教务系统
|
OA系统
|
数据平台
|
科研管理平台
|
English
访客
学生
教师
校友
访客
|
教务系统
|
OA系统
|
数据平台
|
科研管理平台
|
English
|
搜索

现代教育技术与信息中心

网站首页 > 机构设置 > 现代教育技术与信息中心 > 网络安全 > 正文

现代教育技术与信息中心

部门简介
规章制度
网络安全
服务指南

关于防范OpenClaw(龙虾)开源AI智能体网络安全风险的提示

发布时间:2026-03-12   |   浏览量:

关于防范OpenClaw(龙虾)开源AI智能体网络安全风险的提示

全体师生、各部门:

近日,工业和信息化部网络安全威胁和漏洞信息共享平台发布《关于防范OpenClaw开源AI智能体安全风险的预警提示》。OpenClaw俗称“龙虾”,是一款开源AI智能体,因图标为红色龙虾得名,其可整合通信软件与大语言模型,在本地电脑自主执行文件管理、邮件收发、数据处理等复杂任务,近期在各领域被广泛关注和应用,但同时也存在较高网络安全风险,对校园网络安全、师生个人信息及学校敏感数据构成潜在威胁。为切实筑牢校园网络安全防线,保障全体师生合法权益和学校正常教育教学秩序,结合校园用网实际,现将相关风险及防范要求提示如下,请全体师生、各部门严格遵照执行。

一、明确核心安全风险,提高警惕意识

结合校园用网场景,OpenClaw(龙虾)主要存在以下几类突出安全风险,需重点防范:

1.误操作风险:该智能体在调用大语言模型时,可能误解师生的操作指令,误执行删除文件、修改系统配置等有害操作,导致师生个人学习资料、科研数据或学校教学管理相关文件丢失,影响正常学习和工作推进。

2.技能包投毒风险:ClawHub等平台为其提供的技能包缺乏严格审核,部分被植入恶意代码的技能包,一旦下载安装,可能导致设备被控制、师生个人信息(如学号、手机号、家庭住址)及学校敏感数据(如教学计划、学生档案)泄露,甚至被用于恶意攻击校园网络。

3.系统漏洞与攻击风险:目前OpenClaw已公开曝出多个高中危漏洞,且其默认安全配置较为脆弱,若未及时更新版本或采取防护措施,攻击者可通过漏洞获取系统控制权;若将智能体实例暴露于公网,还可能遭受口令爆破、远程攻击等威胁。

4.提示词注入与信息泄露风险:攻击者可通过构造隐藏恶意指令的网页,诱导OpenClaw读取,进而窃取系统密钥、API接口信息等敏感内容,间接导致师生个人隐私和学校内部信息泄露。

5.权限失控风险:若使用管理员权限部署该智能体,或未限制其操作权限,可能导致其恶意读写任意文件、执行非法系统命令,甚至引发校园内网横向攻击,影响整个校园网络正常运行。

二、落实防范措施,筑牢安全防线

请全体师生、各部门严格遵循“最小权限、主动防御、持续审计”的原则,落实以下防范措施,切实降低安全风险:

(一)规范软件下载与版本管理

1.审慎使用OpenClaw(龙虾)开源AI智能体,非教学、科研必需,一律不下载、不部署、不使用;

2.若确需使用,必须从官方渠道下载最新稳定版本,开启自动更新提醒,升级前备份好个人及工作数据,升级后重启服务并验证补丁是否生效,严禁使用第三方镜像、旧版本或来源不明的安装包。

(二)严格控制网络访问与权限

1.严禁将OpenClaw智能体实例暴露到公网,确需互联网访问的,需通过SSH或VPN等加密通道,限制访问源地址,并使用强密码、证书或硬件密钥等安全认证方式;

2.部署时严格坚持最小权限原则,严禁使用管理员权限账号,仅授予其完成任务必需的权限,对删除文件、发送数据、修改系统配置等重要操作,务必进行二次确认或人工审批;建议在容器或虚拟机中隔离运行,形成独立权限区域。

(三)谨慎使用技能包与网络防护

1.审慎下载ClawHub等平台提供的技能包,安装前务必审查代码,坚决拒绝任何要求“下载ZIP文件”“执行shell脚本”或“输入密码”的技能包,避免恶意代码植入;

2.不随意浏览来历不明的网站、点击陌生网页链接,不读取不可信文档;建议使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本,启用OpenClaw速率限制和日志审计功能,遇到可疑行为立即断开网络并重置密码。

(四)强化个人与校园数据保护

1.不向OpenClaw智能体及相关技能包泄露个人敏感信息(学号、身份证号、手机号、支付密码等)和学校敏感数据(教学资料、科研成果、学生档案、内部管理文件等),避免明文存储密钥、账号密码等信息;

2.安装主流杀毒软件和网络安全防护工具,定期进行病毒查杀和系统漏洞扫描,及时修补系统及软件漏洞;启用详细日志审计功能,定期检查操作记录,发现异常及时处置。

(五)明确责任与应急处置

1.各部门要加强本部门师生用网管理,定期开展网络安全宣传提醒,排查本部门OpenClaw使用及网络安全隐患;教师要引导学生规范用网,杜绝违规使用此类智能体带来的安全风险;

2.若发现OpenClaw智能体存在安全漏洞,或遭遇相关网络攻击、信息泄露等情况,立即停止使用该智能体,断开网络连接,保存相关证据,并第一时间向学校网络安全管理部门报告,同时可向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关情况。

三、强化责任落实,共建安全校园

网络安全无小事,事关全体师生切身利益和学校教育教学安全。请全体师生提高网络安全防范意识,严格遵守本提示要求,养成安全用网习惯,不违规使用开源AI智能体,主动防范各类网络安全风险;各部门要切实履行网络安全主体责任,加强日常排查和宣传教育,及时处置各类网络安全隐患。

贵阳康养职业大学

现代教育技术与信息中心

2026年3月12日