一、热潮骤起,安全隐患随之浮现 今年3月,开源智能体工具OpenClaw(网络上俗称"龙虾")国内迅速走红——凭借其开放性和可扩展性——吸引了大量技术爱好者、科研人员及高校师生的广泛关注与部署使用。然而,这股热潮背后潜藏的网络安全风险,很快引起了有关主管部门的重视。 工业和信息化部率先发出提示,指出该工具在默认配置或不当使用情形下,极易成为网络攻击和信息泄露的突破口。3月10日,国家互联网应急中心正式发布安全风险警示,明确指出OpenClaw存在四大严重安全隐患:提示词注入攻击、误操作风险、功能插件投毒以及系统安全漏洞。其中,默认配置存在高危漏洞、权限管理失控等问题尤为突出,一旦被恶意利用,后果不容小觑。 二、多地高校迅速响应,管控措施逐步收紧 面对上级部门的明确警示,国内多所高校在短时间内相继作出响应,发布专项通知,采取差异化的管控措施。 3月9日,华中师范大学率先发布提醒通知,明确禁止在信息化办公室统一分配的服务器上安装该工具,并要求各单位自查是否存在相关部署,重点排查公网暴露情况、权限配置及凭证管理漏洞。 3月10日,安徽师范大学网络安全与信息化办公室发出预警通知,提出"非必要不部署使用"的原则性要求,并明确列出高风险使用场景:接入校园网的设备、办公电脑以及存储有个人敏感信息和工作数据的终端,均应避免使用。该校通知继续明确,严禁在处理教学科研数据、行政办公信息及学生信息等工作场景中使用该工具,以防止校园工作数据外泄或系统遭受攻击。 同日,珠海科技学院信息数据管理处发出措辞更为严格的通知,要求已安装相关程序的用户立即彻底卸载,并清除全部配置文件、缓存及日志记录。该校同时宣布,将对校园网络及终端设备开展不定期安全扫描与核查,一经发现违规安装或使用行为,将依规严肃处理。 3月11日,江苏师范大学信息化建设与公共资源管理处亦发布提醒通知,建议师生在确有使用需求时,优先采用云端服务器、虚拟机、容器等隔离技术进行部署,严禁将相关服务暴露至公网或校园网环境。 三、风险根源何在,为何高校首当其冲 从技术层面分析,OpenClaw作为开源工具,其默认配置往往面向开发调试场景设计,缺乏针对生产或公开网络环境的安全加固。普通用户在未经专业配置的情况下直接部署,极易在无意间将服务端口暴露于外部网络,为攻击者提供可乘之机。 高校之所以成为此次风险防控的重点场域,原因是多上的。其一,高校师生技术能力参差不齐,部分用户缺乏安全意识的情况下随意部署工具,客观上扩大了风险敞口。其二,高校网络环境相对开放,校园网内汇聚了大量教学科研数据、学生个人信息及行政管理数据,一旦发生泄露,影响范围广、修复难度大。其三,高校是新兴技术的活跃试验场,新工具的传播速度快、覆盖面广,安全管理难度相应提升。 四、监管介入与高校应对的现实意义 此次多部门联动、多所高校快速响应的处置模式,反映了我国在新兴技术安全治理上的协同机制正在逐步成熟。从工信部发出提示,到国家互联网应急中心发布正式警示,再到各高校落地执行管控措施,整个响应链条在数日内完成闭环,效率值得肯定。 ,各高校在管控力度上的差异也折射出当前治理实践中的现实张力。部分高校采取"严禁使用"的一刀切做法,另一些则坚持"非必要不使用"的弹性原则,并辅以技术隔离手段加以规范。如何在鼓励技术探索与保障信息安全之间寻求平衡,仍是高校信息化管理面临的长期课题。
开源技术的快速发展为教育数字化带来新动力,但伴随而来的安全风险同样不能忽视;此次高校的快速响应既是一次危机应对,也提醒我们——在拥抱技术创新的同时,安全必须放在首位。技术手段与制度建设缺一不可,两者并重,才能真正用好智能时代的红利。