从31.4万星标到341个恶意插件:OpenClaw“龙虾”安全危机与防护破局|附:opencalw卸载教程

大家好，我是 Rylan。建筑背景出身，对代码只有一点点不入流的认知，但这几年一直在用大模型探索 AI 在设计和交互里的可能性。

最近这几个月，我持续关注 OpenClaw（“龙虾”）这条线，明显感觉它越来越「爆」：GitHub 星标已经超过 31.4 万，中国这边自建实例也在快速增长，小红书和闲鱼上甚至出现了从「499/699 上门安装」到「收费卸载」「远程体检」的一整套服务。

但这场狂欢背后，多家安全团队和媒体连续披露了一系列围绕 OpenClaw 的安全问题：架构漏洞、公网裸奔、插件投毒、权限失控。

这只看起来很可爱的「小龙虾」，在错误的部署方式下，正在变成很多人电脑里的特洛伊木马。

我花了几天时间，把最近披露的安全报告、GitHub issue和社区讨论系统地看了一遍，有一个结论挺残酷：OpenClaw 的自主执行能力确实很革命，但大量实例在部署时几乎处于「裸奔」状态，开放在公网、没有强认证、插件乱装。

结合几次针对 ClawHub 的安全审计，至少有数百个恶意技能被点名，已经造成了实实在在的数据泄露和权限滥用案例。这篇文章不做安装教程，而是我作为 AI 探索者的「生存迭代笔记」。

当AI从对话走向执行，安全不再是附加品，而是核心竞争力。

截至 2026 年 3 月，OpenClaw 在 GitHub 上的星标已经突破 31.4 万，fork 也接近 6 万，短时间内版本更新非常频繁。

与此同时，多家安全厂商和研究团队陆续披露了围绕 OpenClaw 的高危漏洞和错误配置风险：其中包括至少一个允许攻击者通过恶意网页劫持本地 AI 代理的漏洞（CVE-2026-25253），以及在互联网扫描中发现的大量未加保护、直接暴露在公网的实例。

小红书上门安装帖子

咸鱼上提供的上门安装服务

小红书和闲鱼上，「499 元上门安装 OpenClaw」之类的帖子一度泛滥，吸引了大量非技术用户跟风。没过多久，「199 元上门卸载」「远程卸载」又开始流行，很多人担心自己电脑上残留了什么东西，尤其是权限和密钥。如果你想知道如何安全的安装并使用可以看我的这两篇文章用虚拟机0到1玩Openclaw怎么有那么多步骤要走？ 烦死了～保姆级教程：用虚拟机玩Openclaw，小白也能轻松上手

有开发者在社区里分享过经历：安装几天之后发现自己的 API 密钥被滥用，短时间内产生了大额费用。这种从追捧到恐慌的反差，一方面说明大家开始意识到风险，另一方面也带来了新问题——部分所谓「卸载服务」本身可能成为新的后门入口。

那么究竟如何下载我将方法放在了文末尾👇

小红书上门卸载帖子

OpenClaw 到底在你电脑上做了什么？

OpenClaw 的图标是一只红色龙虾，大家习惯叫它「小龙虾」。它整合了本地通信软件、命令行和大语言模型，可以自主完成文件管理、邮件收发、数据处理、PPT 制作、抠图、图像和音视频生成等一整套复杂任务。

问题在于，它在你的电脑上往往拥有非常高的系统权限——用户一旦配置不当或者被恶意技能利用，这种「自动执行」能力就可能变成严重的安全风险，而最近披露的多个事件和研究正是在提醒我们这一点。

OpenClaw的崛起：人工智能代理走红，引发深圳的龙虾政策推动

问题拆解（The Problem）

现象：OpenClaw 的核心在于本地执行——访问文件系统、调用 OS 命令、集成通讯工具，接受自然语言指令后自主规划并执行复杂任务。

但这相当于「给 AI 装上了手脚」，如果安全边界没画清楚，就会在架构、权限和生态三层同时失守。

第一重：架构与暴露面。

OpenClaw 的部分版本在默认配置下，会绑定在 0.0.0.0 上监听固定端口，如果用户不做任何加固，很容易直接暴露到公网。

此外，CVE-2026-25253 这类高危漏洞暴露出一个事实：只要攻击者能拿到你的管理接口 token，或者通过恶意网页劫持浏览器环境，就有机会在几乎「一键」的情况下远程控制你的本地代理。

第二重：权限失控的「上帝模式」。

很多用户在部署时习惯直接给 OpenClaw 配置高权限账号和全局密钥（包括云厂商、数据库、SSH 等），甚至用管理员权限运行服务。

在这种情况下，一旦被恶意技能或外部攻击者利用，对方获得的不是「一个聊天窗口」，而是几乎整台机器的控制权，从环境变量到本地文件，再到内网服务访问，全部都在攻击面之内。

第三重：插件生态的供应链风险。

多次针对 ClawHub 的安全审计显示，在几千个可用技能中，有数百个被标记为恶意或存在严重安全隐患。

这些技能往往伪装成「加密分析」「金融追踪」「自动运维」等生产力工具，安装后却会请求过度权限、执行额外脚本、悄悄回传你的 API 密钥、钱包信息甚至浏览器里的敏感数据。

深度分析（The Analysis）

从底层逻辑看，OpenClaw 这一类「能自己决定下一步做什么」的智能体，引入了新的攻击面：

提示词注入（Prompt Injection）：攻击者在网页、文档或 API 返回结果中埋入隐藏指令，引导代理执行泄露密钥、修改配置等危险操作。

算法幻觉：模型在不确定情境下「编造」信息，然后基于错误前提做出高权限决策。

在传统系统里，执行危险操作的往往是人或显式脚本；而在智能体框架中，很多「读—想—做」的链条被抽象成了一个黑盒。

当这个黑盒既能读你所有文件，又能执行命令和发起网络请求时，「AI 幻觉 + 系统权限 = 不可逆破坏」就不再是理论推演，而是必须正视的实际风险。

移动应用安全中新兴的关键风险：提示注入攻击

算法误操作：Meta安全总监Summer Yue测试中，OpenClaw误删批量邮件，即使终止指令无效，只能物理关机。暴露不可控性：AI幻觉+系统权限=不可逆破坏。

企业担忧深远。银行测试自动化客户数据，因未限权限，泄露数千银行卡号，遭巨额罚款。国家工业信息安全中心通报：工业部署引发连锁危机，从工控瘫痪到数据泄露。

趋势判断上，大部分安全研究的共识是：从「对话」到「执行」的范式迁移是不可逆的，但这同时意味着攻击面被成倍放大。不同地区的政策和行业讨论，也在尝试一边推动这类智能体落地，一边要求做足安全评估和防护措施——真正需要升级的，不只是模型能力，还有我们对权限边界和运行环境的设计方式。

AI不是为了替代人类，而是为了淘汰裸奔的设备。

行动指南（The Solution）参考了多家安全团队的最佳实践，总结成三层防御框架。

第一层：环境隔离与网络加固。 用独立物理机或云服务器，非特权用户运行。通过Docker/虚拟机隔离，与主力机逻辑分离。杜绝公网暴露：绑定127.0.0.1本地地址，封禁18789、19890端口。远程用VPN/SSH隧道。防火墙只允特定IP访问SSH（22端口）。

第二层：权限控制与行为审计。 最小化权限：配置文件定义工具白名单，默认拒绝高风险（如runtime:exec/bash）。对删除文件、发送数据等操作强制二次确认。启用日志审计：记录命令、文件访问、网络行为。每日巡检20+指标：CPU占用、外联异常等。

第三层：插件管理与必备工具。 停止脱离ClawHub官方下载，建立内部仓库，强制审核/签名验证。安装前审计：黑名单比对、哈希校验、IOC扫描。

必装Skill Vetter：由spclaudehome开发的安全审查插件。三步机制：

1. 来源检查：作者信誉、更新记录、评价。官方低风险，来历不明高警惕。
2. 代码审查：排查14项红线，如发送数据、索钥、base64解码、eval/exec、sudo权限、访问cookie、偷MEMORY.md（含隐私记录）。
3. 权限评估：匹配功能与权限。

风险等级：

• 🟢低：笔记、天气查询。
• 🟡中：文件操作、浏览器控制。
• 🔴高：账号密码、系统设置。
• ⛔极端：root权限。

实战：auto-updater（🟡，权限多无恶意）；Desktop Control（🔴，能力过强）；coding-agent（⛔，含乱码下载恶意）。

安装：通过ClawHub，一行命令“帮我安装https://clawhub.ai/spclaudehome/skill-vetter”。设置强制审查所有技能。VirusTotal合作扫描ClawHub技能，查看报告避险。

企业治理：身份可信、权限可控、行为可审计、风险可隔离、应急可自愈。五维体系，用数据库+授权中心：审计透明、权限动态、风险隔离。

英伟达Lakera框架：动态交互安全、漏洞追踪、AI红队测试模拟注入/劫持。

实践要点清单：

1. 关闭18789公网暴露，绑本地，VPN访问。
2. 启用tools.allow/deny，默认拒高风险。
3. 迁移密钥到加密变量/管理系统。
4. 只装官方/审计技能，前用Skill Vetter扫描。
5. 开启全日志，关键操作审批。
6. 升级2026.3.13，安装补丁。
7. 专用隔离环境，禁主力机运行。

那么究竟如何完美干净的卸载openclaw呢？

一个“完美、干净”的卸载需要三层清理：程序及其服务、本地数据和配置，以及所有外部服务授权和密钥。仅仅删除一个文件夹远远不够。

1. 总体思路：3 层卸载框架

无论是 macOS、Windows 还是 Linux，完整卸载 OpenClaw/Clawdbot/Moltbot，建议遵循这个顺序：

停止并删除所有后台服务和守护进程（gateway/daemon）。

删除所有本地数据、状态和配置目录。

撤销外部服务授权（OAuth）和 API 密钥，做一次「账号侧」的断开。

你可以理解为：

系统层：不再有任何 OpenClaw 相关进程在跑。

文件层：磁盘上不再有任何 .openclaw / .clawdbot / .moltbot 等残留。

云端层：Notion/Slack/邮箱/云厂商那边不再承认这个代理的访问权限。

2. macOS / Linux 简单版

你可以直接照抄这几步（命令里没有危险操作，只是停服务+删目录）：

1). 关掉运行中的进程（最粗暴）：

#bashpkill -f openclaw 2>/dev/nullpkill -f clawdbot 2>/dev/nullpkill -f moltbot 2>/dev/null

2). 删除它自己的Home目录：

#bashrm -rf ~/.openclaw ~/.clawdbot ~/.moltbot ~/.molthub

3). 如果你当初是 npm 安装的，再多一步：

#bashnpm uninstall -g openclaw clawdbot moltbot 2>/dev/null

做到这里：

• 绝大多数「本地残留」已经没了。

• 如果你不确定有没有 systemd/LaunchAgent，那些更进阶的可以以后再慢慢收拾。

3. Windows 简单版

不查那么多设置，粗暴一点：

1). 任务管理器里：

找所有名字里带 openclaw / clawdbot / moltbot 的进程，全部「结束任务」。

2). 删用户目录下的文件夹（在 PowerShell 或 cmd 里）：

#powershellrmdir /S /Q "%USERPROFILE%\.openclaw"rmdir /S /Q "%USERPROFILE%\.clawdbot"rmdir /S /Q "%USERPROFILE%\.moltbot"rmdir /S /Q "%USERPROFILE%\.molthub"

3). 如果你是用 npm 装的 CLI：

#powershellnpm uninstall -g openclaw clawdbot moltbot

如果你还记得装过一个 GUI 安装包，就去「应用和功能」里，把带 OpenClaw/Clawbot 名字的程序卸载掉，再执行上面的删除命令。

4. 最粗暴但非常重要的一步：改密钥

不想折腾太多的话，最起码做这件事：去所有给过 OpenClaw 用过的服务后台，把它们的 key 全部删掉换新的：

• 模型供应商（OpenAI/Anthropic/国内大模型平台）

• 云厂商

• Notion / Slack / 飞书 / 邮箱 等的 API token

这可以简单理解为：就算哪儿还有没删干净的残渣，也再也用不了你的「真钥匙」了。

杀掉所有 openclaw 相关进程 → 删掉所有 .openclaw/.clawdbot/.moltbot 目录 → 把所有相关 API key 和 OAuth 授权统统换新。

其实还有一个最最最最简单粗暴的的办法！

如果你本来就在用 ClaudeCode、OpenCode 这类「AI 开发环境」，完全可以直接打开它们，对着里面的智能体说一句：「请在不破坏系统和数据的前提下，帮我完全卸载 OpenClaw，包括停止服务、删除本地数据、清理残留配置，并给出你执行过的所有步骤。」

只要你前面已经按本文说的原则做了环境隔离、权限收紧和密钥轮换，让另一个受控的 AI 去「帮你拆掉这只龙虾」，反而是一件很符合这个时代气质的事情。

—— END ——

💡 写在最后如果你能看到这里，真的非常感谢你花时间读完这篇。觉得这篇有用，可以点个“在看”或转发，这是对这个公众号最大的支持。记得点个⭐，我们就不会在信息流里走散，下次见。有问题欢迎留言区交流~如需转载请注明出处;)

Author | RylanEditor | LiamLayout | 阿明Ming