近期，一款名为OpenClaw（"龙虾"）的开源 AI 智能体在高校师生群体中快速流行，凭借自主执行任务、扩展插件功能等特性，成为学习科研、日常办公的热门工具。据人民日报、新华网等权威媒体报道，"龙虾" 智能体虽便捷高效，但因默认安全配置薄弱、权限需求高、插件市场审核不严等问题，已曝出512 项安全漏洞，存在数据泄露、系统被控、恶意插件投毒、提示词注入等多重风险。国家工信部、多所高校已发布安全预警，提醒师生审慎使用。

为保障校园网络安全、守护师生个人信息与教学科研数据，结合官媒报道与权威安全提示,信息与教育技术中心特发布高校师生 "龙虾" 智能体安全使用指南：

一、认清核心风险，筑牢安全意识

1. 权限失控风险："龙虾" 需获取文件访问、系统调用、外部服务连接等高权限，不当使用易导致操作不受控、误删重要文件、泄露系统密钥。

2. 恶意插件风险：第三方技能包（ClawHub）存在恶意投毒隐患，植入木马、病毒后可窃取隐私、控制设备，沦为网络 "肉鸡"。

3. 网络暴露风险：默认端口易暴露公网，无加密、弱密码等问题，易被黑客入侵，窃取科研数据、个人账号信息。

4. 提示词注入风险：恶意网页隐藏指令可诱导 "龙虾" 泄露敏感数据，造成不可挽回的损失。

二、规范使用行为

结合工信部 "六要六不要" 安全建议，针对高校场景明确使用规范：

【要做到】

1. 要官方渠道获取：仅从 OpenClaw 官方仓库下载，拒绝第三方镜像、破解版，校验文件完整性。

2. 要隔离环境部署：严禁在校园办公电脑、教学终端、服务器安装；使用虚拟机、Docker 容器或闲置电脑独立部署，与校园网物理隔离。

3. 要最小权限运行：使用普通低权限账户，禁用管理员权限；限制文件访问目录，仅开放专用工作文件夹，禁止访问桌面、文档、密码文件。

4. 要谨慎使用插件：仅安装官方认证插件，安装前审查代码；拒绝 "自动赚钱、破解、黑灰产" 类不明技能。

5. 要严控网络暴露：不开启公网访问，不映射端口；如需远程，用 SSH 加密通道，绑定可信 IP，设置强密码。

6. 要定期更新自查：及时安装官方安全补丁，开启日志审计；每周检查异常连接、文件篡改，发现风险立即断开网络、卸载清理。

【严禁做】

1. 不要输入敏感信息：不向 "龙虾" 输入身份证号、银行卡、账号密码、未公开科研数据、学生隐私信息。

2. 不要滥用高权限：不授予屏幕录制、系统自动化、文件删除等高危权限，重要操作需人工二次确认。

3. 不要忽视安全预警：及时关注工信部、学校网络中心的风险提示，不使用存在漏洞的旧版本。

4. 不要随意分享实例：不将 "龙虾" 访问链接、配置信息分享他人，避免扩大安全风险。

三、师生安全使用指引

· 学生群体：仅在个人闲置设备、隔离环境测试学习，不用于课程作业、论文撰写、数据处理；不存储学习资料、个人隐私，发现异常立即卸载查杀。

· 教师群体：严禁在教学办公、科研场景使用，不用于处理教案、学生信息、科研数据。

· 科研场景：非必要不使用，确需研究需专用隔离设备，不接入校园网；不处理涉密、未公开数据，全程留存操作日志，接受安全审计。

四、应急处置措施，及时化解风险

1. 立即卸载清理：发现异常（弹窗、文件丢失、陌生进程），立即断开网络，彻底卸载 "龙虾"，删除配置、缓存、日志文件。

2. 全面安全排查：使用杀毒软件全盘扫描，修改所有账号密码，检查系统是否被植入后门。

3. 及时上报求助：无法处置时，立即联系学校网络信息中心，配合专业人员处置，避免风险扩散。

五、学校倡议

新技术是一把 "双刃剑"，便捷背后暗藏安全隐患。倡议全校师生：理性看待 "龙虾" 智能体，非必要不使用、确需使用严规范。坚守网络安全底线，守护个人隐私与校园数据安全，共同营造安全、健康、有序的校园网络环境。

一审：刘树威 二审：梁建胜 三审：谭继安