養“蝦”有風險！多所高校發布安全提示

近期，開源AI智能體“龍蝦”異常火爆，不僅受到國內產業界和廣大用戶的廣泛關注，大家更是積極開展實踐應用。但工信部網絡安全威脅和漏洞信息共享平臺監測發現，其在默認或不當配置下存在高危安全風險。

△開源AI智能體工具OpenClaw因圖標是一只紅色龍蝦被大家稱為“龍蝦”。

OpenClaw（曾用名 Clawdbot、Moltbot）是一款開源AI智能體，其通過整合多渠道通信能力與大語言模型，構建具備持久記憶、主動執行能力的定制化AI助手，可在本地私有化部署。

北京大學、北京建筑大學、西北工業大學、山東大學等高校為切實保障全校師生的個人信息安全、校園網絡安全及數據資產安全，已發布防范OpenClaw相關風險事項的預警通知。

官方預警

近期，工業和信息化部網絡安全威脅和漏洞信息共享平臺監測發現OpenClaw開源AI智能體部分實例在默認或不當配置情況下存在較高安全風險，極易引發網絡攻擊、信息泄露等安全問題。

由于OpenClaw在部署時“信任邊界模糊”，且具備自身持續運行、自主決策、調用系統和外部資源等特性，在缺乏有效權限控制、審計機制和安全加固的情況下，可能因指令誘導、配置缺陷或被惡意接管，執行越權操作，造成信息泄露、系統受控等一系列安全風險。

建議相關單位和用戶在部署和應用OpenClaw時，充分核查公網暴露情況、權限配置及憑證管理情況，關閉不必要的公網訪問，完善身份認證、訪問控制、數據加密和安全審計等安全機制，并持續關注官方安全公告和加固建議，防范潛在網絡安全風險。

“六要六不要”

針對“龍蝦”典型應用場景下的安全風險，工業和信息化部網絡安全威脅和漏洞信息共享平臺（NVDB）組織智能體提供商、漏洞收集平臺運營單位、網絡安全企業等，研究提出“六要六不要”建議。

1.使用官方最新版本

要從官方渠道下載最新穩定版本，并開啟自動更新提醒；在升級前備份數據，升級后重啟服務并驗證補丁是否生效。

不要使用第三方鏡像版本或歷史版本。

2.嚴格控制互聯網暴露面

要定期自查是否存在互聯網暴露情況，一旦發現立即下線整改。

不要將“龍蝦”智能體實例暴露到互聯網，確需互聯網訪問的可以使用SSH等加密通道，并限制訪問源地址，使用強密碼或證書、硬件密鑰等認證方式。

3.堅持最小權限原則

要根據業務需要授予完成任務必需的最小權限，對刪除文件、發送數據、修改系統配置等重要操作進行二次確認或人工審批。優先考慮在容器或虛擬機中隔離運行，形成獨立的權限區域。

不要在部署時使用管理員權限賬號。

4.謹慎使用技能市場

要審慎下載ClawHub“技能包”，并在安裝前審查技能包代碼。

不要使用要求“下載ZIP”、“執行shell腳本”或“輸入密碼”的技能包。

5.防范社會工程學攻擊和瀏覽器劫持

要使用瀏覽器沙箱、網頁過濾器等擴展阻止可疑腳本，啟用日志審計功能，遇到可疑行為立即斷開網關并重置密碼。

不要瀏覽來歷不明的網站、點擊陌生的網頁鏈接、讀取不可信文檔。

6.建立長效防護機制

要定期檢查并修補漏洞，及時關注OpenClaw官方安全公告、工業和信息化部網絡安全威脅和漏洞信息共享平臺等漏洞庫的風險預警。黨政機關、企事業單位和個人用戶可以結合網絡安全防護工具、主流殺毒軟件進行實時防護，及時處置可能存在的安全風險。

不要禁用詳細日志審計功能。

無需懂代碼

“龍蝦”官方卸載指南

如果你已經安裝了OpenClaw，體驗過后發現駕馭不了，想要卸載，可參考OpenClaw官方自帶的卸載教程操作，不需要懂代碼，只需要一步步跟著照做即可。

官方推薦的卸載教程

打開終端（Terminal）

• Windows用戶：按鍵盤上的Win+R鍵，在彈出的框中輸入cmd，然后按回車；或者直接在開始菜單里搜索“命令提示符“或“PowerShell”。

• Mac用戶：按鍵盤上的Command+Space（空格鍵），在搜索框輸入Terminal或終端，然后按回車。

輸入下面這行命令并回車

代碼塊：openclaw uninstall --all --yes，其中：

• uninstall：告訴程序我要卸載。

• --all：徹底刪除，包括網關服務、本地數據庫、配置文件等所有數據。

• --yes：全程自動確認，不需要你手動按 Y 確認。

刪除命令行工具

以上指令跑完后，電腦里就只剩下OpenClaw的外殼（CLI工具）了。如果想把它徹底清除，再執行一行——代碼塊：npm uninstall -g openclaw。至此，電腦就徹底干凈了。

注意事項

執行完上述操作后，建議重啟一次電腦，確保所有后臺進程徹底關閉。如果曾在OpenClaw里綁定過API Key（如OpenAI、Claude的密鑰），建議去對應的官網廢棄舊密鑰，生成新密鑰，以防萬一。