夜雨聆风
各位老师、同学:
近期,开源AI智能体OpenClaw(俗称“龙虾”)因具备本地部署、自主执行计算机操作的功能在全网爆火,国内主流云平台也提供了一键部署服务。然而,其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。若不当安装和使用,极易引发系统被控、数据泄露、资产受损等问题,严重威胁个人信息安全。为保障大家的计算机使用安全,特此发布以下温馨提醒:
一
安全风险
1
权限过高
OpenClaw拥有访问本地文件、调用API等高系统权限。一旦被攻陷利用,攻击者可能获得系统完全控制权。
2
数据泄露
若被恶意诱导,它可能将您的照片、文档、聊天记录甚至支付账户信息“拱手相让”。
3
恶意投毒
部分第三方插件已被确认包含木马后门,安装后设备可能沦为黑客的“肉鸡”。
二
安全措施
1
办公电脑“不安装”
❌请勿在办公电脑、教学终端或业务服务器上安装。如需使用,请在独立网段隔离运行,并采取最小化权限。
2
服务端口“不裸奔”
❌严禁将管理端口(默认18789)直接暴露在外。务必设置仅允许本机访问,并设置强密码。
3
凭证信息“不留痕”
❌切勿将APIKey、Token明文写在代码或环境变量中。请使用加密的密钥管理工具。
4
插件来源“不轻信”
❌禁用“自动更新”功能,不安装来源不明的插件,警惕“记忆投毒”和“提示词注入”。
5
遇到异常“快上报”
✅若发现未知进程、电脑异常或怀疑数据泄露,请立即断网并联系网信中心。
三
检查指引
OpenClaw 作为 AI Agent 基础设施,其安全风险本质上是权限边界的失控风险。安全不是一次性配置,而是持续的安全维护。
立即行动
访问 GitHub 网站
搜索 Dejavu(GitHub: https://github.com/AscendGrace/Dejavu),对您的 OpenClaw 实例完成一次安全检查。
动动手指,转发给还没查过虾的朋友,帮他们也养条健康的虾
温馨提示
网络安全无小事,个人防护是关键。让我们共同提高网络安全和个人信息保护意识,规范使用网络工具,携手筑牢校园网络安全防线,共建安全、和谐的数智校园环境!
END
来源:广东机电职业技术学院网信中心
初审:校融媒体中心运营发行部 黄楚滢
复审:校融媒体中心运营发行部 郑娟虹
终审:黎晓蓉 尹浩然
