关于警惕开源AI智能体OpenClaw(龙虾)安全风险的提示
各位老师、同学:
近日,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,开源AI智能体OpenClaw(俗称“龙虾”,曾用名Clawdbot、Moltbot)在默认或不当配置情况下存在较高安全风险,极易引发网络攻击、信息泄露等安全问题。
OpenClaw可通过整合多渠道通信能力与大语言模型,构建具备持久记忆、主动执行能力的定制化AI助手,可在本地私有化部署。由于其部署时“信任边界模糊”,且具备持续运行、自主决策、调用系统和外部资源等特性,在缺乏有效权限控制、审计机制和安全加固的情况下,可能因指令诱导、配置缺陷或被恶意接管,执行越权操作,造成信息泄露、系统受控等一系列安全风险。
为保障我院网络与信息安全,现提醒如下:
1. 全面核查部署情况:请立即核查是否存在OpenClaw相关部署,重点排查公网暴露情况、权限配置及凭证管理情况。
2. 强化安全防护措施:如确需使用,应立即关闭不必要的公网访问,完善身份认证、访问控制、数据加密和安全审计等安全机制,严格限制其权限范围。
3. 不要将OpenClaw实例暴露于公网或校园网环境。
4. 不要使用来历不明的第三方镜像、插件或“代装”服务。
5. 不要下载或执行要求“输入密码”“运行shell脚本”“解压ZIP”的技能包;
6. 不要在办公电脑、教学终端或存储敏感数据的设备上安装使用;
7. 不要忽视安全确认机制,对删除、发送、修改等关键操作应设置二次验证;
8. 不要盲目跟风使用,尤其不得在处理教学、科研、学生信息等工作中应用。
网络安全,人人有责。让我们共同维护安全、稳定的校园网络环境。