全校各单位、全体师生：

近期，一款名为OpenClaw的开源AI智能体框架在技术社区快速传播。该工具号称可自主操控电脑完成文档处理、邮件收发等任务，根据工业和信息化部网络安全威胁信息共享平台发布的预警，该框架存在多重高危风险隐患，已引发多起数据泄露事件。为保障校园网络安全，现就有关事项提示如下：

一、主要风险特征

1.数据“裸奔”风险：该工具运行时需获取系统底层权限，用户对话记录、账号口令、本地文件等均以明文存储。一旦主机被植入木马或配置疏漏导致公网暴露，上述敏感信息将面临批量遭窃取的风险。

2.行为“脱缰”风险：该模型对模糊指令的解析准确性不足，存在“过度执行”倾向。测试显示，在非预期指令下，该工具曾出现批量删除非目标文件、篡改系统配置等异常行为，且缺乏有效的事中干预机制。

3.权限“失控”风险：框架内置的权限管控机制薄弱，攻击者可通过构造恶意提示词诱导其突破权限限制，进而执行提权操作、横向渗透，甚至将受控终端变为跳板攻击内网其他资产。

4.部署“盲区”风险：该工具定位为开发者实验性项目，未经过商业化安全打磨。普通用户若通过非正规渠道获取“一键安装包”或委托他人远程部署，可能被植入后门程序，且因缺乏安全配置能力，易导致系统长期“带病运行”。

二、安全防护要求

1.坚持非必要不部署：请师生理性看待技术热点，切勿盲目跟风安装。严禁在接入校园网的设备、处理工作业务的计算机以及存储个人隐私数据的终端上运行该工具。

2.严禁工作场景使用：各单位需加强对所属人员的管理，禁止在教学科研、行政管理、学生信息处理等工作场景中使用“龙虾”AI工具，严防工作秘密和敏感数据外泄。

3.规范技术研究行为：因科研等需要确需测试的，须遵循以下原则：使用专用物理机或隔离虚拟机，测试完成后及时清除环境；严格限制公网访问，关闭非必要端口，启用防火墙访问控制；涉及API密钥、云账户等凭证的，务必遵循最小权限原则，避免使用高权限凭证；禁止明文存储任何敏感信息，部署后立即修改默认配置。

4.警惕非官方代装服务：切勿轻信网络平台提供的“远程安装”“代装代配”服务，此类渠道可能捆绑恶意代码，导致设备被远程控制或沦为“矿机”。

5.立即开展自查自纠：已安装该工具的师生，请立即执行以下操作：断开网络连接，备份重要文件；检查系统是否存在异常进程、陌生账户或非授权自启动项；核查API密钥、云资源是否存在异常调用记录；如发现数据泄露或设备异常，第一时间报修并联系信息化管理处进行处置。

三、应急处置与报告

如发生或发现疑似网络安全事件，请立即采取断网、关机等应急措施，保留相关日志和证据，并及时向学校信息化管理处报告。

联系人：操漫成、刘恩

联系电话：0566-2748840，0566-2745008

信息化管理处

2026年3月17日