网络安全公告

关于安全使用 OpenClaw应用及防范风险的通知

来源:网络安全宣传周专题 日期:2026-03-13点击:

·

关于安全使用 OpenClaw应用及防范风险的通知

全校师生:

      近期,开源AI智能体OpenClaw(俗称“龙虾”)在全球范围爆发式流行。但根据工业和信息化部网络安全威胁和漏洞信息共享平台发布的多项安全风险提示,OpenClaw在默认配置或不当使用情况下存在权限失控、提示词注入、恶意插件投毒及高危漏洞利用等严重安全隐患,为保障我校网络与信息系统、教学科研数据及师生个人信息安全,现将相关风险预警提示如下:



一、安全风险分析

OpenClaw作为可本地私有化部署的AI助手,具备自主决策、调用系统和外部资源的特性。由于其部署时“信任边界模糊”,且默认权限过高,在缺乏有效安全控制的情况下,主要风险如下

1.“权限失控与误操作”风险:软件默认获取系统级读写、命令执行等高危权限,可能因误解用户指令,擅自删除重要文件、邮件或核心数据。

2.“提示词注入攻击”风险:攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw执行,可能导致系统密钥、敏感文件被窃取。

3.“恶意插件投毒”风险:多个适用于OpenClaw的功能插件已被确认为恶意插件或被植入木马,安装后可窃取密钥、部署后门,使设备沦为“肉鸡”。

4.“安全漏洞”风险:软件已曝出多个高中危漏洞(如CVE-2026-25253),攻击者可远程控制未及时修补的实例。


二、安全防范建议

      1.使用官方最新版本。要从官方渠道下载最新稳定版本,并开启自动更新提醒,在升级前备份数据,升级后重启服务并验证补丁是否生效。不要使用第三方镜像版本或历史版本。

2.严格控制互联网暴露面。不要将“龙虾”智能体实例暴露到互联网,确需互联网访问的可以使用SSH等加密通道,并限制访问源地址,使用强密码或证书、硬件密钥等认证方式。要定期自查是否存在互联网暴露情况,一旦发现立即下线整改。

3.坚持最小权限原则。不要在部署时使用管理员权限账号,只授予完成任务必需的最小权限,对删除文件、发送数据、修改系统配置等重要操作要严格审批,建议在容器或虚拟机中隔离运行,以形成独立的权限区域。

4.谨慎使用技能市场。要审慎下载ClawHub“技能包”,并在安装前审查技能包代码。不要使用要求“下载ZIP”、“执行shell脚本”或“输入密码”的技能包。

5.防范社会工程学攻击和浏览器劫持。不要随意浏览来历不明的网站,避免点击陌生的网页链接。建议使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本,启用OpenClaw速率限制和日志审计功能,遇到可疑行为立即断开网关并重置密码。

6.建立长效防护机制。启用详细日志审计功能,定期检查并修补漏洞,结合网络安全防护工具、主流杀毒软件进行实时防护。要定期关注OpenClaw官方安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警,及时处置可能存在的安全风险。


三、安全要求提醒

AI虽香,安全别忘。请全体师生高度重视,理性看待新兴技术,切勿因好奇或跟风盲目在校园网服务器、办公电脑、存储敏感信息和工作数据设备上安装部署,严禁在处理教学科研数据、行政办公信息、学生信息等工作场景中使用该工具,杜绝校园数据泄露、系统受攻击等问题。若发生信息泄露、设备被控制、数据丢失等网络安全事件,及时报告学校现代教育技术中心(联系电话:0459-6503319)。



现代教育技术中心

2026313