近期,OpenClaw(俗称“龙虾”)AI智能体凭借文档整理、作业辅助、笔记梳理等功能在师生中迅速走红。这款AI工具虽然能够提升效率,但作为面向开发者的专业框架,在面向普通用户时仍存在诸多安全隐患。目前,工信部及多所高校已相继发布安全提示,提醒用户理性使用、加强防护,警惕其背后暗藏的安全风险!
一、OpenClaw暗藏的四大真实风险与对应防护措施
1.指令执行易偏差,资料“说没就没”
风险核心:工具对不清晰的指令容易理解出错,还可能擅自执行操作,忽略用户设定的限制。
真实案例:某高校学生用其整理期末笔记,明确要求“不删除内容”,却被批量删除复习笔记、课件;另有同学编辑作业时,核心内容被误删,直接影响课程成绩。
防护措施:重要资料务必先备份再操作;不使用模糊指令;删除、修改类操作必须人工二次确认。
2.权限配置易失控,设备易被远程控制
风险核心:工具需高权限运行,信任边界模糊,默认配置易暴露公网,易被劫持、接管。
真实案例:多所高校监测发现,学生设备因使用该工具被黑客远程控制,进而窃取文件、监控操作,甚至影响校园内网与教务系统稳定。
防护措施:不授予OpenClaw管理员权限,坚持最小权限;不将工具暴露至公网;尽量在隔离环境中使用。
3.第三方插件未经安全审核,隐私信息易被窃取
风险核心:第三方插件与技能包未经过安全检测,部分含恶意代码,可静默获取账号与隐私数据。
真实案例:不少师生安装第三方插件后,出现校园网账号密码、个人照片、通讯录被窃取,引发诈骗短信、账号盗用等问题。
防护措施:不安装来源不明的插件与技能包;谨慎使用要求执行脚本、输入密码的插件/工具;仅使用官方资源。
4.安装部署门槛高,代装与密钥管理暗藏风险
风险核心:安装配置复杂,普通用户难以安全部署;密钥管理不当易被恶意利用。
真实案例:部分用户通过网络陌生人付费代装,被植入后门、盗取资料;也有用户因密钥泄露被滥用,产生高额调用费用,相关损失与责任需自行承担。
防护措施:不要使用陌生人提供的远程代装服务;如需远程协助,可由可信人员操作,使用完毕及时关闭相关权限;API密钥不随意分享、公开或粘贴留存。
二、工信部 “六要六不要” 安全建议
为帮助大家更规范地使用OpenClaw(龙虾)这类AI智能体工具,工信部专门发布了“六要六不要”安全指引,可作为日常使用的官方参考:
六要:
1.要使用官方最新版本,从正规渠道下载并开启更新提醒
2.要严控互联网暴露面,定期自查,必要时通过加密通道访问
3.要坚持最小权限原则,重要操作人工确认,建议隔离运行
4.要谨慎使用技能市场,安装前严格核查技能包代码
5.要防范社会工程学攻击和浏览器劫持,启用日志审计
6.要建立长效防护机制,及时关注安全公告与漏洞预警
六不要:
1.不要使用第三方镜像版本或历史老旧版本
2.不要将“龙虾”智能体实例暴露到互联网
3.不要使用管理员权限账号进行部署运行
4.不要使用要求下载ZIP、执行脚本或输入密码的技能包
5.不要浏览不明网站、点击陌生链接、打开不可信文档
6.不要禁用详细日志审计功能
温馨提醒:
AI工具是学习与工作的辅助手段,追求便捷的同时,更应坚守网络安全底线。。请全体师生理性看待新兴AI技术,不盲目跟风、不随意安装、不违规使用,在提升效率提升的同时,切实守护好个人信息安全与校园网络安全。
