扬帆出海，专注服务中国互联网出海！

摘要

OpenClaw（龙虾）是近期爆火的AI智能体工具，能通过自然语言执行现实任务，如自动发邮件、写代码等，被称为“数字员工”。然而，其AI安全风险引发全球关注——数据裸奔现象严重，超27万实例未设防暴露公网，攻击者可轻易窃取API密钥或操控用户系统。该工具虽由OpenClaw（龙虾） 提供强大自动化能力，但智能体漏洞导致恶意插件、提示词注入等攻击频发，甚至出现AI无视指令删除重要邮件的案例。专家警告，普通用户若缺乏安全意识，可能因权限过高遭受数据泄露或经济损失。

2026年开年以来，OpenClaw在中国掀起一场前所未有的AI技术风暴，其标志性符号——红色龙虾图标，迅速渗透至街头巷尾。

在深圳腾讯大厦北广场，千人排队免费安装“龙虾”；在上海静安区“养虾”活动现场，300余人手持设备等待部署；北京、杭州、成都等地，500元/次的上门安装服务成为新职业风口，有人单月收入突破26万元，有人溢价千元参加线下交流会。

这场热潮已超越技术工具范畴，演变为一场全民参与的数字狂欢。“龙虾”作为AI界顶流火爆全网后，不安装似乎就意味着“被时代抛弃”。这种AI焦虑让普通人蜂拥而至，却忽视了其中的风险。

已经有越来越多用户受到“龙虾”的伤害，也有机构和部门给“龙虾热”泼冷水。

3月10日，国家互联网应急中心发布关于OpenClaw安全应用的风险提示，由于默认的安全配置极为脆弱，攻击者一旦发现突破口，便能轻易获取系统的完全控制权。基于不当安装和使用，已经出现了一些严重的安全风险。这意味着用户有可能面临隐私泄露和安全漏洞等问题。

3月11日，苏州市人工智能行业协会联合相关企事业单位，向全市OpenClaw开发者、应用企业、创业者和相关机构发出如下提醒和倡议：当前行业存在过度炒作、盲目跟风现象，容易误导资源错配、偏离发展本源，呼吁“不制造焦虑、不鼓吹神话”。

中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲提出建议，普通人“养龙虾”，要尽可能在新环境中安装，选择国内成熟厂商的服务，使用之前想清楚要做什么，及时追踪智能体的发展，升级、打补丁，以防风险。

“给猴子递了一把上了膛的枪”

区别于对话式AI，OpenClaw能够通过自然语言指令驱动，执行现实世界中的各类任务。猎豹移动董事长兼CEO傅盛培育了一款名为“三万”的“龙虾”。春节期间，他曾让“三万”在4分钟内为600多名员工发送了风格各异的拜年短信，此外，仅用一晚时间便搭建完成了一个网站。

“ChatGPT如同顾问，而‘龙虾’则是员工。ChatGPT提问后便会遗忘、无法行动，但‘龙虾’可以自主完成工作，且具备永久记忆能力，例如阅读文件、编写代码、发送邮件等，可实现7*24小时不间断工作。”傅盛在一场关于“如何玩转‘龙虾'”的直播中如此表示。这标志着AI从“动口”转向“动手”，每个人似乎都能成为老板，并雇佣一位全天候在线的员工。

目前，阿里、腾讯、百度、字节、小米、猎豹移动等互联网巨头以及智谱、Kimi、MiniMax等AI厂商已分别推出各自的一键部署工具，旨在让用户能够像安装普通软件一样便捷地“培育龙虾”。

然而，这种“轻松”体验似乎难以在普通用户身上实现。有博主将社交媒体账号交由“龙虾”运营，期望它能快速高效地按照预设流程发布内容，但仅仅一天后，该博主便宣布“放弃”，理由是“发送内容过于简单，无法吸引读者关注”。

一家MCN机构负责人sky发现，近期举办的每一场线下培训会上，博主们都会花费大量时间交流“培育龙虾”的心得体会。sky长期关注社交媒体平台的内容运营经验，帮助众多博主解决在不同发展阶段所面临的瓶颈与焦虑。

“现在连我也开始感到焦虑了，科技发展日新月异，担心自己会跟不上步伐。”然而，sky耗费了大半天时间部署“龙虾”，试用一圈后，整个人都感到不适。体验了多种部署方式的“龙虾”后，sky仍需不断进行人工干预，频繁遭遇AI报错问题，“这东西并不智能”。

对sky而言，最直观的感受是“既缓慢又昂贵”。sky“培育龙虾”的主要目的是整理热点、辅助写作及担任生活助理，但综合使用下来效率不高，“还不如自己动手来得快”。由于需要不断重复操作和获取信息，一天下来消耗的Token（词元）价值高达100美元。

最触目惊心的案例来自邮件管理失控。有用户指令OpenClaw整理收件箱，特意附加“未经许可不要有任何操作”的限制，结果“龙虾”无视连续发出的“停下来”指令，疯狂删除了数百封邮件。Meta超级智能团队安全总监也有类似遭遇——AI无视三次紧急叫停，批量删除了200余封工作邮件。

经济损害同样惨重。深圳一名程序员安装OpenClaw第三天，因API密钥被盗，凌晨收到高达1.2万元的Token账单。由于OpenClaw具有极高自动化权限，一旦密钥泄露，AI便可在后台疯狂调用模型，让用户在睡梦中背上巨额债务。

隐私泄露规模更为惊人。截至目前，全球已有超27万个OpenClaw实例直接暴露于公网，处于零认证“裸奔”状态。此前，OpenClaw生态中的Moltbook社区因数据库未启用行级访问控制，导致150万组API与认证令牌、3.5万个用户邮箱泄露，攻击者可直接接管AI智能体账号。更可怕的是，ClawHub技能市场中约12%的插件被植入恶意代码，可窃取用户的SSH密钥和浏览器密码。

面对这一系列事件，工业和信息化部于2月5日、国家互联网应急中心于3月10日接连发布风险提示，指出OpenClaw存在提示词注入、误操作、功能插件投毒、安全漏洞四类严重风险。中国信息通信研究院专家强调，即便更新到最新版本，也不能完全消除安全风险。

马斯克对此评论道：“把自主权交给AI，就像是给猴子递了一把上了膛的枪。”

普通人使用需谨慎

何延哲向《中国新闻周刊》阐释了“龙虾”的本质：作为一款代理Agent（智能体），只要赋予其足够高的权限，便可在电脑上执行任何操作，包括读取文件、打开应用并自动纠错。其技术原理在于它位于应用程序与AI模型之间，负责路由请求、身份验证、访问控制及多模型调度。开发者仅需对接一个API接口，即可在不同模型间自由切换，无须重写代码。

事实上，互联网世界正因这种“高权限”引发不可避免的冲突。有部分网友使用“龙虾”在小红书发布笔记，结果导致账号被封。小红书随即发布关于打击AI托管运营账号的治理公告：部分用户采用AI托管模式运营账号，通过技术手段自动生成内容、发布笔记，并在评论、私信、群聊等场景中模拟真人互动。

小红书表示，平台将严格禁止任何利用技术手段模拟真人、生成非真实内容或开展虚假互动的行为，对偶发账号将进行梯度处理，对直接托管账号则将直接封禁。

不仅限于小红书，各类内容平台和交易平台也陆续对“龙虾”采取了防范措施。中国信息通信研究院副院长魏亮在接受媒体采访时，公开呼吁党政机关、企事业单位和个人用户审慎使用“龙虾”等智能体。

国家互联网应急中心等机构也明确提醒，由于OpenClaw智能体的不当安装和使用，已经出现了一些严重的安全风险。

风险集中体现在四个关键层面。一是不设防的“管家”。许多用户在安装后，未修改默认设置便将服务端口暴露在公共互联网上。据监测，全球已有超过27万个实例可被任意访问，且缺乏有效登录认证，形同“数字家门大开”。二是恶意指令的“傀儡”。OpenClaw极易受到“提示词注入”攻击。攻击者可在网页中嵌入隐蔽指令，诱导其读取并泄露用户系统中的密码、API密钥等核心敏感信息。三是供应链“投毒”。在其官方插件市场ClawHub中，已发现大量伪装成实用工具的恶意插件。一旦安装，这些插件会悄无声息地窃取浏览器保存的密码、加密货币钱包密钥，甚至将用户设备变为黑客的“肉鸡”。四是“自作主张”的灾难。大模型固有的“幻觉”问题可能导致AI误解指令。已有用户遭遇OpenClaw无视停止命令，疯狂删除数百封重要工作邮件的案例，对个人与企业造成不可逆的数据损失。

CISSP安全专家袁博指出，“龙虾”这款软件本身存在漏洞、可能造成网络暴露以及不经意的恶意操作等较大风险，开源软件往往重功能轻风险，若不预先告知用户风险就推动其安装，此举极不负责任。

何延哲将“龙虾”的风格描述为“不达目的誓不罢休”。“一旦接受任务，它就必定要获取结果，于是会不断尝试，将大量本地文件、应用和数据结合使用，这导致了‘权限过高’和‘数据裸奔'的问题。”

“普通用户若缺乏对技术的认知和理解，很容易‘自食其果’。”何延哲建议，不要盲目跟风，如果普通人要使用“龙虾”，最好在新电脑上安装，将工作信息与生活信息分开，妥善保护个人隐私信息。