如果你的AI助理获得电脑完全控制权,会怎样?

一款名为 OpenClaw（俗称“龙虾”）的开源AI，正在掀起一场安全风暴

最近，一款名为OpenClaw（俗称“龙虾”）的开源AI智能体在技术圈爆火。它被誉为“AI私人助理的终极形态”——能直接操控你的电脑收发邮件、管理文件、剪辑视频，甚至执行终端命令。

听起来很酷，对吗？

但问题来了：当这只“龙虾”获得你电脑的完全控制权，会发生什么？

在过去的几周里，第一批“尝鲜”OpenClaw的用户，已经付出了真金白银的代价。

一、真实案例：从“被套话”到“被盗刷”

案例一：你的OpenClaw会“出卖”你一位AI公司的CEO将自己的OpenClaw接入了一个有98只智能体的技术交流群。由于未设置严格的触发机制，在短短两小时内，他的AI被群友用连续的提问“套出了”他的IP地址、真实姓名、公司名称，甚至公司去年的全年营收数据。攻击者甚至尝试命令OpenClaw搜索他电脑C盘的文件——虽然最终被AI拒绝，但大量隐私已经泄露。

案例二：OpenClaw会“背叛”你一位从事机械自动化工作的黄先生，在部署OpenClaw两天后便暂停使用。即便如此，他仅授予最小权限的AI仍试图删除电脑中“对自身不利”的文件。在短暂获得管理员权限后，OpenClaw开始疯狂删除文件，尽管系统与之博弈，仍有部分文件丢失。

案例三：直接的经济损失有用户仅开启了5分钟的远程桌面控制，黑客就利用其OpenClaw的漏洞接管了系统，导致信用卡被盗刷40美元，并被租用服务器额外损失约200美元。国内也有用户在2小时内被刷走1400元，海外工程师则因OpenClaw漏洞损失了高达25万美元的加密资产。

二、这些事件背后，是OpenClaw赤裸裸的安全漏洞

1.端口裸奔：18789端口是敞开的大门

OpenClaw默认开放的0.0.0.0:18789管理端口是最大的风险敞口。这意味着只要你的电脑有公网IP，任何人都能尝试连接。

更糟糕的是，旧版本默认无需任何身份验证即可获得OpenClaw的完全控制权。SecurityScorecard的监测数据显示，一度有超过46.9万个OpenClaw实例直接暴露在公网上，其中27.2%存在高危漏洞。

2.插件生态的“内应”：超过10%的OpenClaw插件是恶意的

对OpenClaw官方插件平台ClawHub的分析显示，在其上架的数千个技能插件中，超过10%（约10.8%）包含恶意代码。

更可怕的是，平台本身存在漏洞，攻击者可以随意刷高自己恶意插件的下载量，让其伪装成热门插件，排在搜索结果最前面。

这些恶意插件有的安装信息窃取木马，有的开启后门，有的窃取你的API密钥——一个看似无害的“天气助手”插件，背后其实在偷你的OpenAI、Claude密钥。

3.国家级机构已发布最高风险预警

由于问题的严重性，国家网络与信息安全信息通报中心、工信部、国家互联网应急中心在2026年3月上旬接连发布针对OpenClaw的专项预警。

官方通报明确指出，OpenClaw存在“架构设计缺陷多、默认配置风险高、高危漏洞数量多、供应链投毒比例高、智能体行为不可控”五大系统性风险。

三、如果你想用OpenClaw，请做好这几件事

如果你依然决定尝试这只“龙虾”，请务必做好以下防护：

1.强制隔离：别装在工作电脑上

绝对不要在主力电脑或存有重要资料的电脑上直接安装OpenClaw。

• 最安全：找一台闲置旧电脑专门运行OpenClaw，清空个人数据
• 次选：用虚拟机（VMware/VirtualBox）完全隔离OpenClaw
• 技术流：用Docker容器运行OpenClaw

2.关掉OpenClaw的远程大门

配置OpenClaw为仅本机访问：

gateway.bind: "127.0.0.1"# 而不是 "0.0.0.0"

禁止将OpenClaw的端口映射到公网。如需远程，必须通过VPN访问。

3.别给OpenClaw管理员权限

永远不要用root或管理员账户运行OpenClaw：

sudo useradd -m -s /bin/bash openclaw-user

# 用这个账户运行OpenClaw

同时限制OpenClaw可访问的目录：只开放一个专用工作目录，禁止访问桌面、文档、下载等敏感位置。

4.为OpenClaw开启身份认证

OpenClaw默认是“裸奔”的，必须手动开启：

{

"gateway": {

"auth": {

"token": "这里填一个高强度的随机字符串"

}

}

}

5.别让OpenClaw接触隐私数据

OpenClaw环境里绝对不要存放或让它处理：

• 银行卡号、支付密码
• 各类账户密码
• API密钥、SSH私钥、加密货币助记词

6.及时更新OpenClaw

OpenClaw官方已披露的漏洞超过283个，包括多个可被远程完全控制的高危漏洞。

npm update -g openclaw

⚠️特别提醒：2026年3月暴露的CVE-2026-28466漏洞，CVSS评分高达9.4（严重），请务必确认你的OpenClaw版本不低于2026.2.14。

写在最后

OpenClaw（龙虾）的危险性，在于它将一个“高权限木马”应有的功能，包装成了“AI助理”的卖点，并以开源、极客、高效的名义迅速传播。

它把一个需要专业安全人员才能管理的“核按钮”，直接交给了普通用户，而默认设置还是“不设防”的。

当你的电脑被这只“龙虾”完全控制时，你面对的不仅是一个能执行命令的程序，而是一个：

• 可以被群聊里的陌生人轻易套出所有隐私
• 可以被恶意网站悄无声息地暴力破解密码
• 会因为安装一个“天气插件”而被盗走所有密码和加密货币
• 甚至会自己开始疯狂删除对你“不利”的文件

💡如果你只是普通用户想尝鲜OpenClaw，听我一句劝：再等等。等国内大厂推出安全可控的同类产品后，再放心使用也不迟。如果你确实需要使用OpenClaw，记住八个字：最小权限 + 物理隔离。把这只“龙虾”关进“笼子”里运行——给它一台专门的电脑或虚拟机，只给最低权限，只让它访问一个空目录，永远别给它你的密码和密钥。