各位老师、同学,各二级单位:
近期,一款名为“OpenClaw”(俗称“AI龙虾”)的开源AI智能体工具在高校中引发关注。其强大的自动化能力,如自动处理文件、调用API、执行脚本等,为教学科研提供了新的想象空间。然而,便利不能以安全为代价。根据工业和信息化部、国家互联网应急中心及多所高校发布的安全预警,该工具在默认配置下存在极高的安全风险。
为保障我校网络与信息安全,防范数据泄露和系统入侵事件,数字化建设中心现就有关事项公告如下:
一、OpenClaw在校园办公环境中的主要风险
OpenClaw为实现“自主执行任务”,需被授予极高的系统权限。若安装在办公电脑或生产服务器上,将引入以下核心隐患:
1、权限失控与误操作:其权限边界模糊,可能误解用户指令,执行删除文件、修改配置等危险操作,甚至可调用rm -rf、sudo等命令,导致系统崩溃或数据丢失。
2、公网暴露即被控:其默认监听端口若未严加限制,一旦电脑接入互联网,攻击者可轻易扫描发现并植入后门,使设备沦为“肉鸡”,用于发起DDoS攻击或挖矿,甚至作为跳板攻击内网其他系统。
3、敏感数据泄露:AI可访问本地文件系统,若未隔离目录,可能读取或外传办公系统中的学生信息、科研数据、财务凭证、账号密码等核心敏感资料。
4、恶意插件渗透:其第三方插件生态缺乏有效监管,部分插件已被证实暗藏木马,安装后会窃取系统密钥、数据库密码等,并与境外服务器通信。
二、校园办公环境中的绝对禁止行为
为确保校园网络安全和业务稳定,即日起,我校严格执行以下规定:
1、严禁在生产环境和办公电脑安装:任何办公电脑、服务器、智能终端等处理学校业务的设备,一律不得安装、部署或运行OpenClaw及相关组件。
2、严禁向其提供任何敏感信息:禁止在任何场景下(包括个人测试环境)向OpenClaw输入学校信息系统账号密码、服务器管理权限、个人敏感信息、未公开的科研数据等内容。
3、严禁直接开放公网访问:任何基于OpenClaw搭建的服务,不得将管理端口或应用界面暴露在公网,并应严格限制访问IP。
三、确有科研测试需求,请遵循安全规范
若因教学科研确需学习、测试OpenClaw功能,必须严格遵守以下要求,并承担全部安全责任:
1、使用隔离环境:必须在与校园网及办公环境物理隔离或严格网络隔离的专用虚拟机、私有个人电脑(不连接校园网)中运行,测试完成后即销毁环境。
2、坚持最小权限:使用非管理员专用低权限账户运行,严格限制其文件访问范围,并禁用所有高危操作命令。
3、严守敏感信息:绝对不得在测试环境中输入任何真实的工作账号密码、个人身份信息和敏感科研数据。
4、强化访问控制:修改默认端口,启用强密码认证,并仅允许本地访问,禁止任何远程连接。
5、谨慎管理插件:仅从官方可信渠道获取资源,对任何第三方插件进行安全审查,拒绝来源不明的代码。
四、违规处理与安全责任
网络安全,人人有责。请各单位立即组织自查,检查本单位办公电脑、服务器等设备,杜绝OpenClaw的违规安装。
技术本身是中性的,但使用技术的人负有不可推卸的安全责任。OpenClaw作为强大的AI工具,本可为高校教学科研赋能,但“便利”绝不能以牺牲“安全”为代价。任何因无视规定、违规安装使用而引发的数据泄露、系统受控、网络攻击等安全事件,学校将依据相关规定追究当事人及单位负责人的责任。
特此公告。
数字化建设中心
2026年3月17日
