��OpenClaw+Hermes+豆包等AI时代,个人和企业数据安全如何守护?

最近听到一个事儿——有个程序员小哥，装了OpenClaw（就是那个被大家叫”龙虾”的AI助手）之后，三天时间账单多了1万2。银行卡直接被刷爆！

他压根没干什么，就装了个插件而已。

这不是个例。2026年第一季度，光是ClawHub一个平台，就发现了1184个恶意插件，暗中感染了约30万用户。这是什么概念？每100个装插件的用户里，就有1个在”裸奔”。

今天这篇文章，就把AI安全问题彻底讲清楚——

OpenClaw、Hermes、豆包、千问都在用，但它们到底有哪些安全问题？为什么这些问题必须高度重视？以及普通人怎么防范？

要理解AI的安全问题，先要明白一件事：AI Agent和以前的AI工具不一样。

以前的AI，比如Siri、ChatGPT，就是你问它答，答完拉倒。它没有能力动你电脑里的东西。

但OpenClaw、Hermes这类AI Agent不一样——它们能真正操控你的电脑：读写文件、执行命令、安装软件、调用外部API。你只需要说一句话，它就能帮你把这件事办了。

问题就出在这里：能帮你干活的能力，也可以被坏人利用。

这就是AI安全问题的核心：权限太大，等于把命交给陌生人。

说完了原理，我们来具体看看都有哪些安全风险。分成四类，一一讲解。

OpenClaw有一个官方的插件市场叫ClawHub，目前已经有超过2.8万个插件。听起来很多对吧？

但问题来了：这些插件谁都可以上传，根本没有严格审核。

2026年3月，安全公司360和奇安信先后发出警告：ClawHub上超过36.8%的插件存在安全隐患。更可怕的是，安全研究人员发现了”ClawHavoc供应链投毒事件”——1184个恶意插件伪装成合法工具，涌入官方市场，暗中安装窃取程序、键盘记录器和反向木马，约30万用户受到影响。

这些恶意插件会伪装成实用工具，比如”自动整理文件插件”、”股票行情插件”。表面上帮你干活，背地里在扫描你的电脑，找到银行卡号、密码、私钥就往外传。

很多用户不知道的是，OpenClaw默认会监听公网IP。

这意味着什么？意味着全世界的人都可以尝试连接你的AI助手。安全研究人员扫描发现，全球有超过23万个OpenClaw实例直接暴露在公网上，其中约9%存在已知漏洞，超过2万个岌岌可危。

2026年2月，一个编号为CVE-2026-25253的高危漏洞被公开。攻击者只需要诱导你访问一个恶意网页，就能通过WebSocket网关窃取认证令牌，直接控制你的AI实例。CVSS评分高达8.8分，属于”高危”级别。

你的API密钥、加密货币私钥、网银密码，全部一览无余。

你有没有想过：你在网上随意浏览一个网页，可能已经被人”附身”了？

这就是”提示词注入攻击”。攻击者在网页中隐藏恶意指令，当AI读取这个网页时，就会执行攻击者植入的命令。

比如：

✅ 读取你电脑里的密码文件

✅ 把你的聊天记录发送给攻击者

✅ 悄悄安装恶意软件

更可怕的是，包括OpenAI在内的多家权威机构已经明确承认：**提示词注入几乎不可能被彻底解决**。这是大模型架构本身的根本限制。

AI Agent需要连接云端大模型才能工作。当你让它处理文件、邮件、聊天记录时，这些数据都会被发送到云端API服务商。

这就像你把日记本交给一个陌生人整理。日记整理好了，但陌生人也读完了你所有的秘密。

国家知识产权局已经发出提醒：使用AI撰写专利申请文件，可能导致技术泄露。因为AI模型会学习你输入的内容。

2026年第一季度，AI Agent全球日均Token消耗量从30万亿飙升至180万亿。这个天文数字背后，是无数人的个人数据、商业机密在流动。

这是最容易被人忽视的风险。

AI Agent在执行任务时会频繁调用大模型API，一次对话可能占用上万Token。加上它特有的”心跳机制”——在你无操作时还会自动发送请求——一个月下来费用可能轻松过百美元，重度用户单日成本动辄上千美元。

开头说的那个程序员小哥，就是被这个”心跳机制”坑了。三天时间，账单1万2。

可能有小伙伴觉得：AI安全问题离我很远，我就是个普通用户，没什么东西可偷的。

这个想法很危险！

首先，AI Agent的能力远超普通APP。它不仅能读文件，还能执行系统命令、安装软件、调用API。一旦被攻破，影响远比丢个手机严重。

其次，攻击往往是无声无息的。你可能根本不知道自己的AI在被攻击——它在你睡觉的时候偷偷干活，在你不知情的时候把你的数据送出去。

第三，很多用户把API密钥明文存在配置文件里。这就好比把钱包密码写在银行卡背面——出了事就是大事。

而且，AI安全风险不是某一个产品的问题。OpenClaw、Hermes、豆包、千问……只要是AI Agent，都面临这些挑战。能力越强，风险越大——这是硬币的两面。

奇安信董事长齐向东说过五个字，道尽了企业的真实心态：想用不敢用。*

好，说了这么多风险，重点来了——我们怎么保护自己？

结合工信部安全指南和实际经验，给你整理了六条铁律，照着做就行：

只给AI完成工作所需的最低权限。不需要访问网络的插件，就禁止联网；不需要读写文件的插件，就禁止文件访问。

这就好比你雇保姆，只给她客厅钥匙就行了，没必要把保险柜密码也给她。

在Hermes里，可以通过配置文件限制各个skill的权限范围。

如果你的AI只在本地使用，就不要开放外网端口。

这就好比你不会把家门钥匙挂在门口的树上让任何人进来。

修改方法：编辑配置文件，把默认端口改成只监听localhost，或者在防火墙里限制来源IP。

每周检查一次AI的操作日志，看看它都做了什么。如果发现异常操作，立即排查。

这就好比你定期查看银行流水，及时发现盗刷。

虽然官方市场也有问题，但至少有基本审核。来路不明的插件，坚决不装。

安装前花两分钟读一下插件的代码——如果看到任何”Base64编码”、”执行shell”、”下载远程文件”的指令，立刻停止。

涉及商业机密、个人隐私的内容，不要让AI处理。或者使用本地部署的模型，确保数据不出你的电脑。

用专业术语说就是：能用本地模型的场景，就不要用云端API。

如果你是企业用户，不要直接用开源版。腾讯云、阿里云、蚂蚁数科都推出了企业级方案，有完善的权限管理、安全审计和行为监控。

多花一点钱，换来的是安心和专业的服务。

这是很多小伙伴关心的问题。我也认真研究了一下：

Hermes确实在安全性上领先一步。 它的核心框架目前只披露过少量中低危漏洞，远优于OpenClaw的271条安全公告记录。

但Hermes也不是完美的。它引入了全新的风险维度——自进化能力本身，就是最大的不确定性。当AI可以自主从经验中学习、修改自身行为时，谁来判断这些”进化”是安全的？

此外，Hermes的扩展面（第三方skill、插件、MCP服务器）同样可能成为攻击入口。

2026年被称作”AI Agent元年”。OpenClaw、Hermes、豆包、千问……这些工具确实极大提升了我们的效率，让每个人都能拥有7×24小时在线的AI助手。

但任何新技术都是双刃剑。它能帮你节省10倍时间，也能让你一夜损失10倍代价。

使用AI没有错，但裸奔用AI，就是在赌运气。

希望这篇文章能帮你系好安全带。记住这六条铁律：最小权限、关闭公网、定期审计、可信插件、数据本地、企业专业。

毕竟，数字世界的危险，往往比现实世界更隐蔽，也更致命。

觉得有用的话，转发给你身边用AI的小伙伴吧！大家一起安全地用AI！

🦄《不是AI淘汰你，是不学习的你！》

🦄《龙虾读书 | 清明散记》