一只“龙虾�����”站上了风口�����。上周���� ,近千人在腾讯楼下排起长队�����,只为安装这只“龙虾���� ”;二手平台上�����,“代安装�����”成了热门生意���� 。科技圈里�����,晒“龙虾�����”截图成了新的社交货币——有人让它帮忙盯盘看股 ����,有人让它自动整理邮件�����,还有人用它打造出拥有多个AI员工的“一人公司�����”�����。
这场全民“养虾 ����”风潮来得太快�����。短短几个月�����,开源智能体项目OpenClaw的GitHub星标数突破14.5万� ���,超过Linux和React登顶软件类榜首�����。狂欢之下�����,风险接踵而至 ����。3月8日�����,工信部网络安全威胁和漏洞信息共享平台发布预警:OpenClaw部分实例在默认或不当配置情况下存在较高安全风险�� ��,极易引发网络攻击�����、信息泄露�����。
在记者参加的一场“龙虾�����”行业沙龙上�����,一位安全从业者感慨�����,“看到龙虾��� �,就像发现世界上有了一个不会喊累的自己�����。�����”然而�����,当AI从“嘴替� ���”变成“手替�����”�����,一旦它被诱导���� 、被利用或遭遇投毒���� ,带来的不仅有便利�����,更有失控的风险� ���。更有头部安全公司的技术人员在“养虾�����”过程中�����,遭遇了Token被盗刷的情况�����。
漏洞�����、权限失控到供应链投毒
OpenClaw 的超级能力在于�����,它能连接大语言模型与本地工具�����、浏览器和系统资源 ����,让AI从“只会聊天�� ��”进化到“动手执行�����”——自主清理收件箱�����、预订服务 ����、管理日历�����、执行各类复杂事务�����。有安全从业者指出�����,这本身就是一把双刃剑�� ��。一旦配置不当或被恶意诱导�����,它可以轻松突破人类设定的安全围栏�����。
奇安信安全专家汪列军表示� ���,许多用户在部署“龙虾�����”时缺乏安全意识�����,直接将OpenClaw的管理接口暴露在公网上�����,且未修改默认凭证或关闭不必要的端口�����。这使得黑客可以轻易扫描并接管这些“AI助手��� �”�� ��,将其作为跳板攻击内网�����,或直接窃取服务器上的敏感数据��� �。
第一财经记者今日打开OpenClaw Exposure Watchboard看到�����,截至目前已有超27.8万个OpenClaw实例暴露在公网上�����。大量实例存在弱口令和未授权访问漏洞��� �,在黑客面前近乎“裸奔�����”�����。
360漏洞云AI安全及技术发展资深专家宁宇飞则在一场分享中指出�����,判断Agent风险有三个要素:能否读取你的私有数据�����,如本地文件�����、邮箱� ���、聊天记录;能否接触到不可信的输入���� ,如网页�����、邮件�����、第三方技能;能否向外执行动作���� 。这三者风险叠加后�����,对安全来说是质的飞跃�����。“一旦它被诱导�� ��、被利用�����,(龙虾)它就不再像ChatGPT那样说‘我无法回答’�����,它很可能会直接帮你执行意料之外的事情�����。�����”
此前 ����,OpenClaw生态中的Moltbook社区�����,就因数据库未启用行级访问控制�����,导致 150 万组 API 与认证令牌�����、3.5 万个用户邮箱泄露� ���,攻击者可直接接管 AI 智能体账号�����,让用户的数字资产面临巨大风险�����。宁宇飞提到�����,如今不少媒体�����、文生图��� �、AI短剧等创业者已经尝试把“龙虾���� ”接入生产环境�� ��,安全问题尤为重要 ����。
权限失控是最直接的安全威胁之一�����。在采访中�����,多名安全从业者都提及了Meta 超级智能团队安全总监Summer Yue的经历�����。她在使用 OpenClaw 清理邮箱时�����,明确设置“确认后再行动�����”的安全指令��� �,但AI仍无视三次紧急叫停�����,批量删除了200余封工作邮件� ���。汪列军表示�����,该案例充分说明了权限失控与“越狱�����”风险�����。
此前���� ,安全研究团队Oasis Security披露了OpenClaw框架中的一个高危漏洞“ClawJacked�����”具备代表性�����。该漏洞允许攻击者仅通过诱导用户访问一个恶意网页�����,即可远程控制其本地运行的AI Agent�� ��。
如果说技术漏洞是“门没锁 ����”�����,那么供应链投毒就是“把钥匙送到小偷手上�����”�����。
OpenClaw之所以强大�����,很大程度上依赖于“技能�����”(Skill)生态 ����,用户通过安装各种技能让AI获得新能力�����。截至3月�����,ClawHub已收录超过1.5万个技能��� �。但这个开放的生态�����,成了黑客眼中的“金矿� ���”�����。
有研究团队对 ClawHub 平台近 3000 个 Skill 扫描后发现� ���,341 个已确认的恶意插件伪装成 "加密货币追踪器""PDF 工具 " 等热门应用�����,另有472个插件存在潜在风险�����。这些恶意 Skill 安装后�����,会窃取用户的浏览器 Cookie�����、SSH 密钥和 API Token�� ��,部分甚至会部署信息窃取木马�����,将用户设备变为黑客 "肉机"���� 。
成本损耗的风险�����,更是让用户切身感受到威胁�����。使用OpenClaw消耗Token��� �,一旦Token被盗刷�����,损失会瞬间放大�����。宁宇飞分享了一段经历:因为一开始未设置限速限频等操作�����,他的“龙虾�����”Token 消耗从日均20元突然飙升至300元���� ,待发现异常时�����,已遭遇盗刷Token�����。
普通人如何安全“养虾�����”?
面对这些风险�����,普通人还能安全地“养龙虾�� ��”吗?多位安全专家总结�����,安全养虾的前提需要遵循几个原则 ����,如物理隔离�����、最小权限等 ����。
AI需要读取本地文件���� 、浏览记录甚至代码库来完成任务�����,如果部署在存有个人私密资料如身份证照�����、财务数据�����、公司机密)的主力电脑上�����,一旦发生上述失控或被黑� ���,所有数据将直接裸奔�����。汪列军强烈建议�����,应禁止在日常办公电脑�����、存有重要个人资料的主机上直接安装OpenClaw�����。
有安全从业者推荐�����,使用更安全的云服务器虚拟机部署�� ��,和个人电脑系统实现彻底的物理隔离� ���。即使AI把系统搞崩或被黑客入侵�����,损失的仅限于云服务器内的环境�����,而不会波及本地的私人数据和家庭网络�����。
对于个人爱好者而言��� �,还可以找一台旧的 ����、闲置的电脑�����,或者专门组装一台不含任何重要数据的机器�����,在确保没有数据泄露和丢失隐患后���� ,专门用于运行OpenClaw�����。
最小权限管控则是给 OpenClaw 戴上“紧箍咒�����”�� ��。用户可以仅开放必要的文件夹和应用权限�����,让其只能在指定范围内执行操作�����。
还有专家建议�����,只从可信来源下载�����,优先选择ClawHub官方认证�����、下载量高�����、发布历史长的技能�����。安装前可用安全工具扫描��� �。企业用户则需建立内部审计机制 ����,禁止员工私自部署未授权版本�����,定期排查服务器上的 “影子部署�����”实例�����,做到所有 OpenClaw 部署可监控� ���、可管理�����。
工信部相关平台也提醒� ���,建议相关单位和用户在部署和应用OpenClaw时�����,充分核查公网暴露情况�����、权限配置及凭证管理情况�����,关闭不必要的公网访问�� ��,完善身份认证�����、访问控制�� ��、数据加密和安全审计等安全机制�����,并持续关注官方安全公告和加固建议�����,防范潜在网络安全风险�����。
(文章来源:第一财经)
