如何安全使用OpenClaw?来看高校实战经验→

2026年3月，开源AI智能体OpenClaw（俗称“小龙虾”或“龙虾”）以星火燎原之势席卷全球。然而，其在展现出惊人生产力的同时，也因高权限、自主执行的特性，使AI安全从内容输出层面延伸到终端环境、网络边界、数据安全和运行管理层面。

对高校信息化部门而言，关键在于如何在保障合理探索的前提下，建立清晰的应用边界、资产台账和治理机制，进一步筑牢高校网络与数据安全防线。

OpenClaw带来的首要威胁是提示词注入攻击。攻击者可在网页或文档中隐藏恶意指令，当OpenClaw读取这些内容时，便可能在用户无感知的情况下执行窃取密钥、发送数据等操作。

例如，在高校场景中，攻击者可将恶意代码植入公开的学术PDF或课程文件，一旦师生用它辅助学习，即可能导致科研数据被窃取。

其次，由于智能体的理解能力尚不完善，自主执行极易引发误操作。真实案例中，已有用户因指令被OpenClaw误解而遭遇邮件被批量误删和核心数据丢失。在高校实验室，若OpenClaw误解了“清理垃圾文件”的指令，可能误删重要实验数据，甚至对设备进行错误操作，引发安全事故。

此外，OpenClaw开放生态中的技能包（Skills）存在供应链风险。大量恶意插件伪装成“论文润色”“文献下载”等工具，诱使用户授予过高权限，从而植入后门、窃取账号，最终将设备变为“肉鸡”。高校用户若安装了非官方渠道的“一键查重”等插件，极易导致个人信息泄露与设备失控。

最后，OpenClaw自身漏洞频出，仅2026年初就披露了237个漏洞，其中23个为超危级别。更严重的是，大量用户使用默认配置并将管理端口直接暴露于公网。高校科研服务器若为此开放端口且未加限制，极易被黑客利用，导致算力被劫持用于挖矿，或成为攻击内网的跳板。

针对高校环境，需建立覆盖OpenClaw全生命周期的安全治理体系，将风险遏制在萌芽状态。具体可采取以下措施：

首先，应部署校园网资产探测系统，全面识别并登记网络内设备及相关服务信息，建立资产清单，落实责任到人，实现资产全生命周期管控。

其次，严格切断攻击路径。禁止在办公网、核心服务器及存有敏感数据的设备上部署相关应用。科研测试须在专用隔离环境中进行，且禁止将服务端口暴露于公网，实现“数据不出域”。

同时，贯彻权限最小化原则。禁止使用高级权限运行，在Linux中以低权用户启动。对高危操作设置“二次确认”或人工审批，配置文件访问白名单，并关闭不必要的系统权限。

在供应链安全方面，应建立插件“安检”制度，严禁安装未经验证的第三方插件。建议通过内部“安全插件库”统一管理，并持续关注官方更新，及时安装安全补丁。

此外，应开启详细日志审计，集中分析行为记录，并设置异常告警规则，确保安全事件可追溯。定期开展网络安全教育与攻防演练，提升师生对提示词注入、插件投毒等风险的辨识与防范能力。

最后，参照相关部门建议，将相关使用纳入网络安全责任制，对导致安全事件的违规行为依法依规追究责任。任何涉及国家秘密、科研秘密与隐私的数据，均严禁输入公有云AI模型。

如图1所示，先通过资产探测系统对校园网内疑似OpenClaw的资产进行检索，并从端口、协议、操作系统和标题等维度形成基础资产视图。这一步的意义在于把分散在网络中的相关实例收拢到同一张清单中，为后续人工复核和专项检测缩小范围。

在线索初步形成后，不能只停留在静态资产检索层面，还应结合流量视角判断相关服务是否真实在线、是否持续运行，具体可进一步结合运行流量进行交叉验证。

在定位疑似对象后，还需围绕默认控制端口和控制面继续核查。如图3所示，对开放18789端口的资产进行逐项核查后，可进一步结合页面标题、HTTP响应和服务特征确认其是否暴露了OpenClaw控制面。这一步是从“发现线索”转向“判定风险”的关键节点，也为后续进入任务化、批量化的专项核查提供了明确对象。

目前，团队基于开源项目AgentScan进一步开发并开源了ClawScan。这并非简单沿用原有框架，而是围绕OpenClaw场景做了定向增强。在对象确认之后，疑似目标会被纳入任务体系持续跟进；同时，团队补充并维护了238条CVE规则、160条有效CNNVD映射以及本地PoC规则，补齐了CVE/CNNVD编号映射关系，并保留了PoC实证优先的判定逻辑，使排查结果从“发现资产”升级为“核验风险”。

ClawScan能将扫描任务统一纳入任务列表管理，便于集中查看任务状态、扫描深度、目标数量、发现Agent数和漏洞情况。当前前端的“漏洞中心”也区分了“当前漏洞库”和“已扫描发现”两套视图，前者展示YAML规则库中的OpenClaw全量CVE，后者展示任务实际命中的结果。

在任务发起环节，ClawScan支持直接配置扫描目标和执行参数。在新建任务时可录入任务名称、扫描目标、任务描述、端口、扫描深度、并发数、超时和mDNS发现等参数，并支持批量录入目标地址，从而将前述线索直接转化为可执行的专项核查任务。

对应到任务执行结果，可在任务详情页汇总任务状态、目标数、开放端口、发现Agent数和漏洞数；还可继续下钻查看目标状态、Agent类型、版本、认证模式、风险等级与漏洞数。

在此基础上，可将任务数量、资产暴露、漏洞规模和高危资产占比进行汇总展示，最终进入通报、处置和复核环节，将检测结果转化为问题清单和整改闭环。

需要注意的是，ClawScan的作用主要在于资产发现、暴露面排查和漏洞核验，并不能替代本机侧防护。对于已经安装并实际运行OpenClaw的终端，真正的风险往往发生在运行时，如提示词注入触发的异常指令、恶意Skills加载、本地文件越权读取、异常外联、凭证调用以及高危命令执行等。因此，高校在开展专项排查工作之外，仍有必要在实际运行OpenClaw的本机部署终端防护、行为监测或访问控制类软件，对异常进程、敏感目录访问、网络外联和高危命令调用进行持续拦截与审计。

关注我们 了解更多↓