各位老师、同学：

近期，开源AI智能体 OpenClaw（因图标特征被俗称“龙虾”，曾用名Clawdbot、Moltbot）在网络上快速走红，该工具由奥地利程序员Peter Steinberger于2025年11月推出，可访问本地文件、浏览器、邮件等并自主执行电脑操作，因功能强大成为GitHub平台增长最快的开源项目之一。但该工具在默认或不当配置下存在极高安全风险，据国家信息安全漏洞库（CNNVD）统计，2026年1月至3月9日已采集该工具漏洞82个，其中超危漏洞12个、高危漏洞21个，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）也已先后发布预警提示及 “六要六不要” 安全使用建议。

为切实保障我校师生个人信息安全、校园网络安全及教学科研数据资产安全，结合学校实际及国家相关部门监测信息，现就防范 OpenClaw相关安全风险、规范使用操作及开展安全排查事宜提醒如下：

一、认清核心风险，提高安全警惕

1.权限失控风险：AI智能体在未经你允许或违背你意愿的情况下，滥用其手中的“超级权力”，做出破坏性行为。

2. 指令注入风险：攻击者通过“话里有话”的方式，给AI智能体下套，诱导它做出危害你安全的行为，而你本人却毫不知情。

3. 插件投毒风险：从第三方渠道下载的、看似有用的AI扩展功能（技能包/插件），实际上暗藏恶意代码，安装后就会对你的设备构成威胁。

4. 漏洞利用风险：AI智能体本身存在设计缺陷或编程错误（即"漏洞"），攻击者可以利用这些漏洞，绕过正常的安全机制，直接控制你的系统，整个过程可能不需要你进行任何操作，甚至在你毫不知情的情况下发生。

5. 误操作不可逆风险：AI智能体在理解和执行用户指令时可能出现偏差，从而导致重要数据被永久删除或破坏，且一旦发生就无法挽回。

二、严格管控要求，落实安全责任

1. 全面禁止违规使用：严禁在办公电脑、教学终端、实验室设备、校园网接入设备上安装、部署、运行OpenClaw及同类开源AI智能体；非必要不使用、不传播、不测试。

2. 立即自查清理：即日起全面排查个人电脑、笔记本、移动设备，卸载OpenClaw、Clawdbot、Moltbot及相关插件；清理可疑脚本、未知来源安装包，进行全盘杀毒与漏洞修复。

3. 严控部署与接入：任何部门、教研室、社团不得在校内服务器、云平台、实训环境中部署该类工具；严禁将管理端口暴露公网，严禁在教学科研、学生管理、财务等敏感场景调用。

4. 规范插件与来源：不安装非官方、未审核插件；不点击陌生链接、不下载可疑附件、不随意授权系统权限与API密钥。

5. 强化数据与账号安全：重要资料定期备份；设置强密码，开启二次验证；不在公共网络处理敏感信息；离开设备及时锁屏、退出账号。

6. 及时上报与处置：发现异常登录、文件丢失、设备被控、网络卡顿等情况，立即断网、保存证据，第一时间向信息化管理中心报告。

三、压实主体责任，加强宣传教育

各单位要切实履行网络安全主体责任，组织本部门教职工开展全面自查自纠，及时卸载违规安装的OpenClaw相关程序并清除全部配置、缓存及日志文件，确保风险防范要求全覆盖、无死角。引导理性看待AI工具，杜绝跟风试用。信息化管理中心将加强校园网监测、端口扫描与违规行为处置，对造成安全事件的将依规追责。

校园网络安全，人人有责。请全体师生绷紧安全弦，共同守护平安校园、清朗网络。

信息化管理中心

2026年3月12日