关于防范OpenClaw等AI辅助工具安全风险的通知

各部处室、系（院、部）、馆：

近日，工业和信息化部网络安全威胁和漏洞信息共享平台监测发现，开源AI智能体OpenClaw（俗称“龙虾”，曾用名Clawdbot、Moltbot）在默认或不当配置情况下存在较高安全风险，极易引发网络攻击、信息泄露等安全问题。据国家信息安全漏洞库（CNNVD）统计，自2026年1月-2026年3月9日，共采集OpenClaw漏洞82个，其中超危漏洞12个，高危漏洞21个、中危漏洞47个、低危漏洞2个，包含了访问控制错误、代码问题、路径遍历等多个漏洞类型。OpenClaw多个版本受到漏洞影响。

     OpenClaw可通过整合多渠道通信能力与大语言模型，构建具备持久记忆、主动执行能力的定制化AI助手，可在本地私有化部署。由于其部署时“信任边界模糊”，且具备持续运行、自主决策、调用系统和外部资源等特性，在缺乏有效权限控制、审计机制和安全加固的情况下，可能因指令诱导、配置缺陷或被恶意接管，执行越权操作，造成信息泄露、系统受控等一系列安全风险。

     为保障我校网络与数据安全，现要求如下：

1.全校教职工严禁在任何办公设备、教学终端及校园网络环境下安装、运行、使用OpenClaw，已安装需立即彻底卸载，违规使用将严肃追责。

2.请密切关注OpenClaw官方安全公告及国家网络安全主管部门发布的加固建议，及时更新补丁，防范潜在网络安全风险。

3.加强凭证管理，避免在环境变量中明文存储密钥，建立完整的操作日志审计机制。

4.严格管理各种软件以及插件来源，禁用自动更新功能，仅从可信渠道安装经过签名验证的软件和扩展程序。

5.防范高系统权限导致的数据泄漏风险，在涉及重要数据或敏感操作时，请务必进行人工介入和复核。

6.加强个人网络安全意识，对电脑中的重要文件、科研数据做好定期分类备份与加密处理。

7.有科研需求者应强化网络控制，不将OpenClaw默认管理端口直接暴露在公网上，通过身份认证、访问控制等安全控制措施对访问服务进行安全管理。对运行环境进行严格隔离，使用容器等技术限制OpenClaw权限过高问题。

8.如发现疑似安全事件或异常情况，请立即联系网络与信息中心（鹤龄楼205），避免造成进一步损失。

网络安全，人人有责，让我们共同维护安全、稳定的校园网络环境。

网络与信息中心
2026年3月13日