广东有一所高校发了紧急通知,让大家别在办公设备上安装使用叫“龙虾”的软件。另外几所高校也跟着发布提醒,不让大家用这东西。通知里说,从现在开始,全校教职工都不准在办公设备、教学终端还有校园网络环境下,哪怕是通过VPN远程连接,也不能装、用OpenClaw软件本体和它的衍生版本、插件还有第三方脚本。 3月10日,珠海科技学院信息数据管理处给大家发了个文件,专门讲这事。他们要求已经装上这些程序的人,赶紧彻底把软件卸载了,还要把配置、缓存还有日志文件都删掉。学校还会不定时地去查一下网络和终端,发现谁违规用了这软件,就按规定严肃处理。 珠海科技学院信息数据管理处还特意提了一下,让各部门负责人把网络安全这块的责任担起来。赶紧让本部门的教职工自己检查一下,看看有没有用这个软件。必须要保证通知里说的每一条都落实到位,不能有漏网之鱼。要是因为用了这个软件导致数据泄露或者系统坏了,学校肯定要追究责任。 最近有个开源的AI智能体框架叫OpenClaw特别火,因为图标是个龙虾所以大家叫它“龙虾”。它能自己执行电脑操作,处理一些办公任务。不过工业和信息化部发现了问题,说这个软件默认配置或者不小心配错了的话,安全风险特别高。容易被人攻击、数据泄露、系统被控制什么的。 大家肯定听说过好几个学校都发过预警了。比如安徽师范大学网络安全与信息化办公室就在3月10日提醒大家要注意这个AI智能体的核心问题。第一个是隐私泄露风险很高:它要获取电脑的高权限才能运行。聊天记录、账号密码、邮件内容、文件数据这些个人信息都是明文存在本地的。要是配置不对或者被黑客入侵了,敏感信息可能会一下子就被偷走。 第二个问题是自主执行容易失控:有时候它会误解指令或者执行得不准。遇到模糊的指令它就会自己想办法去做。以前有人让它批量删邮件或者删重要文件的例子都有过。 第三个是权限管理有漏洞:它的信任边界模糊不清。能一直运行、自己做决定、调用系统资源和外部资源。如果没有好的权限控制和审计机制的话,很容易被指令引导或者恶意接管。 第四个问题是技术门槛和使用风险不匹配:它其实是个给开发者用的底层框架。需要会命令行操作和管理API密钥这些专业知识才用得上。不是给普通人用的成熟产品。 普通用户如果通过非官方的服务安装这个软件的话,因为不懂怎么配置权限就会把风险放大了。而且网上那些代装服务还可能是骗钱的呢。 安徽师范大学还要求全校师生都要理性看待这个工具。别盲目跟风去装和部署“龙虾”AI智能体。特别是那些接入校园网的设备、办公电脑还有存着个人敏感信息和工作数据的设备上千万别用。各单位和教职工处理教学科研数据、行政办公信息、学生信息的时候也千万别用这个软件。 江苏师范大学信息化建设与公共资源管理处也在3月11日发了个提醒给大家看。