全校师生:
近期,开源智能体OpenClaw(“龙虾”)在网络上广泛传播,该工具目前存在多项安全隐患。近日工业和信息化部网络安全威胁和漏洞信息共享平台发布关于OpenClaw开源智能体安全风险的“六要六不要”建议,为切实防范相关安全风险,保障学校网络和个人信息安全,现提出以下管控要求和使用建议:
一、校园使用严格管控要求
结合学校教学科研和校园网络安全管理实际,校园内严禁以下行为:
(一)严禁在生产环境和办公电脑安装。包括学校的办公电脑、服务器、智能终端等生产设备不能安装OpenClaw。
(二)严禁向其提供任何敏感信息。不要输入办公系统账号密码、服务器管理权限、个人敏感信息、科研数据等内容。
(三)严禁直接开放公网访问。不要把工具链接分享给他人,也不要设置成在外网也能访问的状态,避免被外部人员攻击利用。
二、安全使用建议
(一)使用官方最新版本。要从官方渠道下载最新稳定版本。不要使用第三方镜像版本或历史版本。
(二)严格控制互联网暴露面。要定期自查是否存在互联网暴露情况,一旦发现立即下线整改。不要将“龙虾”智能体实例暴露到互联网,确需互联网访问的可以使用SSH等加密通道。
(三)坚持最小权限原则。要根据业务需要授予完成任务必需的最小权限。不要在部署时使用管理员权限账号。
(四)谨慎使用技能市场。要审慎下载ClawHub“技能包”。不要使用要求“下载ZIP”、“执行shell脚本”或“输入密码”的技能包。
(五)防范社会工程学攻击和浏览器劫持。要使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本,启用日志审计功能。不要浏览来历不明的网站、点击陌生的网页链接、读取不可信文档。
(六)建立长效防护机制。要定期检查并修补漏洞。不要禁用详细日志审计功能。
全体师生要高度重视网络安全工作,切实提升个人信息保护和校园数据安全意识,理性看待各类新兴AI工具,不盲目跟风安装、使用来源不明或存在安全隐患的软件。各单位要切实履行网络安全主体责任,组织本单位师生做好自查自纠,及时排查安全风险。如发现异常情况请及时联系数字信息化办公室。
数字信息化办公室
实验室与设备管理处
2026年3月12日
