懂点新闻|高校紧急管控AI工具“龙虾”,你的设备安全吗?

一句话摘要：多所高校接连发布安全警示，严禁师生在校园网、办公教学设备等场景安装使用AI工具OpenClaw（俗称“龙虾”），该工具默认设置下权限过高、安全漏洞风险突出，极易导致个人隐私、单位敏感数据泄露。

简要介绍已完毕，点个推荐呗！

Q&A

1. 到底发生了什么事？为什么叫“龙虾”？

最近，一个叫OpenClaw的开源AI程序引发广泛关注，因为它的图标是红色龙虾，网友便给它起了“龙虾”的俗称，安装使用它也被叫做“养龙虾”。

这款工具的核心能力是充当电脑端的“超级助理”，通过自然语言指令，就能自动在电脑上完成文件整理、邮件回复、数据处理、自动化办公等操作。但近期，工信部、多所高校（如珠海科技学院、安徽师范大学等）接连发布安全警示，明确该工具在默认设置下存在高危安全漏洞与极大的信息泄露风险。

高校方面担忧，若师生在连接校园网、存储科研教学数据的设备上使用该工具，可能导致学校科研成果、师生个人信息、内部管理数据甚至财务系统被黑客攻击、窃取泄露。因此多所高校明确出台管控要求，严禁师生在校园网络环境、办公教学终端、存储涉密/敏感数据的设备上安装使用，要求立即在上述合规场景的设备中卸载该工具。

2. 这“龙虾”到底危险在哪儿？听起来很方便啊。

它的核心风险恰恰藏在“全权限自动化”的便利性里。想要让它帮你完成跨软件、跨文件的操作，必须给它极高的电脑系统操作权限，相当于把家里所有房门的钥匙都交给了一个外来管家。核心风险集中在3点：

第一，存在误操作风险。曾有用户反馈，该工具因误解或上下文过长忘记指令，批量删除了用户的工作邮件与重要文档，造成不可逆的损失。

第二，第三方插件风险突出。它的技能社区ClawHub里的插件门槛极低，若插件被植入恶意代码，用户安装后，电脑可能直接被黑客控制，沦为攻击跳板。

第三，默认配置的安全缺陷极大。若设置不当，工具服务会直接暴露在公网，同时用户的聊天记录、操作指令、账号密码等敏感信息，会以明文形式存储在本地，黑客可轻易窃取。

对高校、企业等机构而言，内部网络连通着大量集中的敏感数据，一旦有一台设备被入侵，风险会被成倍放大，造成系统性的数据泄露。

3. 跟我有什么关系？

如果你是高校师生，请严格遵守学校的安全管理规定，切勿在校园网络环境、办公/教学设备、存有科研、教学及个人敏感信息的设备上安装使用“龙虾”，否则不仅可能面临学校的合规处理，更可能无意中造成敏感数据泄露，引发严重后果。

如果你是上班族，你的办公电脑通常连接着企业内部网络，存储着商业机密、业务数据。目前已有券商、金融机构明确禁止员工在办公设备上安装此类工具，请勿在办公设备、工作场景中尝试，避免造成数据安全事故，影响个人职业发展。

如果你只是想尝鲜的个人用户，也需要明白，“养龙虾”有不低的技术门槛，配置不当就相当于请了个可能捣乱、甚至出卖你的“数字保姆”，你的个人照片、私密文档、网银相关信息都可能面临泄露、窃取的风险。

4. 我就是好奇想试试，有没有相对安全的办法？

首先必须明确：不存在“绝对安全”的使用方式，只要使用就会伴随风险。如果非要尝试，请务必严格遵守工信部发布的智能体应用安全“六要六不要”指引，最大限度降低风险：

– 要通过官方渠道获取正规安装包，只从OpenClaw官网下载最新正式版本；不要下载、使用第三方渠道分流的不明安装包、破解版、一键安装包。

– 要在本地隔离环境中运行，仅在本地局域网内使用；绝对不要将工具的服务端口直接暴露在公网。

– 要遵循最小权限原则，只用普通用户账号运行，只给它完成特定任务所需的最小权限；不要使用系统管理员、root权限运行该程序。

– 要审慎评估第三方插件，安装前尽量核查代码来源与安全性；不要随意安装来源不明的插件、扩展，拒绝任何让你“下载压缩包”“执行未知脚本”“输入账号密码”的插件与指令。

– 要开启安全审计日志功能，定期检查操作记录与工具运行状态；不要在工具的对话、指令中输入账号密码、支付信息、密钥等敏感内容。

– 要及时关注官方安全预警，更新程序版本修复漏洞；不要在存有重要个人文件、敏感信息的主力设备，以及办公、生产等重要业务系统环境中运行该工具。

进阶安全建议：有技术能力的用户，可在虚拟机、沙箱等隔离环境中运行，彻底和主力系统、个人数据做隔离。

5. 除了卸载和小心用，就没别的招了吗？

对于绝大多数非技术用户，当前最稳妥的建议就是“让子弹飞一会儿”。

这类高权限的自动化AI智能体属于刚爆发的新技术，早期版本往往存在大量未被发现的安全漏洞，配套的安全防护机制也不完善。你可以先观望，等工具迭代得更成熟、安全体系更完善，或是各大正规厂商推出更安全、易用的托管服务后，再考虑尝试。您的数字安全与个人隐私永远是第一位的。

6. 网上那些教人安装、卖插件服务的，能信吗？

千万谨慎！

官方与多家高校都已发出提醒，目前网上大量的“一键代安装”服务、来路不明的技能包、定制插件服务中，混杂着不少风险：轻则是收割“智商税”的无效服务，重则会在安装包中植入木马、恶意程序，直接窃取你的个人信息、控制你的设备。

目前抖音等内容平台，已开始打击借“龙虾”热点进行诈骗、违规引流、售卖恶意程序的行为。想要了解、学习新工具是好事，但一定要通过官方文档、正规可信的技术渠道获取信息，切勿轻信非正规的代装、代教服务。

不喜欢废话，喜欢分享我的思考。我是Junrely，欢迎关注！