近期，开源AI智能体项目OpenClaw（网友俗称“小龙虾”、 “龙虾”，曾用名Clawdbot、Moltbot）凭借其轻量灵活、自托管、多云适配等特性迅速走红，“养虾”成为热议话题。

同时，潜在的安全风险不断暴露。据悉，OpenClaw已遭大规模武器化攻击，目前超3万实例被攻陷，攻击者通过漏洞利用、供应链投毒及恶意扩展等方式实施“行为劫持”，可操控代理窃取账号凭证，进行横向渗透，对网络安全构成严重威胁，AI智能体已成为新型网络攻击的入口。

据国家信息安全漏洞库（CNNVD）统计，自2026年1月-2026年3月9日，共采集OpenClaw漏洞82个，其中超危漏洞12个，高危漏洞21个、中危漏洞47个、低危漏洞2个，包含了访问控制错误、代码问题、路径遍历等多个漏洞类型。国家权威机构、专业网络安全厂商、权威媒体已发布风险提示（详见附件）。

权威专家给出了专业意见。

全国人大代表、中国工程院院士、鹏城实验室主任高文

中国信息通信研究院副院长 魏亮

为切实保障校园网络安全、师生个人信息安全及学校科研数据、教学资源等核心信息资产安全，结合校园使用场景，综合多方信息，特此发布风险提示，提醒广大师生提高安全防范意识，严格规范该类高权限AI工具的使用。

一、核心风险警示

1.该工具权限过高，若使用不当或未进行有效管控，易导致个人信息、科研数据、教学资料等敏感信息泄露；

2.攻击者可通过该工具的漏洞的恶意插件，窃取师生账号密码、科研成果、个人隐私等信息，甚至渗透校园内网，影响校园网络正常运行；

3.易被用于AI仿冒诈骗、AI钓鱼及语音/视频伪造等攻击，危害师生财产安全及个人权益。

二、AI工具使用安全合规要求

（一）严格规范信息上传

严禁使用外部AI工具（含OpenClaw）上传学校敏感信息，包括但不限于科研数据、实验成果、教学课件、学生信息、教职工个人信息、财务相关数据等，严防敏感信息泄露。

（二）谨慎安装与规范使用

校园内网设备、教学服务器、实验室终端、办公电脑及个人用于校园学习办公的设备，应谨慎安装、运行OpenClaw及其他高权限AI类程序。确因科研、教学需要使用的，须经过充分评估后，在指定环境下规范使用。

（三）强化安全防范意识

警惕AI仿冒诈骗、AI钓鱼及语音/视频伪造攻击，不随意点击陌生链接、不轻易泄露个人账号密码、不接受陌生AI生成的文件或指令；加强自身网络安全知识学习，提高风险识别能力。

（四）规范科研教学场景使用

科研、教学场景如需使用AI工具，建议部署在校园内网专属环境或合规的科研专用平台，所有用于AI工具的数据，使用前必须进行脱敏处理，杜绝原始敏感数据直接录入。

（五）落实使用留痕与管控

使用AI工具过程中，需做好全程使用留痕，留存相关操作记录，满足校园数据安全管理及合规要求；若发现异常操作、信息泄露等情况，须第一时间向网络信息中心、所在单位报告。

三、个人使用的安全措施建议

针对OpenClaw工具风险，建议全体师生立即落实以下防控措施：

1.隔离运行：若确需使用，须在容器或沙箱环境中运行，严禁赋予root（超级管理员）权限，避免工具获取设备全部控制权；

2.严控凭证与插件：禁用明文存储账号密钥、密码等信息，对工具插件执行代码签名验证，仅允许安装白名单内的合法插件；

3.收敛暴露与监控：禁止OpenClaw工具直接连接公网端口，关闭不必要的网络访问权限；密切关注工具运行状态，及时发现并处置异常行为。

网络安全无小事，事关全体师生的切身利益和学校的正常运转。请全体师生高度重视，切实做好自身信息安全防护，共同筑牢校园网络安全防线。

如发现相关安全隐患或异常情况，请及时联系网络中心，联系方式：87055358、87651256。

                                                          网络信息中心  

                                                          2026年3月12日  

附件：

1.国家互联网应急中心CNCERT：关于OpenClaw安全应用的风险提示，https://mp.weixin.qq.com/s/4Ds8wa_iSgSvnNwH2DfaDw。

    2.公安部网络安全等级保护测评中心：OpenClaw智能体系统安全风险揭示及治理建议，https://mp.weixin.qq.com/s/421T_9KipkkKZS0gZvr28w ， https://mp.weixin.qq.com/s/ZBBSsjr4LTPrvrFXK8XyZw

3. 央视新闻：审慎使用“龙虾”等智能体！这六项提醒务必知悉，https://mp.weixin.qq.com/s/bRd7BBGl8tSf9CeFLhbbIg。