各学院、各单位、全体师生:
近期,OpenClaw(又称“龙虾”,曾用名Clawdbot、Moltbot)在网络上快速走红,应用下载与使用情况火爆,其具备的自主执行电脑操作、处理办公任务等功能受到广泛关注,国内主流云平台均提供了一键部署服务。此款智能体软件依据自然语言指令直接操控计算机完成相关操作。为实现“自主执行任务”的能力,该应用被授予了较高的系统权限,包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。 2026年3月11日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)正式发布《关于防范0penClaw(“龙虾”)开源智能体安全风险的“六要六不要”建议》,明确指出该开源AI智能体部分实例在默认或不当配置下,存在较高安全风险,极易引发校园网络瘫痪、教学科研数据泄露、校园信息系统被攻击、个人隐私被盗等严重后果。
为保障师生个人信息安全、教学科研数据安全及校园网络稳定运行,现就OpenClaw使用相关安全事项提醒如下:
1.严禁在工作场景使用:校内各单位、教职工严禁在处理教学科研数据、行政办公信息、学生信息等工作场景中使用该工具,杜绝校园工作数据泄露、系统受攻击等问题,守住校园数据安全底线。已在以上设备安装0penClaw软件等相关程序的,必须立即彻底卸载,清除全部配置、缓存及日志文件。
2.因特殊科研、实验需求,确需使用OpenClaw的,必须严格执行以下防护流程,坚决杜绝安全隐患:
(1)必须在物理隔离、不接入校园网的独立环境中部署,优先采用Docker沙箱、虚拟机、容器等隔离技术运行,及时关闭不必要的访问入口,禁止将服务暴露在校园网或互联网。
(2)从官方网站下载安装,及时进行版本更新、安装补丁。不随意安装第三方插件,仅从可信渠道安装经过签名验证的扩展程序。
(3)完善身份认证、访问控制、数据加密、安全审计等安全机制,做好API密钥、账户凭证等重要信息的管理。持续关注官方发布的安全公告与加固建议,及时落实风险防范与修复措施。
(4)若已部署使用该工具,立即对设备进行安全排查,核查公网暴露情况、权限配置及凭证管理状态,及时关闭高危权限、删除可疑程序,对重要文件和数据进行备份,若发现设备异常、信息泄露等情况,第一时间断开网络并进行病毒查杀和系统修复。
(5)严禁向OpenClaw输入、存储、处理任何校内敏感数据及个人隐私信息。
请广大师生严格遵守以上规定,提升网络安全和个人信息保护意识,认清各类新兴AI工具的安全风险。如遇疑问,请及时联系校信息中心(电话:0551-62671278)
基建后勤部信息中心
2026年3月16日