全校广大师生：

近期，开源AI智能体OpenClaw（俗称“小龙虾”）在全球范围内迅速流行，引发广泛关注。OpenClaw是一款开源、本地优先、可自托管的AI智能体执行网关，核心是让大模型真正动手执行任务，让AI从“只会说”变成了“还会做”。其工作原理是一端对接主流模型，另一端对接本地设备、系统、软件与第三方API，从而将自然语言指令转化为实际操作。

然而，OpenClaw如同一把双刃剑，在带来便利和高效的背后，也隐藏着权限滥用、数据泄露等风险。近日，国家互联网应急中心（CNCERT）、工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）先后发布多次风险提示，OpenClaw在默认配置或不当使用情况下存在较高安全风险，极易引发网络攻击、信息泄露等安全问题。在缺乏有效权限控制等防护时，易被诱导或恶意接管并执行越权操作，导致设备远程受控，存在极高网络安全隐患，已有误删文件、窃取账户凭证等案例。

为保障师生个人数据安全及学校信息系统和数据安全，现将相关风险防范和使用建议提醒如下：

1. 严格控制互联网暴露面。师生使用OpenClaw智能体应使用云端服务器、虚拟机、容器等隔离技术部署。严禁部署在公务电脑中。严禁将服务暴露至公网或校园网。

2. 使用官方最新版本。在部署时，从官方渠道下载最新稳定版，并开启自动更新提醒。在升级前备份数据，升级后重启服务并验证补丁是否生效。切勿使用第三方镜像或旧版。

3. 坚持最小权限原则。在部署时，严禁使用管理员权限的账号，只授予完成任务必需的最小权限，对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。

4. 谨慎使用技能市场，严禁调用境外大模型。各类网络社区平台提供的技能包存在被恶意投毒的安全风险。请广大师生审慎下载相关技能包，安装前务必核查代码内容，坚决拒绝使用要求“下载ZIP压缩包”、“执行shell脚本”或“输入密码”的技能包。

5. 防范社会工程学攻击和浏览器劫持。不随意浏览来历不明的网站，不点击陌生的网页链接。建议使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本，启用OpenClaw速率限制和日志审计功能，遇到可疑行为立即断开网关并重置密码。

6. 建立有效防护机制。师生可以结合网络安全防护工具、主流杀毒软件进行实时防护。对智能体可访问的重要业务系统和数据库实施冗余备份。要定期关注OpenClaw官方安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警，及时处置可能存在的安全风险。

同时，信息技术与数据中心也将对校内的OpenClaw开展风险排查，识别OpenClaw异常行为，进一步加强终端与服务器安全管理。

网络安全无小事，望师生提高防范意识，审慎使用高权限开源工具，共筑校园防线，守护个人及学校信息安全。

                                                                                              信息技术与数据中心 

                                                                                                      2026年4月3日