近期，开源AI智能体OpenClaw（俗称“龙虾”）因其强大的自动化能力在互联网上广泛传播，部分师生出于学习、研究目的尝试安装使用，但其在提供便利的同时存在严重的安全隐患。据国家信息安全漏洞库（CNNVD）统计，仅2026年1月至3月9日，已披露OpenClaw相关漏洞82个，其中超危漏洞12个、高危漏洞21个，涵盖权限控制缺陷、命令注入、信息泄露等多种类型。近期已发生多起因使用不当导致的数据泄露、资产被盗、系统失控等真实案例。

为保障校园网络安全和师生个人信息安全，防范未知风险，现就OpenClaw使用安全提醒如下：

一、主要安全风险

1.权限过高易失控：OpenClaw为实现自主操作，需要授予较高的系统权限，一旦被恶意利用，攻击者可完全控制用户设备。

2.数据泄露风险大：聊天记录、账号密码、本地文件等敏感信息可能在明文存储或传输过程中被窃取。

3.插件投毒难防范：第三方插件缺乏安全审核，存在植入恶意代码的风险，可能窃取浏览器密码、云服务凭证等。

4.自主执行易误操作：智能体可能误解指令，导致批量删除文件、篡改配置、发送敏感邮件等后果。

5.漏洞频发修复难：开源版本迭代快，老旧版本或第三方修改版存在大量未修复漏洞，极易被攻击。

二、使用要求与防护措施

为防范安全事件发生，结合上级部门预警和其他高校经验，现对OpenClaw使用提出以下要求：

1.严禁在校园网络环境中安装OpenClaw

禁止在接入校园网的网络设备上安装、运行OpenClaw或其任何衍生版本、插件和第三方技能脚本。已安装的请立即彻底卸载，并清除全部配置、缓存及日志文件。

校园网络设备包含但不限于办公电脑、教学终端、实验平台、智能教室设备及各类物联网终端等所有接入校园网的硬件设施。

2.确需使用必须严格隔离

因科研、教学实验确需使用OpenClaw，必须进行物理隔离，在不接入校园网的独立环境中部署（如虚拟机、Docker容器等），并报信息与网络中心备案，严禁将服务暴露至公网或校园网。使用结束后应及时销毁环境。

3.坚持最小权限原则

部署时必须使用普通用户权限运行，严禁赋予root或管理员权限；对删除文件、修改配置等高危操作应设置二次确认。

4.加强数据安全防护

严禁向OpenClaw输入、存储、处理任何校内敏感数据、科研数据、师生个人信息及工作文档。使用中应开启详细日志审计，并定期检查异常行为。

5.规范软件来源与插件管理

必须从官方网站下载最新版本并及时更新，不使用第三方修改版或历史版本。严格管理插件安装，禁用自动更新，安装前务必审查代码安全性。

6.强化个人防范意识

不浏览来历不明网站，不点击可疑链接，防范“提示词注入”攻击；安装杀毒软件并开启实时防护。对安全风险无法判断时，应立即停止使用并上报信息与网络中心。安全不是选择题，而是必答题；每一次疏忽，都可能成为校园安全堤坝上的蚁穴。如果无法控制、评估安全风险，建议不安装、不使用OpenClaw。

三、违规处理与应急响应

信息与网络中心对校园网络进行安全监测与扫描，如发现违规安装使用OpenClaw且不及时整改的，将依规中断网络接入并进行通报。对引发安全事件或造成损失的，将严肃追究相关人员及部门（学院）网络安全主要责任人的责任；情节特别严重的，依法上报上级主管部门及相关执法单位。

如发现疑似安全事件，或对OpenClaw使用存在疑问，请立即联系信息与网络中心。

联系电话：0734-8486640

电子邮箱：inc@hynu.edu.cn

关于OpenClaw的安全排查操作请访问：

https://inc.hynu.edu.cn/info/1351/9950.htm

请广大师生高度重视，共同维护校园网络安全。

信息与网络中心

2026年3月17日