这两天高校里关于“龙虾”(OpenClaw)的事闹得挺大,之前不是炒得挺火的吗?但现在好多学校都发话了,让大家千万别乱动。说的是3月10号吧,珠海科技学院最先发通知,要求所有已经装了这个软件的老师同学赶紧卸干净,把缓存、日志文件啥的都删掉。学校还说了,以后会不定时去查网,要是发现有人还在用,那肯定是要严肃处理的。 3月11号的时候,华南师范大学网络信息中心也出来喊话,说大家要是真要学习测试或者用它的功能,必须得遵守规矩。千万别在办公电脑、学校服务器这些正经干活的设备上装,更不能给它输密码、放科研数据这种敏感的东西。也别想着把它直接放公网上让别人访问,很容易被黑客盯上。 广东医科大学网络中心也是这一天发了预警,提醒大家部署的时候得注意安全配置。要是防护做得不到位,电脑里的毕业论文、实验数据甚至个人账号密码都有可能被偷走或者改了。 更早一点的3月9号,华中师范大学就有提醒了。他们明确说信息化办公室分的那些服务器上绝对不能装这个“龙虾”。得去查查是不是已经装了,重点看看有没有把端口暴露在公网上,权限给没给到位。如果真要留着用,那就赶紧关了不必要的外网入口。 天津大学信息与网络中心在3月11日发了个挺详细的使用建议。他们说如果你实在必须要用,首先绝对不能给它root权限或者管理员权限。最好是本地部署加上仅限本地访问(127.0.0.1),坚决不让它跑出去连外网。还要改一改默认的端口号,再把防火墙白名单配置好。 还有一点特别关键,就是限制它的工作目录。只给它挂载必要的文件夹就行了,千万别把根目录或者用户主目录都挂上去。高危命令比如rm、dd、chmod这些都禁用掉,想删东西就用mv到回收站的方式代替。 为了防止浏览器被污染操作时容易出错,天津大学建议使用沙箱浏览器比如Playwright来搞网页操作。插件也只装高信誉的那种,还要认真审查一下源码。 另外安徽师范大学网络安全与信息化办公室也在3月10号发了通知。他们把“龙虾”的核心安全隐患都说得挺透的,建议大家“非必要不部署使用”。尤其是那些接了校园网的设备、办公电脑、还有存了个人敏感信息和工作数据的机器上绝对不能用。在处理教学科研数据、行政办公信息这些工作的时候更是严禁使用这个工具。 江苏师范大学信息化建设处3月11日也发了提醒,告诉大家部署的时候最好用云端服务器或者虚拟机这种隔离技术来搞,千万别把服务直接暴露在公网或者校园网上。 这事儿闹得挺大的吧?其实早在3月12日记者一查就发现,已经有多所高校都在提醒大家防范“龙虾”的安全风险了。有些学校甚至直接通知校内严禁使用这种智能体软件了。 话说回来,“龙虾”之所以会这么火主要是因为它是个开源的AI智能体对吧?但这次工信部还有别的部门也提示了啊!说默认或者配置不当的话,“龙虾”很容易就会引发网络攻击或者信息泄露的问题啊! 咱们再看看那些通知的内容其实都挺一致的:不管是华南师范大学还是天津大学、安徽师范大学、华中师范大学……他们的要求都差不多,都是要严格防范风险、不能在生产环境或者办公电脑上装、不能输入敏感信息、也不能让它暴露在公网上。 还有西北工业大学他们的提醒也挺全面的:要检查公网暴露情况、权限配置还有凭证管理的状态;要完善身份认证、访问控制这些机制;还要持续关注官方的安全公告及时去修复漏洞。 其实说到底就是大家得重视起来了!毕竟“龙虾”虽然好用但风险真不小啊!