近期,开源AI智能体“龙虾”异常火爆,不仅受到国内产业界和广大用户的广泛关注,更吸引大众积极开展实践应用。但工信部网络安全威胁和漏洞信息共享平台监测发现,其在默认或不当配置下存在高危安全风险,并发布了安全风险预警提示。多所高校为保障全校师生的个人信息安全、校园网络安全及数据资产安全,已发布防范OpenClaw相关风险事项的预警通知。
北京大学3月10日发布关于安全使用OpenClaw开源AI智能体的提醒,该工具在默认或不当配置下存在安全风险,如未启用身份认证、端口暴露、API密钥明文存储等,可能导致信息泄露、系统被远程控制等后果。提醒排查不要在OpenClaw中存储或处理学校统一身份认证账号及密码等敏感信息。特别提醒校园网用户,在服务器或个人电脑上部署OpenClaw,务必确认服务未暴露至校园网或公网。
华南师范大学3月11日通知,严禁在生产环境和办公电脑安装OpenClaw,包括学校的办公电脑、服务器、智能终端等生产设备。严禁向其提供任何敏感信息,不要输入办公系统账号密码、服务器管理权限、个人敏感信息、科研数据等内容。严禁直接开放公网访问。
北京建筑大学3月12日发布风险提醒,称OpenClaw部署时“信任边界模糊”,且具备持续运行、自主决策、调用系统和外部资源等特性,在缺乏有效权限控制、审计机制和安全加固的情况下,可能因指令诱导、配置缺陷或被恶意接管,执行越权操作,造成信息泄露、系统受控等一系列安全风险。并禁止在学校办公电脑以及服务器上安装OpenClaw。
此外,华中师范大学明确禁止在信息化办公室分配的服务器上安装OpenClaw。安徽师范大学通知非必要不部署使用,避免在接入校园网的设备、办公电脑、存储有个人敏感信息和工作数据的设备上使用。山东传媒学院提示,严禁将学院核心数据、未公开教学成果、涉密资料等输入至智能体中,全方位防范数据泄露风险。
3月11日,工业和信息化部网络安全威胁和漏洞信息共享平台,针对“龙虾”典型应用场景下的安全风险,研究提出“六要六不要”建议,包括建议使用官方最新版本,严格控制互联网暴露面,坚持最小权限原则,谨慎使用技能市场,防范社会工程学攻击和浏览器劫持,建立长效防护机制。
近期,开源AI智能体“龙虾”异常火爆,不仅受到国内产业界和广大用户的广泛关注,更吸引大众积极开展实践应用。但工信部网络安全威胁和漏洞信息共享平台监测发现,其在默认或不当配置下存在高危安全风险,并发布了安全风险预警提示。多所高校为保障全校师生的个人信息安全、校园网络安全及数据资产安全,已发布防范OpenClaw相关风险事项的预警通知。
北京大学3月10日发布关于安全使用OpenClaw开源AI智能体的提醒,该工具在默认或不当配置下存在安全风险,如未启用身份认证、端口暴露、API密钥明文存储等,可能导致信息泄露、系统被远程控制等后果。提醒排查不要在OpenClaw中存储或处理学校统一身份认证账号及密码等敏感信息。特别提醒校园网用户,在服务器或个人电脑上部署OpenClaw,务必确认服务未暴露至校园网或公网。
华南师范大学3月11日通知,严禁在生产环境和办公电脑安装OpenClaw,包括学校的办公电脑、服务器、智能终端等生产设备。严禁向其提供任何敏感信息,不要输入办公系统账号密码、服务器管理权限、个人敏感信息、科研数据等内容。严禁直接开放公网访问。
北京建筑大学3月12日发布风险提醒,称OpenClaw部署时“信任边界模糊”,且具备持续运行、自主决策、调用系统和外部资源等特性,在缺乏有效权限控制、审计机制和安全加固的情况下,可能因指令诱导、配置缺陷或被恶意接管,执行越权操作,造成信息泄露、系统受控等一系列安全风险。并禁止在学校办公电脑以及服务器上安装OpenClaw。
此外,华中师范大学明确禁止在信息化办公室分配的服务器上安装OpenClaw。安徽师范大学通知非必要不部署使用,避免在接入校园网的设备、办公电脑、存储有个人敏感信息和工作数据的设备上使用。山东传媒学院提示,严禁将学院核心数据、未公开教学成果、涉密资料等输入至智能体中,全方位防范数据泄露风险。
3月11日,工业和信息化部网络安全威胁和漏洞信息共享平台,针对“龙虾”典型应用场景下的安全风险,研究提出“六要六不要”建议,包括建议使用官方最新版本,严格控制互联网暴露面,坚持最小权限原则,谨慎使用技能市场,防范社会工程学攻击和浏览器劫持,建立长效防护机制。
