各位师生：

近期，开源AI智能体OpenClaw（俗称“小龙虾”）因其强大的自动化能力，在校园内受到广泛关注。为方便大家在学习研究中安全使用，现就相关安全风险及防范措施提醒如下。

一、主要安全风险

OpenClaw通过整合多渠道通信能力与大语言模型，构建具备持久记忆和主动执行能力的定制化AI助手。由于其在部署时“信任边界模糊”，且具备自主决策、调用系统和外部资源等特性，在缺乏有效安全控制的情况下存在以下风险：

默认无认证：暴露在网络上的实例可被任何人远程控制。

远程代码执行漏洞：仅需浏览恶意网页即可劫持会话。

恶意技能包：第三方市场曾发现大量恶意插件，可窃取密钥、植入后门。

API密钥明文存储：实例被入侵后攻击者可直接获取付费服务密钥。

AI误操作风险：可能误解指令导致误删重要文件、误发邮件等。

二、安全使用防范建议

1.加强网络管控与身份认证

确认OpenClaw服务仅限本机访问，切勿将默认端口（18789）暴露在校园网或公网。同时设置强密码认证，防止未经授权的远程访问。

2.遵循最小权限运行

尽可能不使用root或管理员账户运行OpenClaw，创建专用低权限账户。限制其文件访问权限，仅允许访问必要的工作目录，避免授予系统关键目录的访问权限。

3.加强凭证与敏感信息管理

切勿将API密钥、账号密码等敏感信息以明文形式存储在配置文件中。建议使用环境变量等方式管理密钥。不在OpenClaw中处理统一身份认证账号、银行卡信息、邮箱密码等个人敏感数据。

4.谨慎使用第三方技能

仅从官方或可信渠道安装技能包，切勿轻信网上各类“代装”服务。安装前注意审查插件权限要求，警惕来源不明的恶意插件。

5.理性部署

请结合自身实际需求理性看待该工具，切勿因跟风心理盲目安装。尤其避免在办公电脑、存有重要研究数据的设备上使用。

三、数据安全特别提醒

不得在OpenClaw中处理任何校内工作数据和敏感信息如：教务数据、科研数据、学生信息、行政文件、财务资料等，严防数据泄露风险，守住校园数据安全底线。

四、特别提醒

信息技术中心将定期扫描开放端口，如发现安全隐患将通知整改。持续关注官方安全更新，及时升级版本。如有疑问或遭遇风险，请联系信息技术中心，电话：0571-86914506。

                                                                     
  



                                                                                中国计量大学信息技术中心
                                                                                    2026年3月17日