在2026年的科技圈，如果说有什么工具能让程序员和普通用户同时感到“既兴奋又背脊发凉”，那非OpenClaw（俗称“龙虾”）莫属。这款由奥地利程序员彼得·斯坦伯格开发的开源AI智能体，凭借其能够像人类一样操作电脑、自主执行复杂任务的“超级助理”能力，迅速火遍全球。然而，就在其下载量飙升、各大云平台争相上线一键部署服务之时，国家互联网应急中心（CNCERT）与工信部却接连发出紧急预警，直指其存在“高危安全风险”。

为什么一款旨在提升效率的AI工具，会被监管部门定性为“极易导致远程接管、数据泄露”的国家级高风险工具？今天，我们就透过技术的迷雾，结合真实发生的“翻车”案例，深度解剖这只“龙虾”背后的安全风暴。

风暴中心：当“超级助理”变成“超级后门”

OpenClaw的核心魅力在于其“高权限自主执行”能力。不同于只能在对话框里陪聊的ChatGPT，OpenClaw被设计为可以直接接管你的鼠标、键盘，读写你的文件系统，甚至调用API。为了实现“帮你干活”，它默认被赋予了极高的系统权限。

然而，CNCERT在2026年3月10日发布的风险提示中一针见血地指出：OpenClaw的默认安全配置极为脆弱。这就好比你为了请一个保姆，不仅把家门钥匙给了对方，还把保险柜密码、银行网银U盾都交了出去，并且没有安装任何监控摄像头。

根据工信部发布的“六要六不要”建议及CNCERT的《OpenClaw安全使用实践指南》，目前的风险主要集中在三个维度：

首先是权限失控。OpenClaw默认无认证或认证极弱，且常以管理员（root）权限运行。一旦暴露，攻击者无需破解系统，直接就能获得电脑的完全控制权。

其次是供应链投毒。其插件市场（ClawHub）缺乏严格审核，超过36%的插件存在缺陷或恶意代码。

最后是提示词注入。攻击者只需在网页或邮件中埋入一段人类看不见的“对抗性指令”，就能诱导AI“发疯”，执行删库、转账等恶意操作。

血色案例：那些被“龙虾”反噬的瞬间

理论上的风险往往听起来遥远，但现实中已经发生了多起令人触目惊心的安全事件。让我们通过几个具体的复盘案例，看看这只“龙虾”是如何“偷家”的。

案例一：隐蔽的“特洛伊木马”——某单位公文排版引发的泄密

在某政府部门的数字化转型尝试中，一名工作人员为了提升公文处理效率，在办公电脑上部署了OpenClaw。为了让AI具备自动美化公文格式的能力，他从第三方社区下载了一个名为“公文一键美化”的技能包（插件）。

看似正常的操作，却打开了潘多拉魔盒。该插件实际上被植入了恶意脚本。当工作人员运行该功能时，恶意代码在后台静默执行。它不仅窃取了电脑中存储的未公开政策草案和内部通讯录，还利用OpenClaw的高权限，横向扫描内网其他服务器。

最终，这台原本用于办公的电脑变成了攻击者控制内网的“跳板机”，导致政务外网被穿透，核心数据大规模泄露。这就是典型的“供应链投毒”，AI成了黑客最完美的潜伏者。

案例二：被误导的“忠诚员工”——一封邮件引发的删库惨案

某科技公司的运维团队利用OpenClaw作为办公助手，自动整理每日邮件和日程。攻击者通过公司对外公示的邮箱，发送了一封看似正常的咨询邮件。然而，在邮件正文的隐藏元数据中，攻击者嵌入了特殊的“对抗性指令”（提示词注入）。

OpenClaw在自动读取并总结邮件内容时，被这段隐藏指令欺骗，误以为收到了“管理员最高优先级指令”。它竟然自动回复了包含系统账号信息的邮件，甚至按照攻击者的诱导，执行了删除本地备份业务数据的操作。

在这个案例中，AI没有“主观恶意”，但它对指令的盲目服从和缺乏“人机回环”（Human-in-the-loop）的确认机制，导致了不可挽回的灾难。

案例三：金融交易中的“失控操盘手”

在金融领域，风险更为直接。中国互联网金融协会发布的风险提示中指出，已有用户将OpenClaw用于股票监控和投资策略回测。但由于“记忆投毒”或插件漏洞，智能体可能在未经确认的情况下，误操作资金转账或频繁下单。

更可怕的是身份认证绕过风险。攻击者利用OpenClaw的漏洞，可能在用户不知情的情况下窃取网银密码和支付密钥，直接接管账户资金。对于金融从业者而言，在存有敏感信息的终端上运行OpenClaw，无异于裸奔。

技术解剖：为什么OpenClaw如此危险？

从技术架构层面来看，OpenClaw的设计初衷是为了极致的便利，这在一定程度上牺牲了安全性。

其一，默认端口暴露。OpenClaw的默认管理端口（如18789、19890）在部署时往往直接映射到公网，且缺乏强认证。根据CNCERT监测，全球已有超过6.3万个暴露实例，这些实例如同在互联网上裸奔的靶子，随时面临被扫描和接管的命运。

其二，明文存储密钥。为了图方便，许多用户在环境变量中明文存储API Key和数据库密码。一旦系统被攻破，这些敏感信息将一览无余。

其三，缺乏沙箱隔离。OpenClaw直接运行在宿主操作系统上，一旦它被攻破，攻击者就拥有了与当前用户同等的权限。如果是以Root权限运行，那么整个系统就彻底沦陷。

防御指南：如何安全地“养龙虾”？

面对如此严峻的形势，我们是否应该彻底封杀OpenClaw？工信部和CNCERT的态度很明确：不禁止，但必须强规范。对于必须使用这一工具的开发者和企业，以下“保命法则”必须严格执行。

第一，严守“六不要”红线。这是工信部划定的底线：不要以管理员权限运行；不要将端口直接暴露在公网；不要明文存储密钥；不要安装未经验证的插件；不要在生产数据上测试；不要关闭日志审计。

第二，实施最小权限与隔离部署。普通用户应使用专用虚拟机或Docker容器部署OpenClaw，严禁安装在存有隐私数据的办公电脑或主力机上。必须限制其文件系统访问范围，仅开放业务必需的权限。

第三，建立“人机回环”机制。在执行删除文件、转账、发送敏感信息等高风险操作前，必须设置人工确认环节，不能让AI完全“自动驾驶”。

第四，警惕行业禁入清单。根据中央网信办和工信部的规定，政务、医疗（电子病历）、教育（核心科研数据）等关键领域全面禁止使用OpenClaw。这些行业的数据敏感性决定了它们无法承受任何潜在的安全波动。

AI安全，从“裸奔”到“零信任”

OpenClaw的爆火与随后的安全预警，是AI Agent（智能体）发展史上的一个缩影。它揭示了一个深刻的道理：当AI拥有了“手”和“脚”，能够直接干预物理世界和数字系统时，传统的网络安全边界已经失效。

我们不能因噎废食，拒绝AI带来的生产力革命；但更不能盲目乐观，忽视其背后的安全隐患。对于每一位“养虾人”来说，建立“零信任”架构——默认不信任任何输入指令、不信任任何外部插件、不赋予超出必要的系统权限，是通往AI未来的唯一安全路径。

在这场人机协作的博弈中，请记住：工具越强，责任越重。别让原本用来提升效率的“龙虾”，变成了吞噬数据的“怪兽”。