近期，开源AI智能体框架 OpenClaw（因图标特征被俗称为 “龙虾”）在网络上广泛传播，其具备的自主执行电脑操作、处理办公任务等功能受到关注，但监测发现，该智能体在默认配置或不当配置条件下存在较高安全风险，易引发网络攻击、数据泄露、系统受控等网络安全事件，对网络与信息安全构成严重威胁。为切实保障校园网络安全、师生个人信息安全及学校教学科研、行政办公数据安全，现就防范 OpenClaw 开源 AI 智能体安全风险相关事项预警提示如下：

一、终端智能体平台ClawBot存在安全风险。因其采用“本地优先”架构，部署于个人硬件并享有高系统权限，一旦被入侵，攻击者可完全控制主机。建议谨慎部署、严格权限管控、强化访问控制（如强密码和多因素认证）。

二、OpenClaw存在远程代码执行漏洞（CVE-2026-25253）。控制UI的URL参数校验不严，攻击者可通过钓鱼链接窃取认证令牌，执行任意命令。建议升级到最新版本、启用Token认证、避免公网暴露、限制端口访问（仅允许可信IP，启用HTTPS）。

三、OpenClaw开源生态Skills模块存在安全风险。攻击者通过ClawHub上传恶意Skills，诱导用户安装并执行恶意代码。建议使用官方Skills、采用Docker或虚拟机隔离、定期审查日志、避免主力设备部署（使用测试机或云服务器），并定期备份数据。

四、不得在校园网内的涉密设备以及存有敏感和重要数据的设备上部署OpenClaw。如需技术研究或测试，必须落实安全措施（如网络隔离、强制认证、最小权限等）。如有使用情况，请及时报送至信息中心。