全校师生：

近期，开源AI智能体OpenClaw（俗称“龙虾”，曾用名Clawdbot、Moltbot）因其开放性及自主执行任务等强大功能受到广泛关注。但为了直接操控终端完成相关操作，该应用被授予了较高的系统权限，包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口（API）以及自主决策安装扩展功能等。同时其默认的安全配置极为脆弱，根据国家互联网应急中心风险提示，目前已经出现了“提示词注入”“误操作”“功能插件（skills）投毒”和“安全漏洞”等风险，导致用户系统密钥泄露、重要数据被删除、被部署木马后门软件、隐私和敏感数据泄露、产生经济损失等严重后果。

为切实保障全校师生个人信息安全、校园网络安全及数据资产安全，现将安全使用要求提醒如下：

一、严禁使用的场景

严禁在办公设备、教学终端及公共服务器上安装、运行OpenClaw及衍生版本。不得在处理教学科研数据、行政办公信息、学生信息等工作场景中使用该工具，违者将依规严肃处理。

二、个人应谨慎安装、规范部署

1.使用官方最新版本。要从官方渠道下载最新稳定版本，并开启自动更新提醒；在升级前备份数据，升级后重启服务并验证补丁是否生效。不要使用第三方镜像版本或历史版本。

2.严格控制互联网暴露面。要定期自查是否存在互联网暴露情况，一旦发现立即下线整改。不要将“龙虾”智能体实例暴露到互联网，确需互联网访问的可以使用SSH等加密通道，并限制访问源地址，使用强密码或证书、硬件密钥等认证方式。

3.坚持最小权限原则。要根据业务需要授予完成任务必需的最小权限，对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。优先考虑在容器或虚拟机中隔离运行，形成独立的权限区域。不要在部署时使用管理员权限账号。

4.谨慎使用技能市场。要审慎下载ClawHub“技能包”，并在安装前审查技能包代码。不要使用要求“下载ZIP”“执行shell脚本”或“输入密码”的技能包。

5.防范社会工程学攻击和浏览器劫持。要使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本，启用日志审计功能，遇到可疑行为立即断开网关并重置密码。不要浏览来历不明的网站、点击陌生的网页链接、读取不可信文档。

6.建立长效防护机制。要定期检查并修补漏洞，及时关注OpenClaw官方安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警。结合网络安全防护工具、主流杀毒软件进行实时防护，及时处置可能存在的安全风险。不要禁用详细日志审计功能。

AI智能体发展迅速,技术的进步值得拥抱，但安全永远是第一位的。全校师生需切实履行网络安全主体责任，严格落实本提醒要求，共同筑牢AI时代的网络安全防线。如发现校园网环境中疑似安全事件，请立即联系学校信息中心（联系电话：028-85966342），避免造成进一步损失。

特此通知，请相互转告。

信息中心    

2026年3月16日