全体师生:
近期,OpenClaw开源AI智能体(俗称“龙虾”)网络关注度持续上升,经权威机构安全检测评估,该工具存在严重数据安全与网络安全风险,已被列为高风险软件。工业和信息化部、国家互联网应急中心等部门已先后发布安全风险提示;3月11日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布《关于防范OpenClaw(“龙虾”)开源智能体安全风险的“六要六不要”建议》,对相关安全风险作出明确指引。
为切实筑牢校园网络安全防线,保障师生个人信息、教学科研数据、重要办公文件及校园信息系统安全,有效防范数据泄露、恶意代码植入、网络攻击等安全事件,规范校园人工智能应用管理,现就使用 OpenClaw(“龙虾”)智能体有关安全风险提示如下。
一、认清风险,增强防范意识
1.“提示词注入”风险。网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,进而导致用户系统密钥、敏感信息等被非法窃取,造成信息泄露。
2.“误操作”风险。OpenClaw 对用户指令的理解存在不确定性,可能因错误识别指令意图,误删电子邮件、核心业务数据等重要信息,导致无法挽回的损失。
3.功能插件(skills)投毒风险。多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在的安全风险,安装后可执行窃取密钥、部署木马后门软件等恶意操作,使设备沦为被攻击者控制的“肉鸡”,威胁设备及数据安全。
4.安全漏洞风险。截至目前,OpenClaw已经公开曝出多个高中危漏洞,一旦这些漏洞被网络攻击者恶意利用,则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户,可导致隐私数据(像照片、文档、聊天记录)、支付账户、API密钥等敏感信息遭窃取。对校内各业务系统,则可能引发业务流程中断、核心数据被窃取或篡改、系统服务瘫痪等问题,严重威胁校园信息化运行秩序与整体数据安全。
二、规范慎用,筑牢安全防线
为合理规避上述风险,现提出以下防范要求。
1.严禁违规部署运行。严禁在校园内网环境(含有线、无线、VPN远程连接等)下,于任何终端设备(含办公电脑、教学终端、实验室联网设备、服务器等)上安装、部署、运行“龙虾”(OpenClaw)软件本体、衍生版本、配套插件及第三方技能脚本。已安装、部署相关软件及插件的,应自行彻底卸载,清除全部配置文件、缓存及运行日志,确保无任何残留。
2.严控网络访问权限。严控开放公网访问,务必确认服务未暴露至校园网或互联网,不得分享OpenClaw相关链接,不得设置外网可访问状态,严防被外部人员攻击利用。
3.杜绝存储敏感信息。不要在OpenClaw中存储或处理敏感信息,包括但不限于学校统一身份认证账号及密码、服务器管理权限、银行卡及信用卡信息、邮箱账号及密码、社交媒体账号及密码、重要办公文件与科研数据等。
4.规范版本获取与更新。在个人终端或云端部署时,从官方渠道下载最新稳定版,并开启自动更新提醒,及时进行版本更新和安装安全补丁。升级前备份重要数据,升级后重启服务并验证补丁是否生效。
5.遵循最小权限原则。在个人终端或云端部署时,仅授予工具完成任务必需的最小权限,对删除文件、发送数据、修改系统配置等重要操作,设置进行二次确认机制。
6.谨慎使用功能插件。各类网络社区平台提供的OpenClaw技能包、插件存在被恶意投毒的安全风险,全体师生须提高警惕,审慎下载、谨慎使用相关技能包,切勿轻信非官方渠道的插件资源。
三、安全管理与建议
1.排查与处置。各部门及全体师生应对本部门办公电脑或内网VPN环境进行全面自查,核查是否安装、部署了OpenClaw(“龙虾”)及其相关插件、衍生工具。如发现已安装,须立即停止运行,并按照以下步骤彻底清除:关闭相关服务进程、删除安装目录及全部配置文件(通常位于用户主目录下的.openclaw或.qclaw文件夹)、清除运行时缓存及日志文件。对于服务器环境,建议在清除后重新检查系统账号、网络连接和定时任务,确认无后门残留。如发现设备存在异常行为(如异常外连、未知账号、不明定时任务等),须第一时间断网,并联系图信中心技术支持人员应急处置。
2.安全指引。各部门及全体师生确有相关使用需求时,应遵循以下审慎评估原则:优先选择经过安全评估、具有明确数据安全保障方案的类似可信产品,选用不对用户输入数据用于模型训练的正规商用服务,并在使用前完成本通知第一部分所列各项安全防范措施的配置。
3.事件报告与持续监控。各部门如发现疑似利用 OpenClaw安全漏洞实施的攻击行为,或发生数据泄露、系统被控等安全事件,须在发现后2小时内以书面形式报送学校网络与信息安全领导小组办公室(图信中心),图信中心将持续跟踪OpenClaw安全漏洞披露情况,并通过校园网安全公告定期发布风险预警,各部门须及时关注并落实相关处置要求。
四、强化责任担当,确保AI科技向善
校园网络安全与每一位师生的切身利益息息相关,更关乎学校教学科研秩序安全稳定。全体师生要进一步强化安全防范意识,规范人工智能校园应用管理,有效防范利用人工智能实施伪造、诈骗、学术造假、隐私泄漏等风险,共同营造安全、可信、可控的应用环境,积极有序推动人工智能校园应用。
特此提示。
