福软教技〔2026〕1号
关于校园内部署使用OpenClaw的
安全风险提示
各学院(部),各部(处、室、中心、馆):
近期,开源智能体OpenClaw(曾用名Clawdbot、Moltbot,俗称“龙虾”)在国内应用热度快速上升,我校部分师生已存在校内部署使用行为。结合国家互联网应急中心、工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)、中央网信办数据与技术保障中心三大权威机构发布的安全预警,OpenClaw官方安全文档以及国内高校部署防控实践,该智能体在校园网络环境下存在供应链攻击、内网渗透、数据泄露、系统被控等突出安全风险,其部署环节的固有缺陷易因校园用户规模大、敏感数据集中、运维能力分布不均等特征被放大。
为保障校园网络与数据安全,规范OpenClaw校内部署使用行为,引导师生在合法合规前提下探索AI技术应用,经学校研究,现就相关安全要求明确如下,请各单位严格遵照执行:
一、明确部署端固有风险,强化安全防范意识
1.默认安全配置脆弱:国家互联网应急中心明确指出,OpenClaw默认将所有消息来源视为可信,未区分内外用户,攻击面大幅扩大,攻击者无需复杂技术即可获取系统控制权,与校园网络特性叠加易引发大规模安全事件。
2.权限与审计机制缺失:工信部网络安全平台预警,该智能体缺乏有效权限控制和完整操作日志,默认配置下可执行任意系统高危操作,校园多用户共享场景下易出现权限滥用、操作不可追溯等问题。
3.合规部署门槛较高:OpenClaw官方要求部署环境Node版本不低于22,原生Windows环境问题较多,仅Linux容器化部署方案成熟;安全配置对运维专业能力要求极高,校园多数师生及行政人员不具备相关配置能力,易出现安全疏漏。
4.供应链风险突出:中央网信办提示,该智能体第三方技能市场审核松散、恶意技能包泛滥,第三方代部署服务暗藏后门植入、密钥窃取风险,非官方镜像版本易引入安全隐患。
二、严格部署环境管控,降低运行端风险
OpenClaw的运行稳定与安全,高度依赖于其部署环境。不建议在不具备专业运维条件的个人设备上随意搭建。
1、严格私人部署审批要求:教职工、学生个人确因教学、科研等合理需求需在校内网络或学校权属设备上部署OpenClaw的,须提前向学校信息中心与智慧校园规划与建设处提交申请,明确说明部署场景、具体使用用途、拟采用的部署环境配置、运维责任人等核心信息,经审核通过后方可实施部署;未获审批的一律不得私自搭建。单位统筹部署的参照本流程履行审批手续。
2、严禁非专用设备部署:禁止在承载行政办公、教学科研数据、师生敏感信息的办公终端,以及宿舍个人电脑、多媒体教学终端、实训室设备等公共/共享设备上部署OpenClaw服务,保障核心业务与数据安全。
3、推荐专用隔离部署:确因教学科研需求需部署的,应在校园内网中使用不承载其他业务的专用服务器或虚拟机部署,由所在单位指定专人负责运维与安全监测;尽量选用Linux系统(建议国产信创操作系统)作为宿主机,不建议使用Windows(含WindowsServer)系列操作系统,降低兼容性与漏洞风险。
4、合规使用云部署模式:具备技术条件的单位可选择通过国家网络安全审查的云服务商进行隔离部署,便于实现网络隔离与集中运维,但需严格遵守网络访问管控要求,严禁将服务直接暴露公网。
三、规范模型接入管理,防范对接端安全风险
OpenClaw的价值在于模型,风险也在于模型接入。
1、优先使用可信模型:建议优先接入国内通过备案的主流商业模型应用程序编程接口(如豆包、千问、智谱等)或学校自建、经过安全审计的本地模型。上述服务商通常有更完善的数据隐私保护承诺。
2、严禁接入非合规模型:禁止通过OpenClaw接入来源不明、未备案或无合规资质的第三方模型服务,防范恶意代码窃取对话记录、JSONWeb令牌(JWT)或实现远程代码执行,避免数据泄露。
四、强化网络访问管控,阻断外部攻击路径
OpenClaw服务原则上严禁直接暴露在公网上。
1、严禁公网暴露服务:所有OpenClaw部署实例均不得通过防火墙端口映射、路由规则配置等方式直接向互联网开放访问。
2、规范校外访问流程:确需在校外远程访问用于科研的,须通过学校5G校园专网(经白名单授权)、VPN(经白名单授权)审批通过后安全接入校园网;严禁明文传输后台管理员账号、API令牌等敏感信息。
五、严格技能插件管理,防范供应链安全风险
OpenClaw支持安装各类“技能包”或通过MCP服务器扩展功能,这带来了便利,也引入了未知风险。
1、谨慎安装第三方技能包:对于非官方市场、来源不明的技能包,尤其是涉及“执行shell脚本”“下载ZIP压缩包”“要求输入密码”等敏感操作的插件,严禁随意安装。建议在安装前由技术人员对代码进行安全审查。
2、及时修复安全漏洞:根据公开漏洞库信息,2025年之前发布的技能包或旧版本OpenClaw存在多个高危漏洞,可导致账户接管或远程代码执行。各单位须建立定期检查机制,关注官方安全公告,及时将平台升级至最新稳定版本以修复已知漏洞。
六、规范师生使用行为,保障数据与资源安全
1、严禁数据“投喂”:在与AI对话过程中,严禁输入学校的未公开科研数据、师生个人隐私信息、工作秘密等敏感内容。
2、使用加密通道进行维护:对服务器进行后台维护时,须使用SSH等加密远程连接协议,不得使用明文传输的远程桌面(如未加密的VNC)在公网上进行管理。
3、禁止私自寻求外部“代部署”:各单位的信息化设备和系统应由本单位或学校信息化部门负责运维,严禁私自联系校外不明身份的人员进校或在服务器上进行部署,以防引入恶意代码或留下后门。
4、加强API用量监控:使用商业收费模型的,需密切监控API用量,防范Token被窃取及心跳机制导致的异常消耗,避免产生“天价账单”。
七、明确费用承担主体,强化成本责任意识
1、OpenClaw开源框架本身免费提供,师生使用该工具产生的大模型 API调用Token 算力费、云服务租赁费、第三方插件服务费、部署运维费等相关直接与间接费用,原则上由实际使用者本人全额自行承担。
2、经学校主管部门正式审批立项、具备对应专项经费预算的校级及以上教学、科研、管理项目,确因项目任务需列支相关费用的,须在项目申报时将相关费用纳入预算审批,凭合规票据与项目相关使用明细,严格按学校财务制度从对应项目专项经费中据实列支;未立项、无预算、超预算的费用,一律由使用者本人自行承担。
3、学校不承担无专项预算的费用支付、垫付、报销、补偿责任,不对第三方服务商的计费规则、收费标准承担解释、担保或连带责任。使用者应自行知悉收费规则,做好成本管控,自行承担因操作不当、密钥泄露等产生的超额费用及相关损失。
八、落实安全主体责任,强化监督问责机制
1、压实主体责任。各部门负责人为网络安全第一责任人,须立即组织全面自查,确保本提示传达到每一位教职工,及时整改违规部署、使用行为。
2、强化监督检查。学校将不定期开展安全扫描,重点排查Windows、IOS、Linux系统及异常网络连接;对违规行为严肃处理相关责任人,引发安全事件的,依法依规追究责任并上报上级部门。
3、校内各院(系)、部门已部署OpenClaw运行环境、已创建相关智能体与机器人应用的师生,须在本规定发布之日起5个工作日内主动向学校信息中心完成报备;学校信息中心会同相关职能部门对全校OpenClaw部署、使用及报备情况开展专项督导检查,对未按规定报备、违规使用的行为依规处置。
九、其他事项
1.OpenClaw安全风险具有先天性,即使升级至最新版本也无法完全消除,国企、政府机关已全面限制部署,建议师生优先使用学校官方认证的AI交互工具,理性看待“龙虾热”。
2.如需了解详细安全规范,可查阅三大权威机构发布的预警文件及OpenClaw官方安全文档。
特此通知。
附件:
1.工业和信息化部《关于防范OpenClaw(“龙虾”)开源智能体安全风险的“六要六不要”建议》
2.中央网信办数据与技术保障中心《关于OpenClaw“龙虾”的安全风险提示》
3.国家互联网应急中心OpenClaw安全风险预警
福州软件职业技术学院
2026年03月16日
附件1:
工业和信息化部关于防范OpenClaw(“龙虾”)
开源智能体安全风险的“六要六不要”建议
发布单位:工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)
发布时间:2026年3月11日
针对“龙虾”典型应用场景下的安全风险,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)组织智能体提供商、漏洞收集平台运营单位、网络安全企业等,研究提出“六要六不要”建议:
一、典型应用场景安全风险
(一)智能办公场景:主要存在供应链攻击和企业内网渗透的突出风险。通过在企业内部部署“龙虾”,对接企业已有管理系统,实现智能化数据分析、文档处理、行政管理、财务辅助和知识管理等。安全风险包括:引入异常插件、“技能包”等引发供应链攻击;网络安全风险在内网横向扩散,引发已对接的系统平台、数据库等敏感信息泄露或丢失;缺乏审计和追溯机制情况下易引发合规风险。
(二)开发运维场景:主要存在系统设备敏感信息泄露和被劫持控制的突出风险。通过企业或个人部署“龙虾”,将自然语言转化为可执行指令,辅助进行代码编写、代码运行、设备巡检、配置备份、系统监控、管理进程等。安全风险包括:非授权执行系统命令,设备遭网络攻击劫持;系统账号和端口信息暴露,遭受外部攻击或口令爆破;网络拓扑、账户口令、API接口等敏感信息泄露。
(三)个人助手场景:主要存在个人信息被窃和敏感信息泄露的突出风险。通过个人即时通讯软件等远程接入本地化部署的“龙虾”,提供个人信息管理、日常事务处理、数字资产整理等,并可作为知识学习和生活娱乐助手。安全风险包括:权限过高导致恶意读写、删除任意文件;互联网接入情况下遭受网络攻击入侵;通过提示词注入误执行危险命令,甚至接管智能体;明文存储密钥等导致个人信息泄露或被窃取。
(四)金融交易场景:主要存在引发错误交易甚至账户被接管的突出风险。通过企业或个人部署“龙虾”,调用金融相关应用接口,进行自动化交易与风险控制,提高量化交易、智能投研及资产组合管理效率,实现市场数据抓取、策略分析、交易指令执行等功能。安全风险包括:记忆投毒导致错误交易,身份认证绕过导致账户被非法接管;引入包含恶意代码的插件导致交易凭证被窃取;极端情况下因缺乏熔断或应急机制,导致智能体失控频繁下单等风险。
二、“六要六不要”安全使用建议
(一)要使用官方最新版本。要从官方渠道下载最新稳定版本,并开启自动更新提醒;在升级前备份数据,升级后重启服务并验证补丁是否生效。不要使用第三方镜像版本或历史版本。
(二)要严格控制互联网暴露面。要定期自查是否存在互联网暴露情况,一旦发现立即下线整改。不要将“龙虾”智能体实例暴露到互联网,确需互联网访问的可以使用SSH等加密通道,并限制访问源地址,使用强密码或证书、硬件密钥等认证方式。
(三)要坚持最小权限原则。要根据业务需要授予完成任务必需的最小权限,对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。优先考虑在容器或虚拟机中隔离运行,形成独立的权限区域。不要在部署时使用管理员权限账号。
(四)要谨慎使用技能市场。要审慎下载ClawHub“技能包”,并在安装前审查技能包代码。不要使用要求“下载ZIP”“执行shell脚本”或“输入密码”的技能包。
(五)要防范社会工程学攻击和浏览器劫持。要使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本,启用日志审计功能,遇到可疑行为立即断开网关并重置密码。不要浏览来历不明的网站、点击陌生的网页链接、读取不可信文档。
(六)要建立长效防护机制。要定期检查并修补漏洞,及时关注OpenClaw官方安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警。党政机关、企事业单位和个人用户可以结合网络安全防护工具、主流杀毒软件进行实时防护,及时处置可能存在的安全风险。不要禁用详细日志审计功能。
附件2
中央网信办数据与技术保障中心
关于OpenClaw“龙虾”的安全风险提示
发布单位:中央网信办数据与技术保障中心
发布时间:2026年3月10日
近期,OpenClaw(曾用名:Clawdbot、Moltbot)(因图标被昵称为“龙虾”)在全球迅速走红,国内更是掀起“养龙虾”热潮。然而,技术热潮之下,安全风险不容忽视。我中心从“龙虾”技术内在风险、新型攻击手法、数据隐私保护、法律合规治理、外部生态信任等五个维度,系统梳理当前已暴露的主要风险点,提醒广大用户强化风险意识,促进人工智能技术朝着有益、安全、公平方向健康有序发展。
提示1——提防AI“内鬼”:技术架构权限失控风险
权限边界模糊与越权控制。OpenClaw需持续运行、自主决策并调用系统资源,但默认缺乏严格的权限隔离和审计机制。攻击者可利用这一“信任边界模糊”特性,通过诱导或漏洞让AI执行越权操作,最终完全接管用户系统。
算法“幻觉”引发无意识破坏。AI模型固有的“幻觉”问题在获得系统控制权后风险剧增。OpenClaw执行任务时若判断失误,可能误删核心数据、篡改关键指令或进行错误操作,对用户数字资产造成不可逆损害。
提示2——谨防无声入侵:新型漏洞攻击防不胜防
提示词注入攻击。OpenClaw创始人警告,部分小模型和一些旧模型存在高风险提示词注入漏洞。攻击者通过构造恶意指令,可让AI忽略安全规则、泄露私密信息或执行高危操作,如诱导AI输出私密文件内容。
“ClawJacked”远程控制漏洞。ClawJacked漏洞,允许攻击者仅通过诱导用户访问一个恶意网页,即可远程控制其本地运行的AIAgent。无需安装额外软件,即可实现对系统的完全操控。
提示3——当心数字裸奔:你的隐私正被AI尽收眼底
个人行为轨迹数据裸奔。OpenClaw等智能体的工作通常依赖高频屏幕截图和系统底层接口调用,这意味着它能“看见”用户屏幕上的一切行为轨迹。一旦安全防线被突破,动态行为、敏感信息等所有隐私都将彻底曝光。
凭证与Token明文泄露风险。报道显示,超20万未启用认证或存在弱口令的实例暴露在公网中,攻击者可窃取Token盗刷AI服务,有用户遭遇Token日均消耗从20元飙升至300元的异常情况。
提示4——莫让责任真空:法律滞后让风险逍遥法外
数据合规性风险。OpenClaw在数据抓取和处理上边界模糊,自主执行任务时容易造成损失。由于目前法律对此类AI代理行为的权责划分尚属空白,因此责任难以界定。
安全评估风险。OpenClaw作为新兴技术迭代迅速,现有的安全评估标准与实施细则亟需细化,在抢抓产业机遇时风险评估考虑不够充分。
提示5——严防“养虾”陷阱:外部生态暗藏信任危机
技能市场大规模投毒。攻击者在官方平台ClawHub批量上传恶意Skills,通过伪装隐蔽、诱导传播等方式可窃取用户敏感数据、接管系统权限、篡改系统数据、破坏系统运行、自动横向渗透攻击。
第三方代装服务欺诈。由于安装门槛高,网上涌现大量收费代装服务(50-1000元不等)。有的可能是第三方个人行为,暗藏恶意程序植入、API密钥窃取等风险。用户付费请人“开门”,请进来的却可能是窃贼,导致系统从最初就被植入后门。
技术炒作下的认知误导风险。OpenClaw在国内热度远超全球,有的源于技术焦虑和商业化炒作。这种脱离技术实质的狂热,可能误导普通用户盲目投入,消耗大量时间精力却无实际产出,甚至因追逐伪概念而忽视真正有价值的技术方向。
综上,我中心建议大家在“养龙虾”时一定要注意防范潜在的各类安全风险。OpenClaw的火爆,是AI从“动口”走向“动手”的里程碑,也是我国人工智能产业蓬勃活力的生动注脚。对于广大用户而言,拥抱新技术的同时,请务必系好“安全带”,唯有发展与安全并重,才能让“龙虾”踏轨而行,让AI智能体真正成为推动高质量发展的得力助手,而非失控的风险源。
附件3:
国家互联网应急中心OpenClaw安全风险预警
近期,OpenClaw(曾用名:Clawdbot、Moltbot,因图标被昵称为“龙虾”)开源智能体在国内快速走红,国内主流云平台均提供一键部署服务,该智能体依据自然语言指令直接操控计算机完成相关操作,部分师生已尝试在校园内部署使用。为切实防范相关安全风险,保障网络安全和数据安全,现就OpenClaw部署使用安全风险发布本预警。
一、核心风险概览OpenClaw的核心机制是“高权限自主执行”,其为实现自主执行任务能力,被授予访问本地文件系统、读取环境变量、调用外部服务API及安装扩展功能等较高系统权限,这使其一旦失守,后果远超传统软件漏洞。结合近期监测情况,主要存在以下四类突出安全风险:
(一)提示词注入风险。网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,即可导致其被诱导泄露用户系统密钥,无需攻破系统即可实现攻击目的,攻击门槛极低。
(二)自主误操作风险。由于AI对用户操作指令和意图的理解存在偏差,OpenClaw可能误将电子邮件、核心科研数据、教学资料等重要信息彻底删除,造成不可逆的损失,尤其适配校园科研教学场景下的敏感数据安全隐患。
(三)功能插件投毒风险。多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在安全风险,安装后可执行窃取密钥、部署木马后门软件等恶意操作,使校园服务器、终端设备沦为“肉鸡”,进而引发内网渗透、数据泄露等连锁风险。
(四)已知漏洞利用风险。截至本预警发布,OpenClaw已公开曝出多个高中危漏洞,一旦被网络攻击者恶意利用,可直接导致系统被控、隐私信息和敏感数据泄露。对校园场景而言,可能造成未公开科研数据、师生个人隐私、工作秘密等信息外泄,甚至影响校园教学、科研系统正常运行。同时需明确,OpenClaw更新迭代速度快,即使更新至官方最新版本,仅能修复已知安全漏洞,无法完全消除安全风险。若存在将实例暴露于互联网、使用管理员权限部署、明文存储密钥等配置问题,依然存在被攻击风险,网络安全是动态过程,不能将“打补丁”“升版本”视为一劳永逸的安全保障。
二、紧急防护措施针对校园及各类用户,建议立即执行以下“四步走”安全加固措施,防范相关风险:
(一)强化网络隔离与访问控制。严禁将OpenClaw默认管理端口直接暴露在公网上,通过身份认证、访问控制等措施对访问服务进行安全管理;对运行环境进行严格隔离,使用容器等技术限制OpenClaw权限过高问题,落实最小权限原则,不得使用root或管理员身份运行。
(二)加强凭证与数据安全管理。避免在环境变量中明文存储密钥、API令牌等敏感信息;建立完整的操作日志审计机制,记录OpenClaw执行的每一条命令和访问的每一个文件,便于事后追溯,契合校园数据安全管理要求。
(三)严格管理插件供应链。仅从官方或经过严格验证的可信渠道安装插件,禁用插件自动更新功能,防止恶意代码通过更新通道植入;安装扩展程序时,强制要求带有可信的数字签名,杜绝安装来源不明的插件。
(四)做好持续运维与漏洞修复。鉴于OpenClaw漏洞频发,需建立常态化监控机制,一旦官方发布安全补丁或新版本,必须在测试验证后立即升级;定期对部署环境进行漏洞扫描,排查已知高危漏洞,及时整改安全隐患。
三、特别提示
1.校园、党政机关、企事业单位等用户,建议在内部测试环境中充分验证OpenClaw的安全性之前,暂停在核心系统、敏感设备中部署此类高权限自主智能体;确需部署的,需采用“人机回环”模式,即OpenClaw执行高危操作前必须经人工确认。
2.广大师生切勿在存有重要隐私、科研数据、教学资料的主机上,随意运行未经过安全加固的OpenClaw实例,防范个人信息和校园敏感数据泄露。
3.发现OpenClaw安全漏洞,或针对OpenClaw的安全威胁、攻击事件时,可第一时间向工业和信息化部网络安全威胁和漏洞信息共享平台报送,按照《网络产品安全漏洞管理规定》要求,由平台组织及时处置,切实维护网络安全。
发布单位:国家互联网应急中心
发布时间:2026年3月16日
