各部门、各单位,全体师生员工:
近期,名为“OpenClaw”(曾用名Clawdbot、Moltbot)的开源AI智能体应用在网络空间迅速传播,国内部分云平台已提供一键部署服务。该应用为实现“自主执行任务”功能,需获取访问本地文件系统、读取环境变量、调用外部服务API等高级别系统权限,但其默认配置存在重大安全缺陷,已被国家信息安全漏洞库(CNNVD)收录多项高危漏洞,并已引发多起网络安全事件,对校园网络安全和数据安全构成严重威胁。为切实保障校园网络环境安全稳定,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规及我校相关规定,现就有关风险及管控要求通知如下:
一、重大安全风险警示
(一)提示词注入风险。不法分子可通过构造隐藏恶意指令,诱导OpenClaw应用访问外部恶意网站或API接口,进而窃取系统密钥、账号密码等敏感信息,导致系统失陷。
(二)误操作安全隐患。该应用可能因误解用户指令,导致意外删除电子邮件、教学科研核心数据、公文材料等重要信息,造成工作停滞和数据永久丢失。
(三)功能插件投毒风险。经核实,部分适配该应用的功能插件已被植入恶意程序,安装后可窃取设备密钥、植入木马后门,致使设备被远程控制成为“肉鸡”。
(四)高危漏洞攻击风险。截至目前,CNNVD已收录该应用漏洞82个,其中高危漏洞33个、中危漏洞47个、低危漏洞2个,所有在2026年3月15日及之前发布的版本均受影响。一旦被不法分子利用,将引发系统被控、隐私泄露、敏感数据窃取等严重后果。
二、严格管控要求
(一)全面禁止部署安装。严禁在校园网覆盖范围内的所有联网设备(包括办公计算机、教学科研设备、服务器、终端工作站、移动办公设备等)上部署、安装OpenClaw应用及其衍生版本、同类产品。
(二)限期完成清理整改。已部署该应用的部门、单位及个人,务必于本通知发布之日起3个工作日内,全面完成卸载清理工作,并对相关设备进行深度安全排查。
(三)压实主体责任。各部门、各单位要切实履行网络安全主体责任,主要负责人作为第一责任人,要立即组织开展本单位人员安全警示教育,加强设备终端管理,坚决杜绝违规引入高风险应用。
三、严肃责任追究
对因部署、使用OpenClaw应用引发校园网络安全事件、造成数据泄露或财产损失的,学校将依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》及《赣东学院网络安全管理办法(2025年修订版)》《赣东学院网络安全事件应急处置预案》等法律法规和规章制度,依规依纪依法追究相关单位和个人的责任;情节严重、涉嫌违法犯罪的,将移送司法机关处理。
请各部门、各单位高度重视,迅速传达落实,确保校园网络安全。
网络与信息中心
2026年3月16日
