3月10日这天,北京大学专门给师生们发了通知,说那个特别火的开源AI智能体OpenClaw,其实挺危险的。就说它在默认设置或者配置得不好的时候,容易把身份认证给忘了,端口也暴露出来了,API密钥直接用明文存着。这些要是不处理,很可能会让人信息泄露,甚至让别人远程控制你的系统。学校特意提醒大家,千万别把学校统一身份认证的账号密码存进去。还有校园网用户得注意,要是在服务器或者个人电脑上装这个东西,一定要确认服务没暴露到外面的网上去。到了3月11日,华南师范大学那边更直接,直接就说办公电脑、服务器这些生产环境里绝对不能装OpenClaw。 连学校的办公系统账号密码、服务器管理权限、科研数据这些敏感的东西都别往里输。特别是别直接开放公网访问。到了3月12日,北京建筑大学又发了风险提醒。他们说这个工具部署起来有点“信任边界模糊”,而且能一直运行、自己做决定、调用系统资源。要是缺乏权限控制和审计机制,很容易被恶意接管去做越权的事。所以禁止在学校的办公电脑还有服务器上安装它。 除了这几个学校,华中师范大学明确说信息化办公室分配的服务器里不能装;安徽师范大学说非必要别用;山东传媒学院则是严禁把学院核心数据、教学成果和涉密资料输入进去。3月11日这天,工业和信息化部那个网络安全威胁和漏洞信息共享平台也行动了。他们针对“龙虾”这个应用场景的安全风险,提出了“六要六不要”的建议。比如建议用官方最新版本,控制互联网暴露面,坚持最小权限原则,谨慎使用技能市场等。 这次AI界大火的开源工具“龙虾”,不仅产业界关注多,普通用户也在积极用它实践。但工信部监测到它默认设置有高危安全风险,就发了预警提示。这才导致多所高校为了保障大家的个人信息、校园网络和数据安全,都发布了防范OpenClaw相关风险的通知。像徐彦琳记者报的这条消息就反映了这种状况。总之还是小心为好!