各学部（院）、各职能部门（单位）：

近期，名为OpenClaw（因图标特征被俗称为“龙虾”）的开源AI智能体在网络迅速走红。该工具功能强大，但在默认或不当配置下存在极高的网络安全风险。根据国家信息安全漏洞库（CNNVD）及工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）通报，2026年以来已累计发现相关漏洞80余个，其中包含多个高危漏洞，可轻易导致个人信息泄露、系统被远程控制、数据被窃取、设备被恶意利用等严重后果。为切实保障全体师生个人信息安全、校园网络与数据资产安全，现就有关事项紧急通知如下：

一、清醒认识核心安全风险

OpenClaw并非普通应用，而是主要面向开发者的底层框架，普通用户使用存在极高技术门槛与安全风险：

默认配置极其危险：默认无任何身份认证，且默认网关端口（18789）监听在公网接口，极易被远程攻击者发现并直接控制。

存在严重漏洞：已被证实存在“远程代码执行”等高危漏洞（如CVE-2026-25253），用户仅需访问恶意网页即可导致设备完全被控。

供应链攻击风险：其第三方“技能包”（ClawHub）缺乏审核，已发现大量包含键盘记录器、凭据窃取器等恶意代码的插件，存在“投毒”隐患。

隐私泄露风险极高：为完成任务，需获取文件、邮件、浏览器等高敏感权限，配置不当或被攻击后，所有个人信息、账号密码、科研数据等均可能被窃取。

操作易失控：工具存在意图误解风险，可能导致误删重要文件、误发邮件等不可挽回的操作损失。

二、严格执行禁止与限制要求

严禁安装范围：全校所有服务器资源（含物理服务器、云服务器）、办公电脑、教学终端、接入校园网的设备，以及存储有个人敏感信息、工作数据、科研数据的任何个人设备，一律严禁安装、部署、运行OpenClaw及其任何衍生版本、插件。

立即开展自查整改：请各单位网络管理员立即组织对所属所有设备进行排查。已在相关设备上部署的用户，务必立即停止服务、卸载软件、清除所有配置与缓存文件。

确需研究测试的严格隔离：仅限在与校园网、办公系统、个人数据完全物理隔离的专用测试机、虚拟机或Docker沙箱环境中进行，且严禁输入任何账号密码、API密钥、涉密及敏感数据。

三、落实安全防范与工作责任

履行主体责任：各单位网络安全负责人要切实履行网络安全主体责任，确保本通知传达到每一位师生，并组织完成全面自查自纠，确保无违规使用情况。

加强监测与追责：信息化建设与管理中心将持续对校园网开展安全扫描与端口监测。凡因违规使用OpenClaw导致网络安全事件、数据泄露或系统损坏的，学校将依法依规严肃追究相关单位及个人责任。

提升全员安全意识：全体师生应理性看待新兴技术，不盲目跟风，不随意为陌生软件授予高权限，不点击不明链接，养成良好网络安全习惯。

网络安全关乎人人，责任重于泰山。请全体师生务必高度重视，立即行动，严格遵守上述要求，共同筑牢校园网络安全防线。

资源保障部信息化建设与管理中心

2026年3月13日