最近一段时间,AI智能体OpenClaw(也叫“龙虾”)在高校圈里流行起来了,不过它也带来了安全问题。3月10日,珠海科技学院信息数据管理处发布了通知,要求把OpenClaw软件以及相关的插件和技能脚本从学校的所有设备和网络环境中清除。这次禁令包括VPN远程连接终端,把已安装的程序彻底卸载,并清除所有配置和日志文件。学校会对校园网络和终端进行定期安全扫描和核查,如果发现有人违规使用这些软件,就会严肃处理。学校还要求各部门负责人要加强网络安全管理,组织教职工进行自查自纠。违反规定引发安全事件或数据泄露的人将受到法律责任追究。为什么这个软件让大家这么担心呢?工业和信息化部网络安全威胁和漏洞信息共享平台发现,在默认配置或者错误配置下,OpenClaw存在很大的风险,容易引发攻击、数据泄露等问题。所以多个高校也都在提醒大家防范这个风险。比如安徽师范大学网络安全与信息化办公室和江苏师范大学信息化建设与公共资源管理处都发出了类似的警告。3月11日工业和信息化部发布了一些建议来帮助大家更好地使用OpenClaw软件。 为了减少安全风险,他们建议从官方渠道下载最新版本并开启自动更新提醒。不要使用第三方镜像版本或者历史版本。定期自查是否有互联网暴露情况,如果发现就下线整改。不要将智能体暴露到互联网上,确需访问可以使用SSH等加密通道并限制访问源地址。授予最小权限原则完成任务必需的最小权限给智能体进行管理并进行二次确认或人工审批。部署时不要使用管理员权限账号。谨慎下载ClawHub技能包并在安装前审查代码不要使用下载ZIP、执行shell脚本或者输入密码的技能包。防范社会工程学攻击和浏览器劫持等行为建立长效防护机制及时修补漏洞关注官方安全公告等信息来源就是澎湃新闻还有央广网。