全校师生：

近期，开源AI智能体OpenClaw（“小龙虾”，曾用名Clawdbot、Moltbot）凭借其强大的自动化任务处理能力与开放式插件生态，在全球范围内引发部署热潮。根据国家互联网应急中心、工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络安全通报中心先后发布的风险提示，OpenClaw在默认配置或不当使用情况下存在极其严峻的安全隐患，极易引发网络攻击、信息泄露等严重安全问题。为保障学校信息系统及师生个人数据安全，现将相关风险隐患和防范建议等提示如下：

一、主要风险隐患

OpenClaw在架构设计、默认配置、漏洞管理、插件生态、行为管控等方面存在较大安全问题，对高校网络、数据、系统与合规构成多重严重风险。

1、系统权限失控。默认获取系统管理员权限，操作系统存在被完全控制风险，易被诱导执行越权操作，导致终端或服务器被远程接管，可执行文件删除、系统命令、网络操作等高危行为。

2、敏感数据泄露。API密钥和聊天记录等敏感信息明文存储，OpenClaw可访问并传输本地文件、浏览器 Cookie、账号密码、科研数据、师生个人信息等敏感信息，易造成科研数据和敏感个人信息等敏感数据泄露。

3、智能体行为不可控。OpenClaw智能体在执行指令过程中易发生权限失控现象，导致越权执行任务并无视用户指令，可能会出现删除用户数据、盗取用户信息、接管用户终端设备等情况，给师生造成重大经济损失。

4、校园网络安全受影响。OpenClaw历史披露漏洞多达258个，利用难度普遍较低。一旦个人终端或服务器被控制，作为“肉机”入侵校园网，可威胁教务、财务、学工、一卡通、OA等核心系统，严重影响校园网络安全。

二、风险防范建议

为有效防范使用OpenClaw引起师生数据泄露等安全风险，杜绝校园工作数据泄露、系统受攻击等问题，给学校和师生造成不良影响，师生应落实以下措施：

1、生产环境中严禁使用。禁止在校园网环境下的个人电脑、学校办公设备、实验室设备、教学终端和服务器部署使用OpenClaw，不得在处理教学科研数据、行政办公信息、学生信息等工作场景中使用该工具。已安装相关程序的立即彻底卸载，并清除全部配置、缓存及日志文件。

2、研究学习中规范使用。如确需开展相关研究学习活动，应在隔离虚拟机中进行，严禁向其提供任何敏感信息，不输入办公系统账号密码、服务器管理权限、个人敏感信息、科研数据等内容。

3、落实安全防护措施。采用官方途径及时升级版本，修复安全漏洞。加强账户认证管理，设置高强度密码并定期更换，避免使用弱口令。限制智能体执行权限，仅允许执行白名单中的系统命令和操作权限，对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。安装终端杀毒软件，及时升级病毒库。

三、应急处置措施

若发现本地OpenClaw已被入侵，数据遭到泄露或系统被控制等情况，请立即执行以下步骤：

1、断网隔离：第一时间断开终端网络连接，防止横向扩散。

2、收集并保留证据：可采取截图、拍照或录视频等方式收集系统被入侵的异常情况，不要重启或删除文件，完整保存日志、内存镜像供取证。

3、报告现代教育技术中心及所在单位。

4、重置凭证：修改所有相关账户密码、API密钥、SSH密钥等。

5、全面排查：协同检查其他关联网络设备或系统是否被渗透，评估损失范围。

现代教育技术中心

2026年3月19日