全校师生:
近期,开源 AI 智能体 OpenClaw(因图标特征被俗称 “龙虾”)在网络上广泛传播,其具备的自主执行电脑操作、处理办公任务等功能受到关注,但该工具存在较高网络安全风险,工业和信息化部网络安全威胁和漏洞信息共享平台已发布相关安全预警,多地也监测到该工具被恶意利用引发的信息泄露、系统受控等安全事件。为切实保障校园网络安全、全校师生的个人信息安全及学校数据资产安全,现就防范该工具相关安全风险事项通知如下:
一、充分认清“龙虾” AI 智能体核心安全隐患
该工具作为面向开发者的底层框架,并非适配普通用户的成熟产品,存在多重突出安全风险,已对网络安全构成显著威胁:
1. 隐私与数据泄露风险极高:运行需获取电脑高权限,个人聊天记录、账号密码、文件数据及学校科研教学数据、学籍信息等均可能以明文形式存储,配置不当或遭黑客入侵时,敏感信息易被窃取,且工具权限过高,未受控使用将直接导致核心数据外泄。
2. 自主执行易失控且易被恶意利用:存在意图误解、指令执行不精准问题,会对模糊指令自行脑补操作,曾出现批量删除邮件、误删重要文件等失控案例;同时易被用于 AI 仿冒诈骗、钓鱼攻击及音视频伪造,危害师生财产和权益安全。
3. 权限管理与供应链存在双重漏洞:信任边界模糊,缺乏有效权限控制和审计机制,易被指令诱导、恶意接管进而导致系统远程控制;其依赖的“技能包” 生态缺乏严格审核,存在恶意代码投毒风险,还可能成为内网渗透入口,攻击者可通过恶意插件窃取账号密码,威胁校园整体网络架构。
4. 普通用户使用风险与技术门槛不匹配:使用需掌握命令行操作、API 密钥管理等专业知识,非官方 “代装” 服务不仅会放大权限配置风险,还可能存在投机收割 “智商税”、植入恶意程序等问题。
5. 版本更新无法彻底消除风险:即便更新至官方最新版本,仅能修复已知漏洞,因公网暴露、权限配置不当等问题,加之黑客攻击手法持续迭代,工具仍存在被攻击的潜在风险,不可将版本升级当作“一劳永逸” 的安全保障。
二、防范要求与建议
1. 切勿盲目跟风安装:请全体师生理性看待新兴AI工具,切勿因好奇或跟风在办公电脑、教学终端、存储有个人敏感信息或工作数据的设备上安装、运行OpenClaw及其衍生版本、插件或脚本。
2. 试验需在隔离环境进行:若因科研或学习确需测试该工具,务必使用独立的虚拟机、容器或专用测试机,并在操作前将重要数据(尤其是师生个人信息、教学科研数据、行政办公信息等)完全移出测试环境,严禁在连接校园网的设备上直接试验。
3. 严禁在处理敏感数据时使用:任何涉及师生信息、教学科研数据、行政办公信息的工作场景中,一律禁止使用OpenClaw,严防数据泄露。
三、应急处置与报告
若发现OpenClaw相关安全漏洞、遭受攻击或发生信息泄露事件:
1. 立即处置:第一时间断开设备网络连接,隔离受影响系统,防止风险扩散。
2. 及时上报:立即向学校信息网络与数据中心及所在单位报告,由学校统一向相关主管部门报送。
3. 配合调查:保留相关日志与证据,配合相关部门进行溯源分析与应急处置。
网络安全无小事,事关全校师生的切身利益和学校教学、科研、管理工作的正常开展。请全体师生高度重视,切实落实安全防护措施,共同筑牢校园网络安全防线。
信息网络与数据中心
2026年3月13日
