夜雨聆风一个周末的大反转
"上门安装 OpenClaw 包会使用,499 元。"
"上门彻底卸载 OpenClaw,仅需 299 元。"
这个戏剧性的反转,只发生在几天之内内。
3 月 10 日晚间,工信部、国家互联网应急中心、央视新闻几乎同时发布提示,指出开源 AI 智能体 OpenClaw(因图标为龙虾,被广泛称作"龙虾")存在严重安全风险。紧接着,券商、银行、高校、国企纷纷发文,禁止员工在工作设备上安装使用。
一时间,这个春节后爆火的"龙虾"从人人争养的"效率神器",变成了人人喊打的"安全隐患"。
为什么这个曾被寄予厚望的 AI 助手,会遭遇如此冰火两重天?单位禁用的背后,到底在担心什么?
谁在禁止?禁止了什么?
禁令来得又快又猛。
金融机构率先行动。至少两家券商在内部发布通知,禁止员工在公司分配的台式电脑、笔记本电脑、生产及测试服务器等所有公司资产环境中,安装和使用任何版本的 OpenClaw 程序。更严格的是,若员工在个人电脑上安装了 OpenClaw,该设备将被禁止接入公司网络环境。
银行的情况类似。据彭博社报道,包括大型国有银行在内的金融机构,已收到内部通知,出于安全考虑不得在办公设备上安装 OpenClaw。部分机构还要求,已安装的需要向上级报告,并视情况进行卸载处理。
高校的反应更为激烈。珠海科技学院信息数据管理处直接下令:全校教职工严禁在任何办公设备、教学终端及校园网络环境下安装、运行、使用 OpenClaw。安徽师范大学、江苏师范大学、华中师范大学等高校也相继发布预警通知,要求师生认清安全隐患,避免在校园网设备上使用。
政府机关和国企也在行动。知情人士透露,一些政府机构已经明确禁止员工在办公电脑及连接公司网络的个人手机上安装 OpenClaw 应用。
这些禁令并非空穴来风。一组数据触目惊心:
• 全球 82 个国家超过 42,000 个独立 IP 地址暴露了 OpenClaw 控制面板 • 约 50,000 个实例存在远程代码执行(RCE)漏洞 • 攻击者可以直接控制这些宿主系统,用户账户面临被接管的风险
为什么"龙虾"这么危险?
技术层面的致命缺陷
OpenClaw 的安全问题,不是简单的 bug,而是架构层面的硬伤。
最严重的是 CVE-2026-24763 漏洞,CVSS 评分高达 7.8。这个漏洞允许恶意插件突破 OpenClaw 的沙箱限制,直接向接口注入任意系统命令。对于涉及核心业务流的场景——比如大规模算力中心的运维调度、底层硬件架构的管理——一旦该漏洞被利用,攻击者即可获取高级权限,整个系统的数据与物理安全将面临灾难性打击。
除了已知漏洞,OpenClaw 还面临两大攻击路径:
1. 间接提示注入
攻击者可将恶意指令隐藏在网页或文件中,当 OpenClaw 读取这些内容时,就会被操控执行攻击者的意图。更可怕的是,攻击者还可以篡改 AI 的持久记忆,使其在后续运行中持续执行恶意指令。
2. 技能恶意软件
OpenClaw 可从互联网下载并运行代码以扩展功能,这一机制成为天然的攻击入口。攻击者通过投递含恶意代码的"技能"模块,就能实现远程控制或植入后门。更糟糕的是,官方早期仓库中残留的恶意代码样本,至今仍被部分用户下载使用。
使用层面的不可控风险
技术漏洞只是问题的一部分,更大的风险来自使用方式。
隐私泄露风险极高。OpenClaw 要实现跨应用操作,就必须获取用户的账号、数据读写甚至 Root 级别的底层操作权限。聊天记录、账号密码、邮件内容、文件数据等个人信息均以明文形式存储在本地。一旦配置不当或被黑客入侵,敏感信息可能被瞬间窃取。
自主执行易失控。OpenClaw 存在意图误解、指令执行不精准等问题。面对模糊指令,它会"自行脑补"并操作。已有案例显示,OpenClaw 曾无视用户限制、批量删除邮件、误删重要文件。而它的安全审计整体通过率和核心维度安全通过率,都极低。
权限边界模糊。OpenClaw 具备持续运行、自主决策、调用系统和外部资源的特性,但缺乏有效的权限控制和审计机制。这意味着,它很容易被指令诱导或恶意接管,进而执行越权操作。
技术门槛与风险不匹配
更深层的问题在于,OpenClaw 根本不是面向普通用户的成熟产品。
它本质上是面向开发者的底层框架,需要掌握命令行操作、API 密钥管理等专业知识。但现实是,大量普通用户通过非官方"代装"服务部署,完全不懂权限配置,反而放大了安全风险。
正如一位券商首席信息官所言:
"远不是消费级产品,全民热有点过早。"
禁令背后的深层原因
为什么这些单位要"一刀切"地禁止?
企业的安全底线
企业的担忧并非过度反应。
OpenClaw 需要最高读写权限,其行为又难以预测。在企业内网允许员工"私养龙虾",无异于主动安插一个具有最高权限且行为不可控的"黑盒"。
可能造成的损失难以估量:
• 核心业务数据泄露 • 商业机密外泄 • 整个业务系统瘫痪 • 对金融、能源等关键行业影响巨大
正如国家互联网应急中心在风险提示中指出的:可导致核心业务数据、商业机密和代码仓库泄露,甚至会使整个业务系统陷入瘫痪。
监管的态度
官方的态度很明确:不是否定 AI,而是提醒安全边界。
工信部网络安全威胁和漏洞信息共享平台指出,OpenClaw 存在多项高中危漏洞。中国信息通信研究院专家提醒,尽管最新版本已修复部分漏洞,但安全风险并未完全消除。
核心信息很清晰:智能化浪潮势不可挡,但必须在安全框架下应用。
如何在效率与安全间找到平衡?
禁令不是终点,而是起点。关键在于如何在拥抱 AI 与保障安全之间找到平衡。
给企业的建议
制定 AI 使用政策。明确哪些场景可用、哪些场景禁止,建立白名单与审批机制。不是一刀切地禁止所有 AI 工具,而是有选择地开放、有底线地管理。同时,加强员工安全意识培训,让大家理解为什么要有这些限制。
技术管控手段。如果确需使用,应在专用虚拟机或容器中隔离部署,严格限制权限范围,建立持续的监控与审计机制。绝不能在核心生产系统中直接部署。
给员工的建议
理解禁令的必要性。单位的禁令不是阻碍创新,而是保护安全。个人信息泄露的后果,可能远比你想象的严重。
合规使用的边界。个人电脑可以谨慎尝试,但要避免连接公司网络,不授予敏感数据权限。如果对技术不熟悉,不要盲目跟风安装。
提升自身竞争力。学习 AI 工具的正确使用方法,理解 AI 的能力边界与风险,在合规前提下拥抱技术。这才是真正有价值的"效率提升"。
拥抱 AI,但要有底线
OpenClaw 的遭遇,折射出一个更深层的问题:当 AI 从"回答问题的聊天机器人"进化成"自动化执行的工具",我们准备好了吗?
AI 是工具,不是洪水猛兽。但强大的能力,需要匹配的安全意识。企业的禁令不是否定 AI,而是为未来铺路——只有建立起严格的安全框架,AI 才能真正发挥价值。
理解单位的安全考量,在合规前提下探索 AI,共同构建安全的 AI 应用生态。这,才是我们应有的态度。
正如微软在安全警告中指出的:
在拥抱 AI 自动化能力的同时,必须同步构建严格的隔离、权限与监控框架。否则,强大的执行能力,也可能成为攻击入口。
从"养龙虾"到"卸龙虾",这个反转来得快,但留给我们的思考,才刚刚开始。