3月11日，针对“龙虾”典型应用场景下的安全风险，工业和信息化部网络安全威胁和漏洞信息共享平台组织智能体提供商、漏洞收集平台运营单位、网络安全企业等，研究提出“六要六不要”建议。

“六要”包括六种典型应用场景下企业的应对策略。如通过在企业内部部署“龙虾”，对接企业已有管理系统，实现智能化数据分析、文档处理、行政管理、财务辅助和知识管理时，可能会发生：引入异常插件、“技能包”等引发供应链攻击；网络安全风险在内网横向扩散，引发已对接的系统平台、数据库等敏感信息泄露或丢失；缺乏审计和追溯机制情况下易引发合规风险。

对此，工信部提出“六不要”包括：不要使用第三方镜像版本或历史版本；不要使用要求“下载ZIP”、“执行shell脚本”或“输入密码”的技能包；不要在部署时使用管理员权限账号；不要将“龙虾”智能体实例暴露到互联网，确需互联网访问的可以使用SSH等加密通道，并限制访问源地址，使用强密码或证书、硬件密钥等认证方式；不要禁用详细日志审计功能等。

文/北京青年报记者 温婧
编辑/张丽