一、事件起因:新兴技术工具快速扩散,安全隐患随之浮现 近期,开源智能体框架OpenClaw在国内网络平台上迅速走红。该工具因图标形似龙虾,被网络用户广泛称为"龙虾"。其核心功能在于能够自主执行计算机操作、处理日常办公任务,具备一定程度的自动化决策与执行能力,因此吸引了大量用户的关注与尝试。 然而,技术工具的快速普及往往伴随着安全风险的同步扩散。工业和信息化部网络安全威胁和漏洞信息共享平台监测结果显示,OpenClaw在默认配置或不当配置条件下存在较高安全风险,易引发网络攻击、数据泄露、系统受控等网络安全事件,对网络与信息安全构成严重威胁。这个官方预警,成为多所高校相继出台管控措施的直接依据。 二、风险解析:四类安全隐患不容忽视 安徽师范大学网络安全与信息化办公室在其发布的预警通知中,对该工具的核心安全隐患进行了系统梳理,归纳出四个层面的突出问题。 其一,隐私泄露风险极高。该工具运行需获取计算机高级权限,用户的聊天记录、账号密码、邮件内容及文件数据等敏感信息均以明文形式存储于本地设备。一旦配置不当或遭受外部入侵,上述信息存在被瞬间窃取的风险。 其二,自主执行机制存在失控隐患。该工具在处理模糊指令时会自行推断并执行操作,已有案例显示其曾出现无视用户限制、批量删除邮件、误删重要文件等严重失控情形。有关安全审计结果表明,其整体安全通过率和核心维度安全通过率均处于极低水平。 其三,权限管理机制存在明显漏洞。该工具具备持续运行、自主决策及调用系统与外部资源的能力,但信任边界模糊,缺乏有效的权限控制与审计机制。在此条件下,该工具易被恶意指令诱导或接管,进而执行越权操作,导致用户计算机系统遭受远程控制。 其四,技术门槛与使用风险严重不匹配。OpenClaw本质上是面向开发者的底层框架,正常部署需掌握命令行操作、接口密钥管理等专业技能,并非面向普通用户的成熟消费级产品。普通用户若通过非官方渠道的"代装"服务进行部署,不仅因不熟悉权限配置而放大安全风险,还可能遭遇以收取服务费为名的投机性欺诈行为。 三、高校响应:多地院校相继出台管控措施 面对上述安全隐患,国内多所高校迅速作出响应,采取了不同程度的管控举措。 3月10日,珠海科技学院信息数据管理处发布《关于严禁在校内使用OpenClaw软件的通知》,明确要求全校教职工即日起严禁在任何办公设备、教学终端及校园网络环境下安装、运行或使用该软件及其衍生版本、配套插件与第三方脚本。已安装相关程序者须立即彻底卸载,并清除全部配置、缓存及日志文件。该校还宣布将对校园网络及终端开展不定期安全扫描与核查,对违规行为依规严肃处理,并明确追责机制——凡因违规使用引发网络安全事件、造成数据泄露或系统损坏者,将依法依规追究相关人员责任。 同日,安徽师范大学网络安全与信息化办公室发布预警通知,要求全校师生理性看待该工具,切勿因跟风心理盲目安装部署,尤其应避免在接入校园网的设备、办公计算机及存储有个人敏感信息的设备上使用。校内各单位及教职工被明确要求,严禁在处理教学科研数据、行政办公信息及学生信息等工作场景中使用该工具。 3月11日,江苏师范大学信息化建设与公共资源管理处亦发布相关提醒,要求全校师生防范OpenClaw安全风险,深入扩大了高校管控的覆盖范围。 四、深层背景:技术普及与安全治理之间的结构性张力 此次事件并非孤立现象,而是折射出当前智能化技术工具快速扩散背景下,安全治理体系面临的深层挑战。近年来,具备自主决策与执行能力的智能体工具逐步从实验室走向普通用户,其功能边界的扩展在带来便利的同时,也对现有的网络安全防护体系提出了更高要求。 高校作为知识密集型机构,汇聚了大量科研数据、学生个人信息及行政管理数据,历来是网络攻击的重点目标。,部分高校选择以禁令形式应对新兴工具带来的不确定性风险,说明了在安全底线与技术开放之间审慎权衡的管理逻辑。 ,此次事件也提示相应机构和机构,对于面向普通用户快速传播的开发者工具,有必要建立更为及时、系统的安全评估与公众告知机制,以弥合技术能力与安全认知之间的落差。
工具越便捷,安全意识越不能松懈;高校密集发布提醒与管控措施,反映出对新型工具带来管理挑战的清醒认识。守护校园网络与数据安全,既需要制度约束和技术防线,也需要每一位使用者建立边界意识与责任意识,在创新与安全之间把好"入口关"和"配置关"。