全校师生：

近期，开源AI智能体OpenClaw（俗称“龙虾”）因其强大的自动化能力在互联网迅速流行。但根据工业和信息化部网络安全威胁和漏洞信息共享平台发布的多项安全风险提示，OpenClaw在默认配置或不当使用情况下存在权限失控、提示词注入、恶意插件投毒及高危漏洞利用等严重安全隐患，为保障我校网络与信息系统、教学科研数据及师生个人信息安全，现就OpenClaw的安全使用及风险防范措施提示如下：

一、安全风险分析

1. 权限失控与误操作

OpenClaw默认获取系统级读写、命令执行等高危权限，可能因误解用户指令而擅自删除重要文件、邮件或核心数据，甚至被攻击者完全控制用户设备。

2. 数据泄露风险

聊天记录、账号密码、本地文件等敏感信息可能在明文存储或传输过程中被窃取。

3. 恶意插件与投毒

第三方插件缺乏安全审核，存在植入恶意代码的风险，可能窃取浏览器密码、云服务凭证等，甚至部署后门使设备沦为“肉鸡”。

4. 提示词注入攻击

攻击者通过构造隐藏的恶意指令诱导OpenClaw执行，导致系统密钥、敏感文件被窃取。

5. 安全漏洞频发

软件已曝出多个高中危漏洞，攻击者可远程控制未及时修补的实例，且开源版本迭代快，老旧版本或第三方修改版存在大量未修复漏洞。

二、安全防范建议

1. 严禁校园网络环境安装

禁止在接入校园网的所有网络设备（包括但不限于办公电脑、教学终端、实验平台、智能教室设备及各类物联网终端）上安装、运行OpenClaw或其任何衍生版本、插件和第三方技能脚本。已安装的请立即彻底卸载，并清除全部配置、缓存及日志文件。

2. 确需使用必须严格隔离

因科研、教学实验确需使用OpenClaw的，必须进行物理隔离，在不接入校园网的独立环境中部署（如虚拟机、Docker容器等），并报网信中心备案，严禁将服务暴露至公网或校园网。使用结束后应及时销毁环境。

3. 坚持最小权限原则

部署时必须使用普通用户权限运行，严禁赋予root或管理员权限。对删除文件、修改配置等高危操作应设置二次确认，确保操作安全。

4. 加强数据安全防护

严禁向OpenClaw输入、存储、处理任何校内敏感数据、科研数据、师生个人信息及工作文档。使用中应开启详细日志审计，并定期检查异常行为，确保数据安全。

5. 规范软件来源与插件管理

必须从官方网站下载最新版本并及时更新，不使用第三方修改版或历史版本。严格管理插件安装，禁用自动更新，安装前务必审查代码安全性，避免恶意插件投毒。

6. 强化个人防范意识

防范社会工程学攻击和浏览器劫持，不浏览来历不明网站，不点击可疑链接，防范“提示词注入”攻击。安装杀毒软件并开启实时防护，提高个人安全防范能力。

三、应急响应

如发现疑似安全事件，或对OpenClaw使用存在疑问，请立即断网并联系网信中心，联系电话：0354-5503797。

请全体师生高度重视，理性看待新兴技术，切勿因好奇或跟风盲目在校园网服务器、办公电脑、存储敏感信息和工作数据设备上安装部署OpenClaw。网络安全，人人有责！

网络与信息管理中心

2026年3月18日