利用には注意を払う。ClawHubの「スキルパッケージ」のダウンロードを慎重に行い、インストール前にコードをレビューすること。「ZIPのダウンロード」や「シェルスクリプトの実行」、「パスワード入力」を要求するスキルパッケージは使用しないこと。(五)ソーシャルエンジニアリング攻撃やブラウザのハイジャックを防ぐ。ブラウザサンドボックスやウェブフィルターなどの拡張機能を利用し、疑わしいスクリプトをブロックする。ログ監査機能を有効にし、疑わしい行動を検知したら直ちにゲートウェイを切断し、パスワードをリセットすること。不審なサイトの閲覧や未知のリンクのクリック、不信頼なドキュメントの読取は避けること。(六)長期的な防護体制を構築する。定期的に脆弱性を点検・修正し、OpenClawの公式セキュリティアナウンスや工業情報化部のネットワークセキュリティ脅威・脆弱性情報共有プラットフォームなどの脆弱性情報リストを監視し、リスクを早期に警戒すること。