信息来源：中国人民大学校园网 发布日期：2026-03-12

各位老师、同学：

        近日，工业和信息化部网络安全威胁和漏洞信息共享平台监测发现，开源AI智能体OpenClaw（俗称“龙虾”，曾用名Clawdbot、Moltbot）在默认或不当配置情况下存在较高安全风险，极易引发网络攻击、信息泄露等安全问题。据国家信息安全漏洞库（CNNVD）统计，自2026年1月-2026年3月9日，共采集OpenClaw漏洞82个，其中超危漏洞12个，高危漏洞21个、中危漏洞47个、低危漏洞2个，包含了访问控制错误、代码问题、路径遍历等多个漏洞类型。OpenClaw多个版本受到漏洞影响。

        OpenClaw可通过整合多渠道通信能力与大语言模型，构建具备持久记忆、主动执行能力的定制化AI助手，可在本地私有化部署。由于其部署时“信任边界模糊”，且具备持续运行、自主决策、调用系统和外部资源等特性，在缺乏有效权限控制、审计机制和安全加固的情况下，可能因指令诱导、配置缺陷或被恶意接管，执行越权操作，造成信息泄露、系统受控等一系列安全风险。

        为保障我校网络与数据安全，现提醒如下：

        1.强化网络控制，不将OpenClaw默认管理端口直接暴露在公网上，通过身份认证、访问控制等安全控制措施对访问服务进行安全管理。对运行环境进行严格隔离，使用容器等技术限制OpenClaw权限过高问题。

        2.OpenClaw作为本地运行的软件，存在被捆绑或植入恶意病毒、木马程序的可能，请在本地电脑上安装正规杀毒软件，保持开启实时防护功能并定期进行全盘扫描。

        3.加强凭证管理，避免在环境变量中明文存储密钥，建立完整的操作日志审计机制。

        4.严格管理插件来源，禁用自动更新功能，仅从可信渠道安装经过签名验证的扩展程序。

        5.防范高系统权限导致的数据泄漏风险，在涉及重要数据或敏感操作时，请务必进行人工介入和复核。

        6.加强个人网络安全意识，对电脑中的重要文件、科研数据做好定期分类备份与加密处理。

        7.请密切关注OpenClaw官方安全公告及国家网络安全主管部门发布的加固建议，及时更新补丁，防范潜在网络安全风险。

        8.未经授权禁止在学校的办公电脑和服务器上安装OpenClaw。

        9.如发现疑似安全事件或异常情况，请立即联系信息技术中心（联系电话：62514520，邮箱：anquan@ruc.edu.cn），避免造成进一步损失。

        网络安全，人人有责，让我们共同维护安全、稳定的校园网络环境。

信息技术中心

2026年3月12日