全校师生:
近期,一个名为OpenClaw(图标形似龙虾,俗称“龙虾”AI智能体)的开源工具在网络上受到广泛关注。该工具具备自主执行电脑操作、处理办公任务等功能。
然而,根据工业和信息化部网络安全威胁和漏洞信息共享平台发布的安全预警,OpenClaw在默认或不当配置下存在极高的网络安全风险。为切实保障全体师生的个人信息安全、教学科研数据安全及校园网络环境稳定,现就相关风险防范事项公告如下:
一、认清核心安全隐患
1.隐私泄露风险极高:该工具运行时需获取电脑高权限,用户的聊天记录、账号密码、文件数据等敏感信息可能以明文形式存储。若配置不当或遭遇黑客攻击,信息极易被窃取。
2.自主执行易失控:OpenClaw存在“信任边界模糊”问题,面对模糊指令可能自行“脑补”并执行误操作。已有案例显示,其曾出现无视用户限制、批量或误删重要邮件及文件的情况,安全审计通过率极低。
3.权限管理漏洞:该工具具备持续运行、自主决策的特性。在缺乏有效权限控制和审计机制时,易被恶意指令诱导或接管,进而执行越权操作,甚至导致个人电脑或学校设备被远程控制。
4.技术门槛与风险不匹配:OpenClaw本质是面向开发者的底层框架,普通用户在非专业人士帮助下,通过网上“代装”服务部署,极易因不懂权限配置而放大风险,还可能遭遇“智商税”或设备被植入恶意程序。
二、明确安全使用与防范要求
1.非必要不部署使用:请广大师生结合自身实际,理性看待新兴AI工具,切勿因跟风心理盲目安装。尤其严禁在接入校园网的设备、办公电脑以及存有个人敏感信息和工作数据的设备上使用。
2.坚持最小权限与隔离原则:
如因技术研究确需部署,务必从官方渠道获取最新稳定版源码和教程。
严禁使用管理员权限账号运行,仅授予完成任务所必需的最小权限。对于删除文件、修改配置等高危操作,应设置二次确认。
优先使用云端服务器、虚拟机、容器等隔离技术进行部署,切勿将服务直接暴露在公网或校园网。确需网络访问,必须通过SSH等加密通道并严格限制访问源地址。
3.谨慎管理配置与扩展:
完善身份认证、数据加密、安全审计等防护机制,妥善管理好API密钥等重要凭证。
对网络社区提供的各类“技能包”保持高度警惕,审慎下载。坚决拒绝要求“下载ZIP压缩包”“执行shell脚本”或“输入密码”的技能包。
建议使用浏览器沙箱、网页过滤器等阻止可疑脚本,并启用工具的速率限制和日志审计功能。
4.拒绝非官方服务,及时排查风险:
切勿轻信网上任何“公益安装”“远程代装”服务,谨防恶意程序与信息泄露。
若已部署使用该工具,请立即进行安全排查,核查公网暴露情况与权限配置。及时关闭高危权限、删除可疑程序,并对重要文件数据进行备份。若发现设备异常,应第一时间断开网络并进行病毒查杀和系统修复。
5.强化日常防护意识:
不随意浏览来历不明网站或点击陌生链接,不轻易给陌生软件授予高权限。
建议结合主流杀毒软件进行实时防护,并定期关注OpenClaw官方及工信部网络安全威胁和漏洞信息共享平台发布的风险预警。
三、应急处置与报告
若发生个人信息泄露、设备被控、数据丢失等网络安全事件,请及时留存相关证据,并立即向学校信息化中心报告。
网络安全无小事,防范风险共担当。请全体师生提高警惕,审慎使用各类高权限开源工具,共同守护个人及学校的信息安全。
信息化中心
2026年3月12日
