从“AI 神器”到“高危系统”:OpenClaw 为什么越火,大家越开始后背发凉

前几天，OpenClaw 在国内突然火得很凶。

微博上有人叫它“龙虾”，
技术圈有人把它当成“开源版 AI Agent 神器”，
还有人开始晒自己怎么把它接进消息、文件、浏览器和各种工作流。

那几天，围绕 OpenClaw 的情绪几乎是清一色的：

真酷。
真猛。
真像未来。

但很快，风向就变了。

这两天，国内关于 OpenClaw 的讨论，已经明显从“它能干什么”，转向了“它会不会出事”。

工信部网络安全威胁和漏洞信息共享平台发了风险提示；
央视、观察者网、新浪财经等媒体也在集中转发；
海外又连续出现恶意分发、凭证窃取、本地高危配置等报道。

很多人开始第一次意识到：

OpenClaw 最让人兴奋的地方，恰恰也是它最危险的地方。

因为它不是一个只会聊天的 AI。
它是一个准备替你“做事”的 AI。

而一旦 AI 真开始做事，安全问题就不再是附属话题了。

它会直接变成主话题。

1. 为什么 OpenClaw 一开始会让大家觉得“真酷”？

因为它给人的冲击感太强了。

过去很多人对 AI 的理解，还是：

• 问一句
• 答一句
• 帮你写点文案
• 帮你改点代码

OpenClaw 不是这个路子。

它一上来给人的感觉就是：

这玩意不是在陪你聊天，它是真的想替你干活。

根据 OpenClaw 官方文档，它是一个自托管的 AI Agent Gateway。

你可以把它理解成一个总控中枢：

• 前面连聊天入口
• 中间连模型和会话
• 后面连工具、文件、浏览器、命令执行和设备能力

这件事为什么会特别容易在国内出圈？

因为它完美踩中了今年最火的几个关键词：

• Agent
• 开源
• 自托管
• 本地部署
• 长期在线
• 连接现实工具

说白了，它让很多人第一次看见了一种非常具体的未来画面：

不是你去打开一个 AI 网页，
而是你在原来的工作流里，随时叫一个 AI 来替你推进任务。

这当然很酷。

而且，越酷，越容易被大规模传播。

2. 为什么风向突然开始变成“真危险”？

因为大家很快发现，OpenClaw 不是“更好玩的聊天机器人”，
而是“权限更高的持续运行系统”。

这个差别极其重要。

一个聊天机器人说错一句话，
最多是信息错误。

但一个能调用工具、读写文件、执行命令、长期持有凭证、还能接入消息入口的 AI Agent，
一旦出问题，就不是“答错了”，而是：

• 做错了
• 做多了
• 做过界了
• 被别人拿去做坏事了

这就是为什么 OpenClaw 的舆论会从“真酷”快速转向“真危险”。

因为大家终于意识到：

它危险的不是“会不会胡说”，而是“会不会真动手”。

3. 国内这轮风险提醒，核心其实在讲什么？

工信部网络安全威胁和漏洞信息共享平台这次给出的表述很关键。

核心不是说 OpenClaw “不能用”，
而是说在默认或不当配置情况下，它存在较高安全风险，容易引发网络攻击和信息泄露。

这里面最值得注意的几个词是：

• 默认配置
• 不当配置
• 信任边界模糊
• 持续运行
• 自主决策
• 调用系统和外部资源

这其实已经把问题说透了。

OpenClaw 的风险，不是来自某一个单点漏洞，
而是来自一种全新的系统形态：

你把模型、消息入口、本地权限、外部工具、长期凭证和持续在线能力，绑在了同一个系统里。

以前这些东西是分开的。
现在它们被串起来了。

一旦串起来，攻击面就会陡然放大。

4. OpenClaw 真正危险，到底危险在哪？

很多人现在对 OpenClaw 的安全理解还比较模糊。

总觉得“有风险”是一句很抽象的话。

但它的风险其实非常具体。

第一，权限太真实了

OpenClaw 和很多纯聊天 AI 最大的区别是：

它不是只看文字。

它可能会碰这些东西：

• 本地文件
• Shell 命令
• 浏览器
• 聊天账号
• API 凭证
• 手机节点
• 外部服务

这意味着一旦你给它开的口子太大，它能碰到的，就不只是“一段文本”。

而是你真正的工作环境。

也正因为这样，OpenClaw 官方安全文档直接提醒：

在你的机器上运行一个带 shell access 的 AI agent，本身就是高风险操作。
官方也专门提供了 openclaw security audit 来检查常见误配置。

第二，它不是瞬时工具，而是持续在线系统

很多传统工具的风险，来自单次误操作。

但 OpenClaw 这种系统更麻烦的地方在于：

它是持续运行的。

只要它一直在线、一直持有权限、一直挂着会话，它就不只是一个被你主动打开的工具，
而更像一个长期驻留的执行体。

这意味着：

• 风险不是一次性的
• 配置漂移会累积
• 凭证暴露影响更大
• 被恶意触发的机会更多

这也是为什么海外安全圈最近会特别警惕它。

第三，它的“入口”太多了

OpenClaw 一个很酷的卖点，是它可以接很多渠道。

但从安全角度看，这也是问题。

因为入口越多，
被触发的路径就越多。

如果 DM、群聊、Webhook、远程节点、浏览器控制、代理配置这些地方没收紧，
你就不是在跑一个单机工具， 而是在搭一个分布式攻击面。

OpenClaw 官方文档里也反复强调：

• 群聊尽量 requireMention
• DM 尽量用 pairing 或 allowlist
• 远程访问要限制暴露面
• 插件、浏览器控制、trusted proxy 都要谨慎

这背后的逻辑非常简单：

能叫得动它的人越多，它出事的概率就越高。

第四，攻击者已经开始盯上它了

这件事是很多人态度突然转向的重要原因。

如果只是理论风险，大家还会觉得“注意点就行”。

但现在不是。

最近海外已经连续出现几类真实案例：

• 借 OpenClaw 热度做假 GitHub 仓库和恶意安装包
• 通过搜索广告和搜索引擎结果误导用户下载安装
• 信息窃取木马开始盯 OpenClaw 配置和凭证

TechRadar 最近几篇报道里都提到，攻击者已经利用 OpenClaw 的热度传播恶意样本，甚至开始针对它的配置文件和认证数据下手。

这说明了一件事：

OpenClaw 已经不是“未来可能有风险”，而是“现在已经在成为攻击目标”。

5. 为什么这种风险在国内会一下子被放大？

因为 OpenClaw 在国内传播时，有一个非常典型的路径：

先被包装成“AI 神器”，
然后快速下沉到大量并不具备完整安全认知的用户群。

你会看到很多传播内容在强调：

• 几分钟部署
• 一键上手
• 手机电脑都能挂
• 能自动处理消息
• 能 24 小时在线

这些话本身没错。

但问题是，它们强化的是“低门槛爽感”，
弱化的是“高权限后果”。

这就很容易造成一个危险误判：

很多人把 OpenClaw 当成一个普通 AI 工具装了，实际上却把它装成了一个具备行动权限的半自动系统。

这两者根本不是一个安全级别。

而国内媒体和监管这波集中提醒，本质上就是在纠正这个认知偏差。

6. 最容易被普通人忽略的误区是什么？

我觉得是这句：

本地部署，不等于天然安全。

很多人一看到“开源”“自托管”“本地跑”，就会自动觉得：

那不就比云端安全吗？

这只说对了一半。

本地部署确实意味着你掌控更多，
但也意味着：

安全责任更多地落到了你自己头上。

你要自己处理：

• 公网暴露
• 权限收敛
• 凭证管理
• 会话隔离
• 审计日志
• 更新修复
• 插件信任
• 沙箱隔离

你要是不会做这些，本地部署不但不是护城河，
反而可能变成事故源。

OpenClaw 官方文档专门提供了 sandboxing、pairing、security audit 等能力，恰恰说明官方自己也知道：

这个东西如果不加边界，默认就很“刺激”。

7. 所以 OpenClaw 还能不能碰？

当然能碰。

但它更适合两类人：

• 懂工程和权限边界的人
• 愿意把它当“系统”而不是“玩具”来维护的人

如果你只是把它当成：

“最近很火，装一个玩玩。”

那风险会非常不对称。

因为你看到的是：

• 很酷的演示
• 很快的上手
• 很爽的自动化

但你没看到的，是：

• 凭证常驻
• 配置错误
• 权限过宽
• 外部入口暴露
• 恶意分发
• 持续在线系统的长期风险

这才是最近国内讨论突然从“真酷”转向“真危险”的根本原因。

不是大家保守了，
而是大家终于开始用系统视角看它了。

8. 最后的结论：OpenClaw 不是不酷了，而是它已经酷到必须先谈安全

如果你问我，为什么 OpenClaw 在国内刷屏后，大家开始从“真酷”聊到“真危险”？

我的答案很简单：

因为它第一次让很多普通人看见了，什么叫“AI 真开始接管现实权限”。

以前大家担心的是 AI 会不会瞎说。
现在大家担心的是 AI 会不会真动。

这是一个本质变化。

OpenClaw 没有突然变坏。
它只是从“看起来像个酷炫 demo”，变成了“需要按高权限系统来对待的现实工具”。

所以，真正成熟的态度不该是：

• 一边无脑神化
• 一边无脑恐慌

而应该是：

承认它真的很强，也承认它真的很危险。

因为越是能帮你干活的 AI，
越不能只看“它有多酷”，
更要看“它一旦失控，会把什么一起带走”。

一句话收尾：

OpenClaw 在国内舆论里的转向，不是热度退了，而是大家终于开始明白，Agent 一旦从聊天走向执行，安全就不再是配角，而是主角。

参考来源

• 工信部相关风险提示转载，央视/观察者网，2026-03-08
  https://www.guancha.cn/politics/2026_03_08_809248.shtml
• 新浪财经转载风险提示，2026-03-08
  https://finance.sina.com.cn/jjxw/2026-03-08/doc-inhqhpym0679571.shtml
• OpenClaw 官方安全文档
  https://docs.openclaw.ai/gateway/security
• OpenClaw 官方沙箱文档
  https://docs.openclaw.ai/sandboxing
• OpenClaw 官方配对文档
  https://docs.openclaw.ai/pairing
• TechRadar，关于恶意分发与凭证窃取风险的报道
  https://www.techradar.com/pro/security/hackers-exploit-openclaw-to-spread-malware-via-github-and-a-little-help-from-bing https://www.techradar.com/pro/security/openclaw-ai-agents-targeted-by-infostealer-malware-for-the-first-time https://www.techradar.com/pro/security/microsoft-says-openclaw-is-unsuited-to-run-on-standard-personal-or-enterprise-workstation-so-should-you-be-worried