智能体“龙虾”陷安全风暴,工信部预警、多所高校紧急叫停
被誉为“真正能干活的 AI”、掀起全网部署热潮的开源智能体 OpenClaw(俗称“龙虾”),近日因严重的安全隐患遭遇“急刹车”。
从工信部的风险提示,到国家互联网应急中心(CNCERT)的正式警示,再到多所高校的“封杀令”,OpenClaw 正经历其诞生以来最严峻的信任危机。这场风波不仅为狂热的“龙虾热”降温,更给整个 AI Agent 行业的野蛮生长敲响了警钟。
官方定调:四大高危风险确认
3 月 10 日,国家互联网应急中心(CNCERT)正式发布安全风险警示,明确指出 OpenClaw 在默认或不当配置下存在四大致命漏洞:
- 提示词注入(Prompt Injection):攻击者可诱导智能体执行恶意指令,绕过安全限制。
- 误操作风险:由于拥有系统级操作权限(如文件删除、命令执行),一旦指令被篡改或理解偏差,可能导致数据丢失或系统崩溃。
- 技能插件投毒:第三方技能市场缺乏严格审核,恶意插件可潜伏其中,窃取数据或植入后门。
- 安全配置缺失:默认开启高危端口、权限过大、凭证明文存储等问题,极易成为黑客攻击的跳板。
此前,工信部也已发文提示,强调在享受 AI 便利的同时,必须警惕此类工具可能引发的网络攻击与信息泄露风险。
🏫 高校反应:从“谨慎使用”到“立即卸载”
面对官方警示,全国多所高校迅速行动,发布紧急通知,措辞严厉程度逐级递增:
| 高校 | 措施等级 | 具体要求 |
|---|---|---|
| 珠海科技学院 | 🔴 严禁/卸载 | 要求立即彻底卸载 OpenClaw,对违规安装使用者将严肃处理。 |
| 华南师范大学 | 🔴 严禁生产环境 | 严禁在办公电脑、服务器、智能终端等生产设备上安装;提醒师生谨慎使用。 |
| 华中师范大学 | 🟠 排查/关闭公网 | 禁止在信息化办公室分配的服务器上安装;重点排查公网暴露情况;确需使用者必须关闭不必要的公网访问。 |
| 安徽师范大学 | 🟡 非必要不部署 | 建议“非必要不部署”;避免在接入校园网、存有敏感信息的设备上使用。 |
这些通知反映出教育机构对数据安全的高度敏感:一旦 OpenClaw 被攻破,不仅可能导致科研数据泄露,更可能成为攻击校园内网的跳板。
暂无评论...
