各部门，各单位：

近期，国家互联网应急中心、教育系统网络安全通报机构连续发布预警，OpenClaw（龙虾）AI智能体因其具备的自主执行电脑操作、处理办公任务等功能受到关注，但该工具存在较高网络安全风险，多地也监测到该工具被恶意利用引发的信息泄露、系统受控等安全事件。为切实保障校园网络安全、全校师生的个人信息安全及学校数据资产安全，现就防范该工具相关安全风险事项通知如下：

一、核心安全风险

1.提示词注入攻击：恶意网页、文档、链接中植入隐藏指令，诱导OpenClaw泄露系统密钥、API凭证、账号密码，引发盗刷与数据外泄。

2.插件投毒风险：第三方技能插件（skills）暗藏木马，安装后窃取密钥、植入后门，导致设备沦为“肉鸡”。

3.权限失控与误操作：高权限自主执行，易被诱导删除重要文件。

4.高危漏洞利用：ClawJacked等远程控制漏洞可通过恶意网页一键接管设备，公网大量实例暴露，极易被批量入侵。

5.数据泄露风险：涉及师生个人信息、教学科研数据、行政办公信息，一旦外泄将严重侵害隐私、违反数据安全法规。

二、重点防控要求

1. 切勿盲目跟风安装：请全体师生理性看待新兴AI工具，切勿因好奇或跟风在办公电脑、教学终端、存储有个人敏感信息或工作数据的设备上安装、运行OpenClaw及其衍生版本、插件或脚本。

2. 试验需在隔离环境进行：若因科研或学习确需测试该工具，务必使用独立的虚拟机、容器或专用测试机，并在操作前将重要数据（尤其是师生个人信息、教学科研数据、行政办公信息等）完全移出测试环境，严禁在连接校园网的设备上直接试验。

3. 严禁在处理敏感数据时使用：任何涉及师生信息、教学科研数据、行政办公信息的工作场景中，一律禁止使用OpenClaw，严防数据泄露。

三、应急处置与报告

1.发现设备卡顿、文件异常、密码泄露、外联异常等情况，立即断网、全盘查杀、修改密码。

2.发现异常情况需第一时间向信息技术中心报告，不得私自处置、隐瞒不报。

3.遭遇数据泄露、勒索提示、设备被控等事件，按校园网络安全应急预案处置并上报。

四、工作要求

各部门、单位要切实履行网络安全主体责任，迅速传达至每一位师生，开展终端自查与风险排查，筑牢教育数据与个人信息安全防护底线。

联系电话：0316-2188635