大家都知道最近那个叫OpenClaw的开源AI智能体很火,也就是因为它长得像龙虾,大家都管它叫“龙虾”。这个东西呢,能自己执行电脑操作,处理办公任务,看着挺方便的。不过3月10日这天,安徽师范大学网络安全与信息化办公室就发布了个预警通知,把它的核心安全隐患给扒出来了。 他们说这个工具太危险了,一不留神就能让人隐私泄露。毕竟它要运行得先获取电脑的高权限,而且聊天记录、账号密码这些敏感信息都在本地明文存储着。万一配置不对或者被黑客盯上,这些数据可能瞬间就没了。 还有它自己执行任务的时候特别容易失控。你随便给它个模糊指令,它就可能不听指挥瞎操作,比如批量删邮件、误删重要文件之类的事都干过。安全审计通过率特别低,看着就不靠谱。 另外它的权限管理也是个大问题。信任边界模糊不清,一直能运行还能自己做决定调用资源。要是没有好的权限控制和审计机制,很容易被人引导去做越权的事,把电脑系统给远程控制了。 关键是它的技术门槛和使用风险根本不匹配。这东西本来就是给开发者用的底层框架,得懂命令行操作和API密钥管理这些专业知识。普通人要是直接用网上那种不靠谱的“代装”服务去安装部署,那风险简直是成倍放大。 因为这些原因,安徽师范大学网络安全与信息化办公室要求全校师生理性看待它。千万别跟风盲目安装,尤其是那些连在校园网的设备、办公电脑还有存着个人敏感信息和工作数据的设备上绝对不能用。 珠海科技学院信息数据管理处也在3月10日发出了《关于严禁在校内使用OpenClaw软件的通知》。他们规定全校教职工从即日起严禁在任何办公设备、教学终端和校园网络环境下安装、运行这个软件的本体或者衍生版本、插件还有第三方技能脚本。 已经装了的必须马上彻底卸载干净,还要清除全部配置、缓存和日志文件。学校以后会不定期对校园网络和终端搞安全扫描和核查。一旦发现违规行为肯定要严肃处理。 学校还提到各部门负责人要负起网络安全的责任来,赶紧组织教职工自查自纠一遍。必须做到全覆盖没死角才行。 再看江苏师范大学信息化建设与公共资源管理处也没闲着。他们也在3月11日发布了《关于防范OpenClaw安全风险的提醒》。 其实不光是这两所学校,工业和信息化部那边早就监测到了风险了。他们说OpenClaw在默认配置或者不当配置的情况下存在很高的安全风险容易引发攻击、泄露甚至系统被控制这些事对网络安全构成了严重威胁。 总之这事儿大家可得小心点了!