1.系统权限失控风险:默认以高权限运行,可执行删除文件、修改系统配置等危险操作;易被恶意指令诱导,导致服务器崩溃、核心数据不可逆删除。
2.公网暴露即被控风险:默认监听端口(18789)若未限制,将直接暴露于公网,攻击者可暴力破解、植入后门,使设备沦为 “肉鸡”,发起 DDoS 攻击或非法挖矿。
3.敏感数据泄露风险:可无差别访问本地文件系统,极易窃取学生学籍、科研原始数据、财务凭证、教职工隐私等敏感信息。
4.恶意插件与供应链风险:第三方“技能包” 生态缺乏审核,暗藏木马、后门,可窃取 SSH 密钥、数据库密码,自动连接境外控制服务器。
5.内网横向渗透风险:一旦校内设备被攻陷,可作为跳板入侵校园核心服务器、办公系统,威胁全校网络安全。
二、安全使用与防范要求
1.非必要不部署使用:全校师生应理性看待该工具,切勿盲目跟风安装、部署;严禁在接入校园网的设备、办公电脑、存储敏感信息与工作数据的设备上使用。
2.严禁在工作场景使用:校内各单位及教职工禁止在处理教学科研数据、行政办公信息、学生信息等工作业务时使用,严防工作数据泄露与系统被攻击。
3.规范操作杜绝风险:因技术研究确需部署的,必须从官方正规渠道获取源码与教程;关闭不必要的公网访问权限,完善身份认证、数据加密、安全审计等防护措施;妥善保管API 密钥、账号密码等关键信息,并持续关注官方安全公告与加固建议。
4.拒绝非官方代装服务:切勿轻信网上各类“公益安装”“远程代装”OpenClaw的服务,防止设备被植入恶意程序、泄露权限信息,造成财产损失与信息泄露。
5.立即开展安全自查整改:已部署使用该工具的师生,立即对设备进行安全排查,检查端口暴露、权限配置、凭证管理情况,及时关闭高危权限、删除可疑程序,并备份重要数据;发现设备异常、信息泄露等情况,立即断网,开展病毒查杀与系统修复。
三、安全意识与应急处置
全校师生应强化网络安全与个人信息保护意识,不随意授予陌生软件高权限,不在非官方平台下载安装软件。如发生个人信息泄露、设备被控、数据丢失等网络安全事件,应及时留存证据、做好应急处置,并立即向学校网络安全和信息化工作领导小组办公室上报。
联系电话:0991-8762898。
网络安全和信息化工作领导小组办公室
2026年3月31日
