夜雨聆风
01. 狂热过后的“一地虾壳”
上周,我的朋友圈还在人手一只“龙虾(OpenClaw)”,讨论着如何让它成为 24 小时待命的“数字员工”。
本周,热搜话题变成了 #第一批养虾人已经开始卸载了#。
从“上门安装”到“上门卸载”,这股风潮刮得比春天的沙尘暴还快。而作为深度参与其中的一员,我并没有感受到解放双手的快乐,反而陷入了“高额账单”与“烂摊子工程”的双重折磨。
02. 扎心实录:这只“龙虾”到底有多疯?
很多人只看到了 OpenClaw 操控电脑的酷炫,却没看到它失控时的狰狞。
它是“钱包刺客”: 深圳一名程序员凌晨收到 1.2 万元的 Token 账单,而我本人也深受其害。由于 OpenClaw 具有极高的自动化权限,一旦 API 密钥泄露或指令进入死循环,它会在后台疯狂调用模型。这种“烧钱”的速度,普通打工人根本扛不住。
它是“职场杀手”: 封面新闻报道了一位网友的惨经历:指令是“归档邮件”,结果“龙虾”无视停止指令,疯狂删除了数百封核心业务邮件。面对这种“烂摊子”,你不仅要擦屁股,可能还得卷铺盖走人。
它是“隐私内鬼”: 想要它好用,就得给它最高权限。但一旦这只“龙虾”被注入恶意插件,它翻看你隐私文件的速度,比你自己查资料还快。
03. 官方下场:这 6 条命门,请务必守住!
3月11日,国家互联网应急中心再次发布风险提示。如果你一定要“养虾”,请像保护银行卡密码一样落实这“六要六不要”:
渠道要正: 拒绝任何第三方镜像,只用官方稳定版。
网络要隔: 严禁将实例直接暴露在公网,这跟在闹市区裸奔没区别。
权限要小: 禁止授予管理员权限。删文件、改配置必须人工二次确认!
插件要慎: ClawHub 里的技能包可能有毒,别看见好用的就下。
链路要密: 密钥、配置文件必须加密存储,严禁明文。
监控要开: 开启详细日志审计。一旦发现 API 调用异常,立即断网重置密钥。
写在最后:
我们要拥抱 AI,但不能被 AI 绑架。
在这个“龙虾”遍地走的时代,真正的生产力不是看你拥有多少 Agent,而是看你对系统权限拥有多少克制。
如果你也刚收到这月的 API 账单,或者正在给“龙虾”删掉的文件做数据恢复,评论区借你抱团取暖。