夜雨聆风
近期,OpenClaw(俗称“龙虾”,曾用名 Clawdbot、Moltbot)作为一款开源 AI 智能体,因其便捷的自动化操作能力,已逐步应用于办公、开发运维、工业生产等多个场景。但随着其应用范围扩大,相关安全风险持续暴露,国家工业信息安全发展研究中心、国家互联网应急中心等机构已先后发布风险预警,明确其存在权限管控缺陷、插件投毒、漏洞易被利用等高危安全隐患,若未采取有效防护措施,可能导致系统被控、敏感信息泄露、生产流程失控等严重后果,甚至引发安全生产事故和合规风险。
为切实防范相关安全风险,保障学校网络安全、数据安全及业务连续性,学校信息化建设与管理处发布了 OpenClaw 智能体使用安全风险提示及建议,一起看看如何“安全养虾”吧。
1
使用安全风险提示
1.权限失控风险:OpenClaw 智能体默认权限配置薄弱,若授予其系统级权限,易出现越权执行操作,擅自发布错误指令,干扰业务流程、破坏设备运行逻辑。
2.敏感信息泄露风险:恶意插件、指令诱导或 AI 理解偏差,可能导致工业图纸、API 密钥、业务数据、用户隐私等核心敏感信息被窃取或误发布至互联网,造成严重数据安全隐患。
3.漏洞利用与攻击面扩大风险:目前 OpenClaw 已曝出 80余个安全漏洞,若默认网络配置未修改,管理界面易暴露于公网,被攻击者利用实现远程代码执行,且其可作为自动化攻击工具,进行内网横向渗透,扩大网络攻击范围。
4.供应链与诱导攻击风险:第三方插件投毒、提示词注入、恶意网页劫持等攻击方式,可导致 OpenClaw 被恶意接管,校园网设备沦为跳板,进一步窃取系统控制权和敏感数据。
2
使用安全建议
1.充分认识OpenClaw的安全风险,谨慎选择安装的技能,定期审查技能代码,按照安全最佳实践进行配置,仅授予必要的权限,定期进行权限检查。
2.将OpenClaw部署在独立的容器、虚拟机或沙箱中,避免与学校业务系统服务器或个人终端混用,实时监控该应用的网络连接和网络访问行为,定期检查异常行为。
3.定期进行数据备份,发现异常立即切断网络连接,清除恶意技能和恶意程序,更改可能泄露的口令信息。
安全“养虾”,谨慎探索
在科技浪潮中守牢网络安全防线
让AI智能体真正成为教学科研
办公学习的得力助手!
图文来源:信息化建设与管理处
排版编辑:李东旭
责编:刘沂蒙
复核:刘舒婕
终审:王文霞
共青团兰州理工大学委员会
红柳・青创营|2026年“挑战杯”赛前培训系列讲座(第一期)邀你参加!
2026-03-16
2026-03-16
