3月9日,广东这边有好几个高校都接到通知,说是要把那种叫OpenClaw的开源AI智能体,也就是俗称的“龙虾”给彻底卸载掉,被发现有违规使用的就会严肃处理。因为这个东西虽然在AI圈里挺火,但是工信部那边说了,它默认的设置或者配置不当的话,特别容易引发网络攻击和信息泄露,所以得赶紧给“龙虾热”降降温。3月10日,珠海科技学院的信息数据管理处发了文件,要求全校师生马上把OpenClaw彻底卸载干净,把配置、缓存和日志文件全清除了。学校还说了,以后会不定时地对校园网络和终端进行扫描核查,谁要是还偷偷装着用,肯定要依规严肃处理。 到了3月11日,华南师范大学网络信息中心发了个《重要提醒》,里面特意提到“龙虾”的安全风险要注意。他们说了如果真的要学习或者测试功能,必须遵守几条规矩:绝对不能在学校的办公电脑、服务器这些生产环境里安装;绝对不能向它提供账号密码、科研数据这些敏感信息;绝对不能直接把公网访问给开放出去,不然容易被别人攻击利用。同样是在3月11日,天津大学信息与网络中心也出了通知。他们说如果必须要用OpenClaw,得按照他们的建议来:别给root权限;本地部署只在本地回环接口上用;把默认端口改了;别挂载根目录;禁用高危命令;用沙箱浏览器比如Playwright来操作网页;只装高信誉的插件。 3月10日的时候,安徽师范大学网络安全与信息化办公室发了预警通知。他们建议“非必要不部署使用”,特别强调不能在接入校园网的设备或者有个人敏感信息的设备上用。还有西北工业大学也发了提醒,说部署之前要先检查公网暴露情况、权限配置这些问题。这次安全事件闹得挺大,连国家互联网应急中心都在3月10日正式发布了安全风险警示,明确指出了OpenClaw有提示词注入、误操作、插件投毒这四个大问题。 清华大学的沈阳教授也说过这个事的原理:让OpenClaw发挥作用就得给高权限,但权限越高风险也就越大。所以他建议在实验室环境调试测试就行了,在职场或者主力机这种关键场景必须保证安全稳定。 除了上面提到的那些学校外还有安徽师范大学、华南师范大学、天津大学、西北工业大学、江苏师范大学等等都发出了类似的提醒或者通知。这事儿跟咱们国家互联网应急中心发布的安全预警还有清华大学人工智能学院教授沈阳的观点都有关系。现在“龙虾”这玩意儿确实挺危险的,好多高校都已经下令禁止使用了。