全体师生:
近期,工业和信息化部网络安全威胁和漏洞信息共享平台发布《关于防范OpenClaw开源AI智能体安全风险的预警提示》。监测发现,该开源AI智能体部分实例在默认或不当配置下存在较高安全风险,极易引发网络攻击、信息泄露等问题。
OpenClaw(俗称“龙虾”,曾用名Clawdbot、Moltbot)存在“信任边界模糊”问题,在缺乏有效权限控制等防护时,易被诱导或恶意接管并执行越权操作,还可能导致设备远程受控,存在极高网络安全隐患,已有误删文件、窃取账户凭证等案例。
为保障师生个人信息安全、教学科研数据安全及校园网络环境稳定,现就OpenClaw使用相关安全事项提醒如下:
1. 使用官方最新版本。在部署时,从官方渠道下载最新稳定版,并开启自动更新提醒。在升级前备份数据,升级后重启服务并验证补丁是否生效。切勿使用第三方镜像或旧版。
2. 严格控制互联网暴露面。师生使用OpenClaw智能体应优先使用云端服务器、虚拟机、容器等隔离技术部署,不要将服务暴露至公网或校园网。确需网络访问的,必须通过SSH等加密通道认证,并严格限制访问源地址。
3. 坚持最小权限原则。在部署时,严禁使用管理员权限的账号,只授予完成任务必需的最小权限,对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。
4. 谨慎使用技能市场。各类网络社区平台提供的技能包存在被恶意投毒的安全风险。请广大师生审慎下载相关技能包,安装前务必核查代码内容,坚决拒绝使用要求“下载ZIP压缩包”“执行shell脚本”或“输入密码”的技能包。
5. 防范社会工程学攻击和浏览器劫持。不随意浏览来历不明的网站,不点击陌生的网页链接。建议使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本,启用OpenClaw速率限制和日志审计功能,遇到可疑行为立即断开网关并重置密码。
6. 建立有效防护机制。师生可以结合网络安全防护工具、主流杀毒软件进行实时防护。要定期关注OpenClaw官方安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警,及时处置可能存在的安全风险。
网络安全无小事,望师生提高防范意识,审慎使用高权限开源工具,共筑校园防线,守护个人及学校信息安全。
.
信息化建设与公共资源管理处
2026年3月11日
