一只“龙虾”站上了风口。上周 ，近千人在腾讯楼下排起长队，只为安装这只“龙虾 ”；二手平台上
，“代安装”成了热门生意 。科技圈里，晒“龙虾
”截图成了新的社交货币——有人让它帮忙盯盘看股 ，有人让它自动整理邮件
，还有人用它打造出拥有多个AI员工的“一人公司”。

　　这场全民“养虾 ”风潮来得太快
。短短几个月，开源智能体项目OpenClaw的GitHub星标数突破14.5万 ，超过Linux和React登顶软件类榜首。狂欢之下
，风险接踵而至 。3月8日，工信部网络安全威胁和漏洞信息共享平台发布预警：OpenClaw部分实例在默认或不当配置情况下存在较高安全风险 ，极易引发网络攻击、信息泄露
。

　　在记者参加的一场“龙虾
”行业沙龙上
，一位安全从业者感慨，“看到龙虾 ，就像发现世界上有了一个不会喊累的自己。”然而
，当AI从“嘴替 ”变成“手替
”，一旦它被诱导 、被利用或遭遇投毒 ，带来的不仅有便利，更有失控的风险 。更有头部安全公司的技术人员在“养虾”过程中
，遭遇了Token被盗刷的情况
。

　　漏洞、权限失控到供应链投毒

　　OpenClaw 的超级能力在于，它能连接大语言模型与本地工具
、浏览器和系统资源 ，让AI从“只会聊天 ”进化到“动手执行
”——自主清理收件箱、预订服务 、管理日历
、执行各类复杂事务。有安全从业者指出
，这本身就是一把双刃剑 。一旦配置不当或被恶意诱导，它可以轻松突破人类设定的安全围栏
。

　　奇安信安全专家汪列军表示 ，许多用户在部署“龙虾”时缺乏安全意识
，直接将OpenClaw的管理接口暴露在公网上，且未修改默认凭证或关闭不必要的端口。这使得黑客可以轻易扫描并接管这些“AI助手 ” ，将其作为跳板攻击内网
，或直接窃取服务器上的敏感数据 。

　　第一财经记者今日打开OpenClaw Exposure Watchboard看到，截至目前已有超27.8万个OpenClaw实例暴露在公网上
。大量实例存在弱口令和未授权访问漏洞 ，在黑客面前近乎“裸奔
”。

　　360漏洞云AI安全及技术发展资深专家宁宇飞则在一场分享中指出
，判断Agent风险有三个要素：能否读取你的私有数据，如本地文件、邮箱 、聊天记录；能否接触到不可信的输入 ，如网页
、邮件、第三方技能；能否向外执行动作 。这三者风险叠加后，对安全来说是质的飞跃。“一旦它被诱导 、被利用
，（龙虾）它就不再像ChatGPT那样说‘我无法回答’，它很可能会直接帮你执行意料之外的事情
。”

　　此前 ，OpenClaw生态中的Moltbook社区
，就因数据库未启用行级访问控制，导致 150 万组 API 与认证令牌
、3.5 万个用户邮箱泄露 ，攻击者可直接接管 AI 智能体账号
，让用户的数字资产面临巨大风险。宁宇飞提到，如今不少媒体、文生图 、AI短剧等创业者已经尝试把“龙虾 ”接入生产环境 ，安全问题尤为重要 。

　　权限失控是最直接的安全威胁之一
。在采访中
，多名安全从业者都提及了Meta 超级智能团队安全总监Summer Yue的经历。她在使用 OpenClaw 清理邮箱时，明确设置“确认后再行动”的安全指令 ，但AI仍无视三次紧急叫停
，批量删除了200余封工作邮件 。汪列军表示，该案例充分说明了权限失控与“越狱
”风险
。

　　此前 ，安全研究团队Oasis Security披露了OpenClaw框架中的一个高危漏洞“ClawJacked”具备代表性。该漏洞允许攻击者仅通过诱导用户访问一个恶意网页，即可远程控制其本地运行的AI Agent 。

　　如果说技术漏洞是“门没锁 ”
，那么供应链投毒就是“把钥匙送到小偷手上
”
。

　　OpenClaw之所以强大，很大程度上依赖于“技能”（Skill）生态 ，用户通过安装各种技能让AI获得新能力。截至3月
，ClawHub已收录超过1.5万个技能 。但这个开放的生态，成了黑客眼中的“金矿 ”
。

　　有研究团队对 ClawHub 平台近 3000 个 Skill 扫描后发现 ，341 个已确认的恶意插件伪装成 "加密货币追踪器""PDF 工具 " 等热门应用
，另有472个插件存在潜在风险。这些恶意 Skill 安装后，会窃取用户的浏览器 Cookie
、SSH 密钥和 API Token ，部分甚至会部署信息窃取木马
，将用户设备变为黑客 "肉机" 。

　　成本损耗的风险，更是让用户切身感受到威胁。使用OpenClaw消耗Token ，一旦Token被盗刷
，损失会瞬间放大
。宁宇飞分享了一段经历：因为一开始未设置限速限频等操作，他的“龙虾
”Token 消耗从日均20元突然飙升至300元 ，待发现异常时，已遭遇盗刷Token。

　　普通人如何安全“养虾”？

　　面对这些风险
，普通人还能安全地“养龙虾 ”吗？多位安全专家总结，安全养虾的前提需要遵循几个原则 ，如物理隔离、最小权限等 。

　　AI需要读取本地文件 、浏览记录甚至代码库来完成任务
，如果部署在存有个人私密资料如身份证照、财务数据
、公司机密）的主力电脑上，一旦发生上述失控或被黑 ，所有数据将直接裸奔
。汪列军强烈建议
，应禁止在日常办公电脑、存有重要个人资料的主机上直接安装OpenClaw。

　　有安全从业者推荐，使用更安全的云服务器虚拟机部署 ，和个人电脑系统实现彻底的物理隔离 。即使AI把系统搞崩或被黑客入侵
，损失的仅限于云服务器内的环境，而不会波及本地的私人数据和家庭网络
。

　　对于个人爱好者而言 ，还可以找一台旧的 、闲置的电脑
，或者专门组装一台不含任何重要数据的机器，在确保没有数据泄露和丢失隐患后 ，专门用于运行OpenClaw。

　　最小权限管控则是给 OpenClaw 戴上“紧箍咒
” 。用户可以仅开放必要的文件夹和应用权限，让其只能在指定范围内执行操作
。

　　还有专家建议
，只从可信来源下载，优先选择ClawHub官方认证
、下载量高、发布历史长的技能。安装前可用安全工具扫描 。企业用户则需建立内部审计机制 ，禁止员工私自部署未授权版本
，定期排查服务器上的 “影子部署”实例，做到所有 OpenClaw 部署可监控 、可管理
。

　　工信部相关平台也提醒 ，建议相关单位和用户在部署和应用OpenClaw时
，充分核查公网暴露情况
、权限配置及凭证管理情况，关闭不必要的公网访问 ，完善身份认证、访问控制 、数据加密和安全审计等安全机制
，并持续关注官方安全公告和加固建议，防范潜在网络安全风险。

（文章来源：第一财经）