您的位置: 首页 >> 通知公告 >> 正文
关于AI智能体OpenClaw(俗称“龙虾”)的安全使用要求及风险防范指南
发布时间 2026年03月30日 16:51 浏览次数:[]

全体师生:


近期,工业和信息化部网络安全威胁和漏洞信息共享平台通过持续监测发现,开源AI智能体框架OpenClaw(俗称龙虾)在默认或不当配置状态下存在较高的固有安全风险。其潜在的系统漏洞与设计缺陷容易被不法分子利用,进而可能引发包括网络攻击、数据篡改和敏感信息泄露在内的严重安全事件。为切实筑牢校园网络安全防线,信息化建设中心结合学校网络安全防护体系的实际情况与最新威胁情报,现就OpenClaw的安全使用要求与关键风险防范措施发布指南,请全体师生务必认真学习并严格遵守执行。


一、OpenClaw主要安全风险分析


OpenClaw作为一款旨在提升自动化任务处理效率的开源AI智能体框架,在实际的部署与应用过程中已暴露出严重安全隐患。首要风险是其默认安全配置的严重不足,该智能体在初始安装状态下往往未启用任何强制的身份验证机制,导致攻击者能够通过未授权访问轻易获取系统的高级控制权限,从而长驱直入。其次,OpenClaw目前活跃的插件生态系统缺乏统一、有效的安全审核与准入机制,来源不明的第三方插件极易携带恶意代码或后门程序。更为严峻的是,该智能体框架被赋予了自主发起网络请求与执行系统指令的强大能力,若攻击者通过漏洞植入特定恶意指令,可能主动扫描内部网络端口、窃取并外传敏感数据,甚至被用作攻击跳板发起横向移动与渗透使得安全威胁的范围与破坏性呈指数级扩大。


根据近期的网络安全监测数据,国内已出现多起利用OpenClaw默认配置缺陷实施的自动化勒索软件攻击事件。攻击者利用ShodanZoomEye等网络空间测绘引擎,能够高效地批量发现并定位那些暴露在公共互联网上且未加防护的OpenClaw用户,随后利用其开放的API接口与代码执行功能,部署挖矿程序或加密受害者关键文件以勒索赎金。特别需要警惕的是,部分高校实验室因科研需要部署了该工具,若在部署后未能及时进行全面的安全加固与隔离,极易导致内部宝贵的实验数据等科研资产遭遇未授权访问与窃取,可能造成难以估量的学术成果损失。


二、校园网内OpenClaw使用要求


为有效管控风险,信息化建设中心将对校园网范围内OpenClaw的部署与使用实施严格的分级分类管控。


(一)凡因教学演示或课程实验需要使用的,相关学院、部门或个人必须向信息化建设中心提交AI智能体部署申请申请需详细说明具体的使用场景、预期处理的数据类型与范围、网络访问需求以及拟采取的安全防护方案。


(二)学校办公电脑、涉密及处理敏感信息的电脑、服务器及所有正式的生产环境与核心业务系统,严格禁止安装部署OpenClaw等智能体确因特殊科研项目需要的,可通过在虚拟机内安装或经过物理隔离的独立实验网络环境中运行,确保其与校园主干网及核心数据区实现有效的网络隔离,同时加强入侵监测与行为审计。


(三)获准部署的OpenClaw环境及关联的应用系统接口、数据库,必须强制启用基于高强度密码或证书的身份认证体系,避免使用关联性强、易破解的弱密码网络访问控制层面,必须依据最小权限原则配置严格的IP白名单策略,仅允许来自授权管理终端的访问,严禁以任何形式将管理端口、API接口直接暴露在互联网上。同时,确保日志审计功能全程开启,能够完整、准确地记录智能体所有的用户登录、权限变更、外部API调用、文件系统操作及网络连接等关键行为日志,日志的保留期限不得少于180天,以备安全事件追溯与取证分析。


三、师生个人防范要点


个人在运用OpenClaw时,应首先立即检查当前部署的版本信息,确保其已更新至官方发布的最新版本。诸多在历史版本中被发现的高危漏洞(如远程代码执行、权限提升等)已在近期的安全补丁中得到修复。在进行具体配置时,必须全面彻底修改所有默认参数,包括服务监听端口、默认访问密钥、数据库连接字符串以及管理员账户密码等,避免直接复制使用互联网技术论坛、博客中公开的示例配置,因为这些公开配置极易被攻击者的自动化扫描脚本识别并利用。


对于从GitHub等开源社区、技术交流群或其他非官方渠道获取的插件、预训练模型或工作流模板,必须在加载运行前进行基础的代码安全审查与静态分析。要格外警惕那些功能描述模糊、包含系统命令执行、文件越权读写、网络代理设置等敏感操作的脚本组件。严格禁止将OpenClaw实例用于处理、分析或存储任何涉密数据、师生个人身份信息、联系方式、学业记录等隐私数据,以及学校的核心教务管理数据、财务数据与人事档案。确保数据处理过程符合国家法律法规与学校信息安全政策的要求。


作为高校师生,我们既要积极拥抱并主动学习人工智能等前沿技术的跨越式发展,在提升在教学、科研、学术创新与日常管理服务等各方面的效率与质量同时,也必须清醒而深刻地认识到,每一项新技术的应用背后都隐含着特定的安全边界、潜在风险,以及必须共同坚守的安全责任底线。在探索和尝试使用如OpenClaw这类新型AI工具时,务必牢固树立安全优先于便利的核心意识,始终将网络安全、数据安全与个人信息保护置于首要位置,在整个实践过程中保持必要的技术审慎、风险预判和操作严谨,严格遵守相关使用规范。


为更好地做好安全运用,学校信息化建设中心结合OpenClaw当前存在的主要风险,专门编制《OpenClaw开源AI智能体风险防范指南》(见附件),从技术架构、防范措施、安全运营等方面详细阐述了具体的安全防护实施方案,供师生学习参考。今后信息化建设中心将持续跟踪OpenClaw以及相关AI智能体的技术演进动态和安全态势发展,并将根据监测与评估的实际情况,及时发布动态的风险提示、漏洞预警与针对性的防护操作指南,努力为全校师生能够安全、规范、高效地使用新技术提供坚实的资源保障与制度护航。




附件:《OpenClaw开源AI智能体风险防范指南》




联系人:孙余韬 13922128155668155




信息化建设中心

2026330