一只“龙虾”站上了风口。上周，近千人在腾讯楼下排起长队，只为安装这只“龙虾”；二手平台上，“代安装”成了热门生意。科技圈里，晒“龙虾”截图成了新的社交货币——有人让它帮忙盯盘看股，有人让它自动整理邮件，还有人用它打造出拥有多个AI员工的“一人公司”。

这场全民“养虾”风潮来得太快。短短几个月，开源智能体项目OpenClaw的GitHub星标数突破14.5万，超过Linux和React登顶软件类榜首。狂欢之下，风险接踵而至。3月8日，工信部网络安全威胁和漏洞信息共享平台发布预警：OpenClaw部分实例在默认或不当配置情况下存在较高安全风险，极易引发网络攻击、信息泄露。

在记者参加的一场“龙虾”行业沙龙上，一位安全从业者感慨，“看到龙虾，就像发现世界上有了一个不会喊累的自己。”然而，当AI从“嘴替”变成“手替”，一旦它被诱导、被利用或遭遇投毒，带来的不仅有便利，更有失控的风险。更有头部安全公司的技术人员在“养虾”过程中，遭遇了Token被盗刷的情况。

漏洞、权限失控到供应链投毒

OpenClaw 的超级能力在于，它能连接大语言模型与本地工具、浏览器和系统资源，让AI从“只会聊天”进化到“动手执行”——自主清理收件箱、预订服务、管理日历、执行各类复杂事务。有安全从业者指出，这本身就是一把双刃剑。一旦配置不当或被恶意诱导，它可以轻松突破人类设定的安全围栏。

奇安信安全专家汪列军表示，许多用户在部署“龙虾”时缺乏安全意识，直接将OpenClaw的管理接口暴露在公网上，且未修改默认凭证或关闭不必要的端口。这使得黑客可以轻易扫描并接管这些“AI助手”，将其作为跳板攻击内网，或直接窃取服务器上的敏感数据。

第一财经记者今日打开OpenClaw Exposure Watchboard看到，截至目前已有超27.8万个OpenClaw实例暴露在公网上。大量实例存在弱口令和未授权访问漏洞，在黑客面前近乎“裸奔”。

360漏洞云AI安全及技术发展资深专家宁宇飞则在一场分享中指出，判断Agent风险有三个要素：能否读取你的私有数据，如本地文件、邮箱、聊天记录；能否接触到不可信的输入，如网页、邮件、第三方技能；能否向外执行动作。这三者风险叠加后，对安全来说是质的飞跃。“一旦它被诱导、被利用，（龙虾）它就不再像ChatGPT那样说‘我无法回答’，它很可能会直接帮你执行意料之外的事情。”

此前，OpenClaw生态中的Moltbook社区，就因数据库未启用行级访问控制，导致 150 万组 API 与认证令牌、3.5 万个用户邮箱泄露，攻击者可直接接管 AI 智能体账号，让用户的数字资产面临巨大风险。宁宇飞提到，如今不少媒体、文生图、AI短剧等创业者已经尝试把“龙虾”接入生产环境，安全问题尤为重要。

权限失控是最直接的安全威胁之一。在采访中，多名安全从业者都提及了Meta 超级智能团队安全总监Summer Yue的经历。她在使用 OpenClaw 清理邮箱时，明确设置“确认后再行动”的安全指令，但AI仍无视三次紧急叫停，批量删除了200余封工作邮件。汪列军表示，该案例充分说明了权限失控与“越狱”风险。

此前，安全研究团队Oasis Security披露了OpenClaw框架中的一个高危漏洞“ClawJacked”具备代表性。该漏洞允许攻击者仅通过诱导用户访问一个恶意网页，即可远程控制其本地运行的AI Agent。

如果说技术漏洞是“门没锁”，那么供应链投毒就是“把钥匙送到小偷手上”。

OpenClaw之所以强大，很大程度上依赖于“技能”（Skill）生态，用户通过安装各种技能让AI获得新能力。截至3月，ClawHub已收录超过1.5万个技能。但这个开放的生态，成了黑客眼中的“金矿”。

有研究团队对 ClawHub 平台近 3000 个 Skill 扫描后发现，341 个已确认的恶意插件伪装成 "加密货币追踪器""PDF 工具 " 等热门应用，另有 472 个插件存在潜在风险。这些恶意 Skill 安装后，会窃取用户的浏览器 Cookie、SSH 密钥和 API Token，部分甚至会部署信息窃取木马，将用户设备变为黑客 "肉机"。

成本损耗的风险，更是让用户切身感受到威胁。使用OpenClaw消耗Token，一旦Token被盗刷，损失会瞬间放大。宁宇飞分享了一段经历：因为一开始未设置限速限频等操作，他的“龙虾”Token 消耗从日均20元突然飙升至300元，待发现异常时，已遭遇盗刷Token。

普通人如何安全“养虾”？

面对这些风险，普通人还能安全地“养龙虾”吗？多位安全专家总结，安全养虾的前提需要遵循几个原则，如物理隔离、最小权限等 。

AI需要读取本地文件、浏览记录甚至代码库来完成任务，如果部署在存有个人私密资料如身份证照、财务数据、公司机密）的主力电脑上，一旦发生上述失控或被黑，所有数据将直接裸奔。汪列军强烈建议，应禁止在日常办公电脑、存有重要个人资料的主机上直接安装OpenClaw。

有安全从业者推荐，使用更安全的云服务器虚拟机部署，和个人电脑系统实现彻底的物理隔离。即使AI把系统搞崩或被黑客入侵，损失的仅限于云服务器内的环境，而不会波及本地的私人数据和家庭网络。

对于个人爱好者而言，还可以找一台旧的、闲置的电脑，或者专门组装一台不含任何重要数据的机器，在确保没有数据泄露和丢失隐患后，专门用于运行OpenClaw。

最小权限管控则是给 OpenClaw 戴上“紧箍咒”。用户可以仅开放必要的文件夹和应用权限，让其只能在指定范围内执行操作。

还有专家建议，只从可信来源下载，优先选择ClawHub官方认证、下载量高、发布历史长的技能。安装前可用安全工具扫描。企业用户则需建立内部审计机制，禁止员工私自部署未授权版本，定期排查服务器上的 “影子部署”实例，做到所有 OpenClaw 部署可监控、可管理。

工信部相关平台也提醒，建议相关单位和用户在部署和应用OpenClaw时，充分核查公网暴露情况、权限配置及凭证管理情况，关闭不必要的公网访问，完善身份认证、访问控制、数据加密和安全审计等安全机制，并持续关注官方安全公告和加固建议，防范潜在网络安全风险