「養龍蝦」雖然方便,但其強大的指令執行能力也是雙面刃。本文將教你如何進行深度安全加固,確保你的龍蝦 AI Agent 只聽命於你,且不會危害系統安全。
一、 絕對不要使用 Root 帳號執行
這是最常見的錯誤。如果龍蝦被駭或 AI 產生幻覺執行錯誤指令,Root 權限會毀掉整個伺服器。請建立一個受限的 lobster 使用者:
sudo adduser lobster
sudo su - lobster在該使用者環境下進行 git clone 與安裝。
二、 嚴格鎖定 Telegram User ID
在 .env 設定中,務必確保 ALLOWED_TELEGRAM_USER_IDS 正確無誤。你可以多填入一個備用的管理員 ID,但絕不可留空或填錯。這層防護是你的第一道也是最重要的防線。
三、 API Key 的權限限制
不要給予龍蝦一個具備所有權限的 API Key。例如使用 Anthropic 或 OpenAI 時,建議專門為龍蝦申請一個新的 Key,並設定每月使用限額(Usage Limit),避免因為龍蝦「暴走」反覆嘗試而產生天價帳單。
四、 網路層級的隔離
如果你的 VPS 只用來跑龍蝦,建議使用防火牆(UFW)關閉所有不必要的連接埠,只留下 SSH。在 侃瑞科技 VPS 中,你可以透過安全組規則輕鬆實現:
sudo ufw default deny incoming
sudo ufw allow ssh
sudo ufw enable五、 關鍵檔案的防護
龍蝦具備讀寫檔案的能力。請確保你的私鑰(如 ~/.ssh/id_ed25519)權限設定為 600,且龍蝦執行帳號無法讀取系統核心設定(如 /etc/shadow)。更多 Linux 安全設定,可參考我們的 系統維護手冊。
常見問題
Q:龍蝦可以執行 sudo 指令嗎?
技術上可以(透過加入 sudoers),但極度不建議。如果真的需要,請限定特定的指令(例如 sudo systemctl restart nginx),而不是給予無限制的 sudo 權限。
Q:如何監控龍蝦的操作記錄?
你可以定期檢查龍蝦產出的日誌檔案,或使用 pm2 logs lobster-ai。在侃瑞科技,我們建議進階用戶搭配 Fail2Ban 來自動封鎖嘗試掃描你龍蝦服務埠的惡意 IP。