3월 11일, 산업정보기술부의 사이버보안 위협 및 취약성 정보 공유 플랫폼은 OpenClaw(“Lobster”) 오픈소스 인텔리전스의 보안 위험을 예방하기 위한 “6가지 해야 할 일과 6가지 하지 말아야 할 것” 권장 사항을 발표했습니다. 산업정보기술부의 네트워크 보안 위협 및 취약성 정보 공유 플랫폼(NVDB)은 "랍스터"의 일반적인 응용 시나리오의 보안 위험에 대응하여 정보 제공자, 취약성 수집 플랫폼 운영 단위, 네트워크 보안 회사 등을 조직하여 "6가지 해야 할 것과 6가지 하지 말아야 할 것" 권장 사항을 연구하고 제시합니다.
(1) 최신 공식 버전을 사용하세요. 공식 채널에서 최신 안정 버전을 다운로드하고 자동 업데이트 알림을 켜세요. 업그레이드하기 전에 데이터를 백업하고, 업그레이드 후 서비스를 다시 시작하고, 패치가 적용되는지 확인하세요. 타사 이미지 버전이나 기록 버전을 사용하지 마세요.
(2) 인터넷 노출을 엄격히 통제한다. 인터넷 노출 여부를 정기적으로 자체 점검하고, 발견되면 즉시 오프라인으로 전환해 시정해야 한다. "Lobster" 에이전트 인스턴스를 인터넷에 노출하지 마십시오. 인터넷 액세스가 정말로 필요한 경우 SSH와 같은 암호화된 채널을 사용하고, 소스 주소에 대한 액세스를 제한하고, 인증서 및 하드웨어 키와 같은 강력한 비밀번호나 인증 방법을 사용할 수 있습니다.
(3) 최소 권한의 원칙을 준수합니다. 비즈니스 요구에 따라 작업을 완료하는 데 필요한 최소한의 권한을 부여하고, 파일 삭제, 데이터 전송, 시스템 구성 수정 등 중요한 작업에 대해서는 2차 확인 또는 수동 승인을 수행해야 합니다. 컨테이너 또는 가상 머신에서 격리하여 실행하는 것을 우선적으로 수행하여 독립적인 권한 영역을 구성합니다. 배포 시 관리자 권한이 있는 계정을 사용하지 마십시오.
(4) 스킬마켓을 주의해서 이용하세요. ClawHub "스킬 팩"을 다운로드할 때는 주의하고 설치하기 전에 스킬 팩 코드를 검토하세요. "ZIP 다운로드", "셸 스크립트 실행" 또는 "비밀번호 입력"이 필요한 스킬 팩을 사용하지 마세요.
(5) 소셜 엔지니어링 공격 및 브라우저 하이재킹을 방지합니다. 브라우저 샌드박스 및 웹 필터와 같은 확장 기능을 사용하여 의심스러운 스크립트를 차단하고, 로그 감사를 활성화하고, 의심스러운 동작이 발견되면 즉시 게이트웨이 연결을 끊고 비밀번호를 재설정하세요. 출처를 알 수 없는 웹사이트를 탐색하거나, 익숙하지 않은 웹 링크를 클릭하거나, 신뢰할 수 없는 문서를 읽지 마세요.
(6) 장기적인 보호 메커니즘을 구축합니다. 취약점을 정기적으로 확인하고 패치해야 하며, OpenClaw 공식 보안 게시판과 산업 정보 기술부의 사이버 보안 위협 및 취약점 정보 공유 플랫폼과 같은 취약점 데이터베이스의 위험 경고에 적시에 주의를 기울여야 합니다. 당 및 정부 기관, 기업, 기관 및 개인 사용자는 실시간 보호를 위해 네트워크 보안 보호 도구와 주류 안티 바이러스 소프트웨어를 사용하고 적시에 발생할 수 있는 보안 위험을 처리할 수 있습니다. 자세한 로그 감사를 비활성화하지 마십시오.