近期,开源智能体项目OpenClaw因部署便捷、扩展性强而迅速流行,但随之而来的网络安全风险也引发关注;工信部等部门提醒——默认或配置不当的情况下——此类工具可能被用于网络攻击或导致信息泄露。国家互联网应急中心发布安全警示,指出OpenClaw存在高危漏洞和权限失控等问题,并将其风险归纳为四类:提示词注入、误操作风险、插件投毒和安全漏洞利用。多所高校已发出通知,要求师生谨慎使用,部分单位甚至明确禁止部署或要求立即卸载。 原因:开源生态快速扩散与安全治理滞后 业内人士分析,OpenClaw等开源智能体迅速流行的原因在于其灵活的插件扩展能力和低使用门槛。然而,开源项目版本迭代快、组件依赖复杂,若用户缺乏安全意识,容易导致权限过大、凭证管理不规范或服务端口暴露等问题。尤其在校园环境中,设备数量多、场景复杂,默认账号、弱口令或过度授权可能放大风险。此外,插件生态质量参差不齐,缺乏审核机制可能使其成为恶意代码的入口。 影响:从单机风险演变为系统性隐患 高校的处置通报显示,风险主要集中在办公电脑、服务器等生产环境设备。珠海科技学院要求彻底卸载OpenClaw,并警告违规使用者将受处理。华南师范大学禁止在生产环境和办公设备上安装。华中师范大学要求核查服务器部署情况,关闭不必要的公网访问。安徽师范大学建议“非必要不部署”,尤其避免在存有敏感数据的设备上运行。这些措施反映出,一旦发生凭证泄露或权限滥用,可能导致数据外泄、系统受控甚至勒索软件传播,影响教学科研秩序。 对策:构建“止损+分级管理+制度约束”防线 高校的举措集中在三上:一是排查高风险实例,封堵不必要的公网访问;二是强化权限与凭证管理,遵循最小权限原则;三是建立使用边界和审批机制,重要部署需安全评估和持续监测。同时,需加强插件审核、依赖管理和日志审计。对于教学科研需求,可在隔离环境测试,并通过数据脱敏和访问控制降低风险。 前景:回归理性应用与规范发展 随着风险警示发布,开源智能体的无序扩散将受到限制。未来,其在教育科研领域的应用将从“能用就用”转向“可控再用”。行业和机构将加快制定安全基线要求,高校等将更重视数据安全和终端管理。在此过程中,需平衡创新与安全,避免一刀切,同时守住安全底线。
当技术创新与网络安全碰撞,“龙虾”事件为全社会敲响警钟;在数字化转型加速的今天,如何平衡效率与安全、开放与可控,将成为检验科技治理能力的关键。这场由高校发起的安全防卫战,或许正是构建新型技术伦理体系的起点。