关于OpenClaw（“龙虾”）AI智能体安全风险的提示

全校师生：

近期，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）连续发布预警，指出开源AI智能体框架OpenClaw（俗称“龙虾”）在默认或不当配置下存在较高安全风险，易引发数据泄露、网络攻击等问题。

请复制以下访问链接

关于防范OpenClaw（“龙虾”）开源智能体安全风险的“六要六不要”建议（https://www.nvdb.org.cn/publicAnnouncement/2031684972835299329）

请复制以下访问链接

关于防范OpenClaw开源AI智能体安全风险的预警提示（https://www.nvdb.org.cn/publicAnnouncement/2019330237532790786）

OpenClaw（曾用名 Clawdbot、Moltbot）是一款开源AI智能体，其通过整合多渠道通信能力与大语言模型，构建具备持久记忆、主动执行能力的定制化AI助手，可在本地私有化部署。由于OpenClaw在部署时“信任边界模糊”，且具备自身持续运行、自主决策、调用系统和外部资源等特性，在缺乏有效权限控制、审计机制和安全加固的情况下，可能因指令诱导、配置缺陷或被恶意接管，执行越权操作，造成信息泄露、系统受控等一系列安全风险。为保障校园网络与个人信息安全，特提示如下：

一、主要风险

1.数据泄露风险：工具可能意外上传文件、对话记录等敏感数据;

2.系统安全风险：高权限操作可能导致文件误删、命令误执行;

3.恶意插件风险：第三方插件生态尚未完善，存在植入后门、窃取信息的隐患;

4.配置泄露风险：配置文件通常明文存储API密钥等凭据，易被窃取造成关键资产被盗用。

二、防护建议

若因学习或研究需要接触此类工具，请务必：

1.隔离环境：仅在虚拟机、容器或专用测试机中运行，切勿在存有重要数据的办公电脑或服务器上安装;

2.最小化权限：严格限制其文件、网络访问权限，避免授予过高系统权限;

3.审慎使用插件：避免安装来源不明、未经验证的第三方插件;

4.保护凭据：不使用高权限账户密钥，改用临时、低权限令牌;

5.关闭公网访问：严禁将服务端口（如默认18789）暴露至校园网或互联网。

三、重要提醒

请各位老师、同学充分认识其安全风险，理性看待，避免盲目跟风安装。如确需使用，务必落实上述安全措施。使用过程中发现任何安全异常，应立即采取断网、关机等措施终止使用，并及时联系信息技术中心。（联系方式：2057046）

                            信息技术管理中心

                              2026.3.13