3月10日这天,珠海科技学院信息数据管理处发了个紧急通知,把全校教职工都给揪出来了。通知里严令禁止大家在任何办公设备上安装“龙虾”,也就是那个叫OpenClaw的AI智能体框架。如果已经装上了,得立刻彻底卸载干净,连缓存和日志文件都得清得一干二净。这学校还说了,他们会不定时去校园网络和终端上扫雷检查。一旦发现谁还在偷偷用或者装着相关的衍生版本、插件或者第三方技能脚本,那肯定得依规严肃处理。 之所以搞这么大阵仗,是因为开源AI框架OpenClaw最近在网上火得一塌糊涂。它能帮电脑干活、处理办公任务,听起来挺方便。可工业和信息化部的那个网络安全平台监测发现,这家伙在默认或者乱配的情况下风险特别大。要是没关好门,很容易让黑客把系统控制了、数据偷了。 现在安徽师范大学网络安全与信息化办公室也跟着跳出来了,3月10日也发了个预警。他们把“龙虾”的四个大毛病都给扒出来了。首先是隐私泄露风险高得吓人。这玩意儿必须拿到电脑的高权限才能动,你电脑上的聊天记录、密码、邮件、文件全是明文放在本地的。只要稍微搞个小动作,黑客就能把你最敏感的信息给顺走。 第二个问题是执行起来容易失控。这工具总爱自作聪明,面对模糊的指令它会乱猜着去做操作。之前就出过无视用户限制、批量删邮件、误删重要文件的蠢事。第三个是权限管理有大漏洞。它信任的边界太模糊了,能自己不停歇地干活、做决定还能调用外部资源。如果没人管着它或者审计跟不上,很容易被坏人诱导去做越权的事。 最后一点是技术门槛和风险不匹配。这本来就是给开发者用的底层框架,普通用户根本搞不懂那些命令行操作和API密钥管理。大家要是找那种不靠谱的“代装”服务去搞部署,那就是把安全风险给无限放大了。 所以安徽师范大学要求大家别跟风盲目安装。特别不能在连校园网的设备或者存着个人敏感信息的电脑上用。校内单位和教职工在处理教学科研数据、行政办公信息的时候也千万别碰这个东西。大家得擦亮眼睛,认清新兴AI工具的安全风险,别随便给陌生软件开大门。 到了3月11日,江苏师范大学信息化建设与公共资源管理处也坐不住了,紧跟着发了个《关于防范OpenClaw安全风险的提醒》。这下可好了,多所高校都在盯着这事呢。