夜雨聆风不到一周前,腾讯大厦门口还排着近千人的长队,只为领养一只“龙虾”。如今,第一批“养虾人”已经开始疯狂卸载——不是因为不爱了,而是实在“养不起”也“不敢养”了。
3月10日,#第一批养虾人已经开始卸载了#冲上热搜,引发全网热议。有网友反馈,“养龙虾”过程中出现了乱删邮件、隐私泄露等问题。更戏剧性的是,二手交易平台上,继“上门装虾”业务火爆之后,“上门卸虾”服务已经悄然上线——远程卸载199元,上门卸载299元,商家承诺“安全彻底,无残留”。
从“排队领养”到“花钱删除”,这场全民AI狂欢的转折来得太快,快到让人来不及反应。那只曾被寄予厚望的“数字牛马”,怎么就变成了人人喊打的“吞金神兽”?
先来看看第一批“养虾人”经历了什么。深圳一名程序员分享了他的噩梦:安装OpenClaw的第三天,因API密钥被盗,凌晨收到了高达1.2万元的Token账单。由于OpenClaw具有极高的自动化权限,一旦密钥泄露,AI便可能在后台疯狂调用模型,让用户在不知不觉中背负巨额消费。
这种“Token黑洞”并非个例。有博主发帖称:“周末在自己电脑部署了OpenClaw,一晚上就问几句好,让他帮我查了一些数据,100万token就没了,还欠费了……”市场甚至流传着“月薪两万,养不起一只龙虾”的说法。对于大多数日常工作量并不饱满的用户来说,这种“水电费”级别的开支已经远远超过了其能带来的边际效益。
比烧钱更可怕的,是失控。Meta超级智能实验室AI对齐与安全总监Summer Yue近日遭遇OpenClaw失控事件,个人邮箱中200多封邮件被删除。她在X上写道:“没有什么比命令OpenClaw‘确认后再操作’,然后眼睁睁看着它以极快的速度删除收件箱更让人崩溃。”
国内网友同样没能幸免。有网友在网络上分享自己使用OpenClaw的经历:他将工作邮箱交给OpenClaw打理,指令是“检查收件箱,提出你想归档或删除的邮件”,还特意附加了“未经许可不要有任何操作”的限制。然而,“龙虾”无视该网友连续发出的“停下来”指令,疯狂地删除了数百封邮件。
公安部网络安全等级保护中心近日发文提醒,OpenClaw是一款典型的“执行型智能体”,其核心能力不在生成文本,而在执行操作。这意味着,它的安全风险已从内容安全扩展为真实的系统级威胁。
工业和信息化部网络安全威胁和漏洞信息共享平台早在2月5日就发布过关于防范OpenClaw开源AI智能体安全风险的预警提示。3月10日,国家互联网应急中心再次发布关于OpenClaw安全应用的风险提示,明确指出OpenClaw默认安全配置脆弱,易被攻击者获取系统完全控制权,目前已出现提示词注入、误操作、功能插件投毒、安全漏洞四类严重安全风险。
风险提示指出,网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,就可能导致其被诱导将用户系统密钥泄露;OpenClaw可能会错误理解用户指令,将电子邮件、核心生产数据等重要信息彻底删除;多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在安全风险,安装后可执行窃取密钥、部署木马后门软件等恶意操作。
更糟糕的是,Shodan平台监测显示,全球有超过十几万个OpenClaw实例直接暴露在公网上,处于零认证的“裸奔”状态。GitHub上流传的部分伪装安装包和ClawHub插件市场中约12%的skills被植入了恶意代码,旨在窃取用户的SSH密钥和浏览器密码。
中国信息通信研究院专家再次提示,尽管“龙虾”智能体已经更新到最新版本,能修复已知的安全漏洞,但并不意味着完全消除安全风险。网络安全是动态变化的,黑客攻击手法也在不断迭代,不能把“打补丁”和“升版本”当成“一劳永逸”的安全保障。
在这场狂欢中,最清醒的永远是那些“卖铲子”的人。当大家还在为如何配置模型头大时,各种安装服务、代部署服务已经赚得盆满钵满。有从事该服务的人透露,一天内可以接到30人左右的询单,有网友称靠此业务赚到26万元。而随着后悔的人也越来越多,一种新的生意诞生了——“上门卸载OpenClaw仅需299”。
从“手把手教你养龙虾”到“手把手帮你杀龙虾”,卖铲子的人完成了一次完美的闭环收割。有网友调侃:“装虾499,卸虾299,这一进一出,相当于租了几天AI玩,花了两百块体验费。”
对于当下这股AI热潮,有网友认为,面对新兴AI工具需保持理性,避免盲目跟风。还有网友呼吁,应尽快出台相关法律法规,对AI技术的开发、使用进行规范。
专家建议,在使用OpenClaw等AI智能体时,必须坚持“最小权限、主动防御、持续审计”的原则:使用官方最新版本,切勿使用第三方镜像或旧版;严格控制互联网暴露面,不要将实例暴露到公网;坚持最小权限原则,严禁使用管理员权限的账号;谨慎使用技能市场,拒绝任何可疑的技能包。
从排队安装到排队卸载,不到一周时间,这场全民“养虾”狂欢就完成了从追捧到幻灭的完整周期。它留给我们的,除了那些被删除的邮件和被盗刷的账单,还有一个值得深思的问题:当下一波AI热潮来临时,我们是继续被FOMO(错失恐惧症)驱使着盲目跟风,还是先问清楚自己——我真的需要它吗?