夜雨聆风
【2026马年大吉·商路亨通!】AI洞察马年数智商业发展与经营趋势
全网爆火的 AI 智能体OpenClaw(小龙虾),刚迎来全民 “养虾” 狂欢,就被官方紧急 “泼冷水”!昨日,国家互联网应急中心(CNCERT)正式发布《关于 OpenClaw 安全应用的风险提示》,直指这款工具因高权限、弱配置,已出现多起安全事故。前几天还在抢着付费安装,如今 #第一批养虾人已经开始卸载了# 冲上热搜,删邮件、泄密钥、天价账单、设备被控…… 你跟风入手的 “效率神器”,可能正在变成你的 “数字定时炸弹”。
从 “一装难求” 到 “花钱卸载”,OpenClaw 的快速反转,不仅暴露了这款 AI 工具的多重安全隐患,也为新兴 AI 智能体的发展敲响了安全警钟。
一、一夜爆红的 “小龙虾”:从科技圈火到全民跟风
OpenClaw(曾用名 Clawdbot、Moltbot,网友昵称 “小龙虾”)是一款能自主执行任务的开源 AI 智能体。它能听懂自然语言,直接操控电脑完成文件管理、邮件处理、数据整理等操作,主打 “全自动办公”,精准戳中大众效率需求。
凭借强大的自主能力,它迅速火遍全网:
国内主流云平台纷纷上线一键部署服务,大幅降低使用门槛; 小米、腾讯、字节跳动等科技企业相继推出同类产品; 深圳、无锡、常熟等地出台政策支持,打造 “龙虾服务区”; 二手平台上门安装报价500-1000 元,依然供不应求,有人靠安装几天赚 26 万。
但很少有人注意到,为了实现 “自主执行”,OpenClaw 被授予了访问文件、读取密钥、调用 API、安装插件等高阶系统权限 —— 能力越强,风险越大,这也为后续的安全危机埋下了伏笔。
二、官方重磅预警!国家互联网应急中心点名四大致命风险
就在全民跟风 “养虾” 时,国家互联网应急中心发布权威风险提示,明确指出:因不当安装与使用,OpenClaw 已暴露出四类严重安全风险,可直接导致系统被控、数据泄露、财产损失。
1. 提示词注入风险
攻击者在网页、邮件里隐藏恶意指令,诱导 OpenClaw 读取后,会自动泄露系统密钥、API 密钥等核心信息,一封特殊构造的邮件,5 分钟就能盗走你的设备控制权。
2. 误操作风险
AI 错误理解指令,会不可逆地删除邮件、核心生产数据、重要文档,即便用户发出 “停止” 指令也难以终止,只能物理断网止损。
3. 功能插件投毒风险
其插件市场 ClawHub 中,大量第三方插件被植入恶意代码,安装后会窃取密码、部署后门,让你的电脑变成黑客操控的“肉鸡”。
4. 安全漏洞风险
截至目前,OpenClaw 已公开82 个高中危漏洞,包含超危漏洞 12 个,攻击者可通过恶意链接毫秒级控制你的系统,隐私与数据毫无防护。
官方明确强调:OpenClaw 默认配置脆弱,极易被攻破,个人、企业、政务系统均面临极高威胁。
三、现实集体翻车:从 “一装难求” 到 “花钱卸载”
官方预警并非空穴来风,第一批 “养虾人” 已经用血泪教训验证了风险:
- 经济损失
:有用户一夜消耗 100 万 Token 欠费;深圳程序员因 API 密钥被盗,收到1.2 万元天价账单; - 数据灾难
:多位用户反馈邮件、工作文件被批量删除,无法恢复; - 安全恐慌
:全球超 4.29 万个 OpenClaw 实例在公网 “裸奔”,随时可能被黑客入侵。
热潮彻底反转,二手平台的生意从“高价安装”直接转向“低价卸载”,远程 / 上门卸载服务报价 29.9-299 元,主打 “彻底清理、安全无残留”,背后是用户满满的焦虑。
从花上千块抢着装,到花钱求卸载,短短几天,OpenClaw 完成了从 “神器” 到 “雷区” 的转变。
四、官方安全指南:必看!用与不用都要牢记
针对严峻风险,国家互联网应急中心给出4 条硬性防护要求,无论个人还是企业,都请严格遵守:
- 不暴露公网端口
:严禁将 OpenClaw 默认管理端口直接开放到公网,做好访问认证与环境隔离; - 加强凭证管理
:不明文存储密钥、API 信息,开启操作日志审计; - 严控插件来源
:禁用插件自动更新,只安装官方可信、签名验证的插件,拒绝第三方未知插件; - 及时更新补丁
:只用官方最新版本,第一时间修复已知漏洞。
中国信息通信研究院专家补充提醒:
坚持最小权限原则,不使用管理员账号部署,高危操作必须二次确认; 处理隐私、支付、工作核心数据时,坚决不使用OpenClaw; 党政机关、企事业单位应审慎使用,发现安全事件立即上报。
五、写在最后:AI 时代,安全永远比效率更重要
OpenClaw 的 “过山车” 式发展,并非个例,而是新兴 AI 智能体技术发展过程中必然面临的问题。从 ChatGPT 到各类 AI 智能体,人工智能的发展正从 “语言交互” 向 “行动执行” 升级,其自动化、智能化的能力确实能提升生产生活效率,但更高的权限、更深度的系统介入,也意味着更大的安全风险。
这场 “龙虾危机” 也引发了网友的广泛讨论,有人呼吁 “面对新兴 AI 工具需保持理性,避免盲目跟风”,也有人提出 “应尽快出台法律法规,规范 AI 技术的开发与使用”。事实上,AI 智能体的发展,从来不是 “效率至上” 的单行道,而是技术创新与安全防护的双向奔赴:开发者需要在设计阶段强化安全架构,完善权限管控、漏洞修复机制;平台需要加强插件市场、安装渠道的审核,从源头遏制恶意行为;监管部门则需要加快相关法律法规的制定,明确开发、使用、运营各方的责任;而用户也需要提升安全意识,不随意授予高权限,理性看待 AI 工具的能力边界。
从 “养龙虾” 的狂欢到 “卸龙虾” 的焦虑,OpenClaw 的事件为整个 AI 行业上了生动的一课:人工智能的发展,永远要把安全放在首位。只有在安全的框架下,技术的红利才能真正被释放,而这,需要开发者、平台、监管部门和用户的共同努力。
|品牌客户感谢信 >>
齐心攻坚,能打硬仗!奈斯派索(Nespresso)向商派项目组发来感谢信
“背靠商派,深感踏实!”商派项目组再获客户"佛罗伦萨小镇"发来的感谢信
商派连续5年支持“Apple秋季新品发布会”,喜获苹果中国的感谢信
【新年送福利】商派两款经典企业级产品ECShopX与ONEX OMS正式免费开源,100%无加密!
