数千个恶意插件、数万个高危实例,OpenClaw��这波热潮你可千万别盲目跟

最近，AI圈的 OpenClaw 简直杀疯了。

这个项目从上线到拿下 30.1万颗星 只用了不到四个月的时间。在很多普通人的理解中，它就是“赛博员工”，能自动发邮件、写代码、管文件，甚至能帮你操作WhatsApp和银行插件。

但作为咱《柴米与增收日常》的老朋友，我想提醒大家：增收的前提是守住本金和隐私。现在这波OpenClaw热潮里，藏着普通人难以招架的三个大坑。

一、 你招的是“员工”，黑客招的是“肉鸡”

OpenClaw为了能直接操作你的电脑，需要极高的根文件权限和浏览器Cookie。这就像你招了个管家，却连家里金库的钥匙、主卧的门卡全给他了。

• 真实漏洞风险：目前该系统已披露了超过 110个安全漏洞。最严重的 CVE-2026-25253 漏洞，只要你误点一个恶意网页，黑客就能通过WebSocket直接接管你的系统。

• 公网“裸奔”现状：虽然官方一直在推补丁，但目前全网仍有 4.26万个 实例直接暴露在公网上且无认证或弱认证。这意味着，你的“自动化助手”很可能正被陌生人隔空操控。

二、 插件市场的“带毒龙虾”已超1100个

很多想增收的朋友，会去ClawHub（官方插件市场）下载各种所谓的“赚钱脚本”。但最新的安全审计显示，那里的恶意技能数量已经飙升至 1,184个。

• 克隆人陷阱：黑客会发布看似正经的“Solana交易助手”或“YouTube自动剪辑”，甚至伪装成“苹果官方更新”提示，诱导你安装带木马的压缩包。

• 精准盗号：这些插件安装后，会静默读取你电脑里的API密钥、甚至是你的聊天记录，直接把你的隐私打包发往攻击者服务器。

三、 增收不成，反倒“烧钱”

很多人被“挂机自动赚钱”的噱头吸引，却没算明白账：

1. 高昂的Token费：OpenClaw是一个极度消耗AI额度的工具。有用户反馈，为了让它自动处理任务，一个月消耗的Token费就高达数千元，任务没干完，本金先赔了。

2. 影子部署的代价：企业员工私自安装OpenClaw（即“影子部署”）已占受监控企业的22%。一旦引发公司数据泄露，这可不是丢掉饭碗的问题，还可能面临法律诉讼。

柴米建议：普通人该怎么办？

如果你是为了“增收”而关注OpenClaw，请务必保持清醒：

• 版本底线：请检查你的版本。如果低于 v2026.2.26，请立即升级或直接卸载。

• 隔离运行：严禁在存有网银、工作机密或私人隐私的主电脑上运行此软件。 实在想玩，请准备一台物理隔离的备用机或虚拟机。

• 警惕“代装”：咸鱼上那些“30元代装OpenClaw”的卖家，有很多会在安装包里加料，你以为买到的是便捷，其实买到的是监控。

AI是为了让日子过得更好，而不是给你的生活埋地雷。 靠技术增收的前提，永远是安全第一。