全校师生：

近期，开源AI智能体OpenClaw（俗称“龙虾”）在网络上受到广泛关注。此款智能体软件可依据自然语言对话，直接操控计算机完成相关操作，为实现“自主执行任务”的能力，该应用被授予了极高的系统权限，包括但不限于执行系统命令、访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口（API）以及安装扩展功能等。

根据工业和信息化部网络安全威胁和漏洞信息共享平台近期发布的多次风险提示，OpenClaw在默认配置或不当使用情况下存在极其严峻的安全隐患，极易引发网络攻击、信息泄露等网络安全问题，并提出“六要六不要”建议。为切实保障全体师生的个人信息安全、教学科研数据安全及校园网络运行环境稳定，现就存在的风险及相关防范事项提示如下：

一、安全风险分析

1.隐私泄露风险极高：该工具运行时需获取电脑高权限，用户的聊天记录、账号密码、文件数据等敏感信息可能以明文形式存储。若配置不当或遭遇黑客攻击，信息极易被窃取。

2.自主执行易失控：OpenClaw存在“信任边界模糊”问题，面对模糊指令可能自行“脑补”并执行误操作。已有案例显示，其曾出现无视用户限制、批量或误删重要邮件及文件的情况，安全审计通过率极低。

3.权限管理漏洞：该工具具备持续运行、自主决策的特性。在缺乏有效权限控制和审计机制时，易被恶意指令诱导或接管，进而执行越权操作，甚至导致个人电脑或学校设备被远程控制。

4.技术门槛与风险不匹配：OpenClaw本质是面向开发者的底层框架，普通用户在非专业人士帮助下，通过网上“代装”服务部署，极易因不懂权限配置而放大风险，还可能遭遇“智商税”或设备被植入恶意程序。

二、安全建议与防范措施

1.谨慎部署安装，切勿在个人工作环境安装，切勿盲目跟风安装。请全体师生理性看待新兴AI工具，切勿因好奇或跟风在办公电脑、教学终端、存储有个人敏感信息或工作数据的设备上安装、运行OpenClaw及其衍生版本、插件或脚本。

2.严格控制互联网暴露面。师生使用OpenClaw智能体应优先使用云端服务器、虚拟机、容器等隔离技术部署，不要将服务暴露至公网或校园网。确需网络访问的，必须通过SSH等加密通道认证，并严格限制访问源地址。

3.坚持最小权限原则。在部署时，严禁使用管理员权限的账号，只授予完成任务必需的最小权限，对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。

4.谨慎使用技能市场。各类网络社区平台提供的技能包存在被恶意投毒的安全风险。请广大师生审慎下载相关技能包，安装前务必核查代码内容，坚决拒绝使用要求“下载ZIP压缩包”“执行shell脚本”或“输入密码”的技能包。

5.防范社会工程学攻击和浏览器劫持。不随意浏览来历不明的网站，不点击陌生的网页链接。建议使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本，启用OpenClaw速率限制和日志审计功能，遇到可疑行为立即断开网关并重置密码。

6.建立有效防护机制。师生可以结合网络安全防护工具、主流杀毒软件进行实时防护，使用过程中，必须启用详细日志审计功能，留存所有操作记录、输入输出数据及交互日志，满足数据安全合规及溯源要求。要定期关注OpenClaw官方安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警，及时处置可能存在的安全风险。

网络安全无小事，防范风险共担当。请全体师生提高警惕，审慎使用各类高权限开源工具，共同守护个人及校（院）的网络信息安全。

现代教育技术中心（网络信息中心）

2026年3月16日