新聞記者 鄒浩 張裕
通訊員 汪云鳳
近日��,開源AI智能體OpenClaw(俗稱“龍蝦”)在網(wǎng)絡(luò)上爆火�����,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺監(jiān)測發(fā)現(xiàn)���,OpenClaw在默認(rèn)或不當(dāng)配置情況下存在較高安全風(fēng)險����,極易引發(fā)網(wǎng)絡(luò)攻擊��、信息泄露等安全問題���。華中師范大學(xué)�����、武漢科技大學(xué)�����、江漢大學(xué)���、武漢交通職業(yè)學(xué)院等武漢多所高校已發(fā)布風(fēng)險提示:慎用“龍蝦”!
華中師范大學(xué)信息化辦公室發(fā)布通知�,將全面核查OpenClaw部署情況,重點排查公網(wǎng)暴露情況��、權(quán)限配置及憑證管理情況����。如確需使用,應(yīng)立即關(guān)閉不必要的公網(wǎng)訪問�����,完善身份認(rèn)證�、訪問控制、數(shù)據(jù)加密和安全審計等安全機(jī)制�,嚴(yán)格限制其權(quán)限范圍。禁止在信息化辦公室分配的服務(wù)器上安裝OpenClaw����。
武漢科技大學(xué)網(wǎng)絡(luò)信息中心發(fā)布通知稱,OpenClaw權(quán)限過高,若未受控使用�,極易導(dǎo)致科研原始數(shù)據(jù)、未公開教學(xué)課件��、學(xué)生學(xué)籍信息及教職工個人隱私外泄�����。攻擊者可利用惡意插件或漏洞���,通過AI代理竊取賬號密碼��,甚至以校園內(nèi)網(wǎng)設(shè)備為跳板進(jìn)行橫向滲透�����,威脅學(xué)校整體網(wǎng)絡(luò)架構(gòu)安全��。嚴(yán)禁使用任何外部AI工具(含OpenClaw及其衍生版本)上傳��、處理或存儲學(xué)校敏感信息��。校園內(nèi)網(wǎng)設(shè)備��、教學(xué)服務(wù)器�����、實驗室終端及辦公電腦��,禁止私自安裝�、運行OpenClaw及其他高權(quán)限AI類程序�����。嚴(yán)禁賦予AI工具root(超級管理員)權(quán)限����。僅授予其完成任務(wù)所必需的最小系統(tǒng)權(quán)限,對刪除文件��、發(fā)送數(shù)據(jù)���、修改配置等高危操作實行二次確認(rèn)或人工審批��。
面對“龍蝦”的火爆����,武漢交通職業(yè)學(xué)院并未“一刀切”禁止�����,而是選擇主動設(shè)防。該校信息中心負(fù)責(zé)人沈衛(wèi)文主任在接受記者采訪時透露����,春節(jié)過后“龍蝦”熱度持續(xù)攀升,學(xué)校一開學(xué)就著手對算力資源進(jìn)行調(diào)配��,為有需求的教師提供支持并劃定明確的使用范圍��。
“我們提供了專用的計算資源和算力支持�,讓老師們在受控環(huán)境里探索使用‘龍蝦’?���!鄙蛐l(wèi)文表示,通過配置專網(wǎng)��、虛擬機(jī)���、容器隔離等技術(shù)�,學(xué)校將工具的運行環(huán)境與校園內(nèi)網(wǎng)核心數(shù)據(jù)隔離開來�����,同時嚴(yán)格控制工具的權(quán)限和所能接觸的校內(nèi)數(shù)據(jù),“相當(dāng)于給它劃定了一個‘安全區(qū)’�����,既能發(fā)揮工具的作用���,又能守住數(shù)據(jù)安全底線���?!?/p>
