关于使用OpenClaw等开源智能体的
安全提示
全体师生:
自2025年初DeepSeek推出以来,人工智能应用迎来爆发式增长,各类AI大模型、智能体已深度融入我校师生学习、科研与办公场景,成为提升效率、辅助创作的重要工具。2026年以来,开源AI智能体OpenClaw(网络昵称“小龙虾”)持续走红,其作为任务执行式智能体,可协助完成浏览器操作、本地文件读写、资料整理等多项工作,校园内“养虾”热潮日渐兴起。
人工智能技术是一把“双刃剑”,在释放科技红利、带来便捷的同时,也潜藏着不容忽视的网络安全风险。结合工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测结果,为切实保障全校师生个人信息安全、科研教学数据安全及校园网络安全,学院信息网络中心特发布本提示,提醒全体师生规范、安全使用OpenClaw等开源智能体,共同筑牢校园网络安全防线。
一、认清安全风险,筑牢思想防线
OpenClaw(曾用名Clawdbot、Moltbot)是一款开源AI智能体,通过整合多渠道通信能力与大语言模型,构建出具备持久记忆、主动执行能力的定制化AI助手,支持本地私有化部署。该智能体的核心安全风险源于其部署配置特性:因信任边界模糊,且具备持续运行、自主决策、调用系统及外部资源的能力,若缺乏有效权限控制、审计机制和安全加固,极易被指令诱导、出现配置缺陷或被恶意接管,进而执行越权操作,最终导致个人信息泄露、设备系统受控、科研数据流失等严重安全问题。
二、规范使用行为,落实安全举措
为保障“养虾”安全、规范使用OpenClaw等开源智能体,全体师生需严格落实以下四项安全要求:
1.做好运行环境安全防护
安装部署OpenClaw时,须在测试机、Docker沙箱等隔离环境中进行,严禁在个人主力计算机、办公计算机(尤其是存储科研数据、教学资料的设备)上直接安装;及时配置防火墙,严禁将OpenClaw网关(默认端口18789)暴露于互联网,从源头降低被网络攻击的风险。
2.严格管控系统访问权限
创建普通用户账户启动OpenClaw服务,仅授予其完成任务所必需的最小权限,坚决不授予ROOT等系统级权限,杜绝因权限滥用引发的安全隐患,严格落实网络安全权限最小化管理要求。
3.强化数据安全管理,坚守“数据不出域”
使用OpenClaw时,优先连接本地部署的大模型,谨慎连接云端大模型;严禁将我院核心数据、未公开教学成果、涉密资料等输入至智能体中,全方位防范数据泄露风险。
4.加强安全更新与设备监测
持续关注OpenClaw官方发布的安全公告和加固建议,及时更新版本、修复系统漏洞;定期对运行设备开展安全扫描,精准排查恶意程序和异常操作行为,筑牢设备安全防护屏障。
三、警惕各类风险,全面做好防护
除OpenClaw外,各类AI工具在使用过程中均存在不同程度的安全风险。结合我院师生学习、办公实际特点,重点防范以下三类风险:
1.数据外泄与隐私侵犯风险
不向外部AI工具输入核心数据、未公开研究成果,使用示例数据时,一律用模拟数据替代真实数据;不随意输入身份证号、银行卡号等敏感个人信息,做好个人信息脱敏保护,避免隐私泄露。
2.网络诈骗与身份冒充风险
不法分子利用AI技术模仿辅导员、导师及学校各部门工作人员语气,生成精准钓鱼信息,以缴纳费用、领取奖学金、通知事宜等为由诱导转账;还可通过AI制作虚假音视频,实施身份冒充,套取个人信息、骗取财物。
防范要求:增强网络安全意识,学会辨别AI伪造的文本、音视频内容,对陌生邮件、不明通知保持高度警惕;收到转账、信息采集等要求时,务必通过学校官方渠道(校园门户、官方微信、辅导员或部门办公电话)核实身份与信息真伪,不点击陌生链接、不向陌生账户转账。
3.技术漏洞和设备安全风险
非官方渠道的破解版、盗版AI工具及插件,可能被植入恶意代码,导致设备被入侵、数据被窃取;AI工具本身还可能存在提示词注入、供应链攻击等技术漏洞,引发安全问题。
防范要求:仅从官方正规渠道下载安装AI应用,不安装破解版、盗版软件及非官方插件;及时升级AI应用和操作系统版本,修复技术漏洞;安装正规杀毒软件并定期更新病毒库,做好设备日常防护。
四、压实安全责任,共筑AI安全生态
网络安全无小事,责任落实靠大家。全体师生要充分认识AI应用的安全风险,切实提高安全防范意识,严格遵守本提示要求,规范使用各类开源智能体及AI工具,自觉守护个人信息和校园网络安全。各教学单位、职能部门要切实履行主体责任,加强对本单位师生的网络安全宣传教育和引导,开展常态化网络安全自查工作,及时排查、整改各类安全隐患。
如发现AI使用相关安全隐患、网络攻击或信息泄露事件,请第一时间联系学院信息网络中心,我们将及时提供专业技术支持和应急处置指导。
信息网络中心
2026.3
