开源AI智能体OpenClaw(俗称“龙虾”)掀起使用热潮后,工信部等部门提示在默认或不当配置情况下,“龙虾”极易引发网络攻击、信息泄露等安全问题,为“龙虾热”及时降温。
3月12日,南都N视频记者检索发现,已有多所高校要求防范OpenClaw安全风险,有高校通知严禁在校内使用。
珠海科技学院:要求立即彻底卸载OpenClaw 违规安装使用将严肃处理
3月10日,珠海科技学院信息数据管理处发出《关于严禁在校内使用OpenClaw软件的通知》,要求已安装相关程序的立即彻底卸载,并清除全部配置、缓存及日志文件。通知称,学校将对校园网络及终端开展不定期安全扫描与核查,一经发现违规安装、使用行为,将依规严肃处理。
华南师范大学:谨慎使用OpenClaw
3月11日,华南师范大学网络信息中心发布《重要提醒!谨慎使用"龙虾"OpenClaw,这些安全风险要注意》提醒,如果确实需要学习测试或使用OpenClaw功能,要严格遵守以下要求:
严禁在生产环境和办公电脑安装OpenClaw,包括学校的办公电脑、服务器、智能终端等生产设备;严禁向其提供任何敏感信息,不要输入办公系统账号密码、服务器管理权限、个人敏感信息、科研数据等内容;严禁直接开放公网访问,不要把工具链接分享给他人,也不要设置成在外网也能访问的状态,避免被外部人员攻击利用。
广东医科大学:部署OpenClaw要注意安全意识和配置规范
3月11日,广东医科大学网络与信息中心发布《关于防范OpenClaw开源AI智能体安全风险的预警提示》提醒高校师生称,部署OpenClaw要注意防护,避免电脑里的毕业论文、实验数据、科研成果,以及个人账号密码、校园信息等,面临被窃取、篡改的风险。
华中师范大学
3月9日,华中师范大学发布相关提醒,其中提及禁止在信息化办公室分配的服务器上安装OpenClaw。
要核查是否存在OpenClaw相关部署,重点排查公网暴露情况、权限配置及凭证管理情况;如确需使用,应立即关闭不必要的公网访问。该通知明确提醒,禁止在信息化办公室分配的服务器上安装OpenClaw。
江苏师范大学
3月11日,江苏师范大学信息化建设与公共资源管理处发布《关于防范OpenClaw安全风险的提醒》。通知提醒师生使用OpenClaw智能体应优先使用云端服务器、虚拟机、容器等隔离技术部署,不要将服务暴露至公网或校园网。
安徽师范大学
3月10日,安徽师范大学网络安全与信息化办公室发出《关于防范“龙虾”(OpenClaw)AI智能体网络安全风险的预警通知》称,要认清“龙虾”AI智能体的核心安全隐患。
通知建议“非必要不部署使用”,提醒师生尤其避免在接入校园网的设备、办公电脑、存储有个人敏感信息和工作数据的设备上使用;
此外,通知严禁在工作场景使用,校内各单位、教职工严禁在处理教学科研数据、行政办公信息、学生信息等工作场景中使用该工具,杜绝校园工作数据泄露、系统受攻击等问题,守住校园数据安全底线。
西北工业大学
3月10日,西北工业大学发布相关提醒,单位或个人部署使用前,做好这些检查:充分排查公网暴露情况、权限配置及凭证管理状态,及时关闭不必要的公网访问入口;完善身份认证、访问控制、数据加密、安全审计等安全机制;持续关注官方发布的安全公告与加固建议,及时落实风险防范与修复措施。
天津大学
3月11日,天津大学信息与网络中心发布《关于OpenClaw存在网络安全风险的提醒》,如必须使用,要注意以下安全使用建议:
1.绝不赋予root或管理员权限;
2.本地部署+仅限 loopback(127.0.0.1)访问,禁用公网暴露;
3.修改默认端口(非18789),配置防火墙白名单;
4.限制工作目录:仅挂载必要文件夹,避免挂载根目录或用户主目录;
5.禁用高危命令:如 rm、dd、chmod 等,可用 mv 到回收站替代;
6.使用沙箱浏览器(如 Playwright)进行网页操作,避免污染主浏览器;
7.只安装高信誉插件,并审查其源码;持续关注官方安全公告,及时打补丁。
南都此前报道,开源智能体项目OpenClaw持续引发全网关注。在工信部发文提示AI养“龙虾”需警惕安全风险后,3月10日,国家互联网应急中心正式发布OpenClaw安全风险警示,明确指出这款开源AI智能体,因默认配置高危漏洞和权限失控问题,已出现“提示词注入”、“误操作”、功能插件(skills)投毒、安全漏洞四大严重风险。
清华大学新闻学院、人工智能学院双聘教授沈阳在接受南都记者采访时表示,OpenClaw有明显的安全风险,其问题在于,要让其充分发挥作用,就要给充分的授权;而授权越高,发生网络安全问题的概率也就越大。
“因此,一方面可以在实验性的环境来进行‘龙虾’的调试与测试,另一方面在职场、企业以及个人主力机等关键场景中,必须确保生产环境安全稳定,比如使用本地开源大模型等。”
南方都市报(nddaily)报道
采写:南都N视频记者 林诗妍
整合:南都官微运营部
声明:本文来自南方都市报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
