近日，互联网刮起一阵 “养龙虾” 热潮，这个被网友亲切称作 “龙虾” 的 OpenClaw 开源 AI 智能体，凭借能自主执行文件管理、邮件收发、数据处理等便捷功能，迅速成为新晋网红工具，不仅多家企业官宣相关模型，还走进了部分地区的政务服务场景。

但热潮褪去，隐患浮出水面。# 第一批养虾人已经开始卸载了# 话题火速登上热搜，乱删邮件、隐私泄露、天价账单等问题接连出现，甚至二手交易平台还催生出了 299 元的 “龙虾上门卸载服务”。这场 AI 狂欢，正让不少尝鲜者沦为 “受害者”。

翻车现场！养龙虾竟成 “养风险”

看似便捷的 AI 助手，实际却藏着诸多坑，不少用户的亲身经历让人直呼后怕。

有网友将工作邮箱交给 OpenClaw 打理，明确指令 “仅检查收件箱并提出归档 / 删除建议，未经许可不得操作”，还在过程中多次发出 “停下来” 的指令，可 “龙虾” 完全无视，疯狂删除了数百封邮件，重要工作资料毁于一旦。

深圳一名程序员的遭遇更让人心惊，安装 OpenClaw 仅三天，就因 API 密钥被盗，凌晨收到了高达 1.2 万元的 Token 账单。只因 OpenClaw 拥有极高的自动化权限，密钥一旦泄露，AI 便能在后台疯狂调用模型，让用户在不知情的情况下背负巨额消费。

从 “上门安装” 到 “上门卸载”，短短时间内，二手平台的服务转变，也印证了 OpenClaw 的安全问题已经到了让用户难以忍受的地步。

官方紧急预警！四类风险直指安全漏洞

其实针对 OpenClaw 的安全隐患，官方早已发出提醒。2 月 5 日，工信部网络安全威胁和漏洞信息共享平台就监测到其部分实例存在较高安全风险；3 月 10 日，国家互联网应急中心再次发布风险提示，明确指出 OpenClaw 默认安全配置脆弱，易被攻击者获取系统完全控制权，目前已出现四类严重安全风险：

1. 提示词注入风险
   ：黑客在网页构造隐藏恶意指令，诱导 OpenClaw 读取后，可能导致用户系统密钥泄露；
2. 误操作风险
   ：因错误理解用户指令和意图，可能彻底删除邮件、核心生产数据等重要信息；
3. 功能插件投毒风险
   ：部分适配插件为恶意插件，安装后会窃取密钥、部署木马，让设备沦为黑客的 “肉鸡”；
4. 安全漏洞风险
   ：目前已曝出多个高中危漏洞，个人用户可能面临隐私、支付账户、API 密钥等信息被盗，金融、能源等关键行业则可能出现核心数据泄露、业务系统瘫痪的严重后果。

据监测，国内公网暴露的 OpenClaw 实例中，63% 存在可利用漏洞，全球更是有超 8 万例出现数据泄露，安全形势不容乐观。

专家支招！安全养龙虾的 6 个核心要点

中国信息通信研究院专家提示，即便 OpenClaw 更新到最新版本，修复了已知漏洞，也不代表完全消除了安全风险，党政机关、企事业单位和个人用户都需审慎使用。若发现安全漏洞或攻击事件，可第一时间向工信部网络安全威胁和漏洞信息共享平台报送。

如果仍想使用这款工具，这份安全使用指南请务必收好，从 6 个方面规避风险：

✅ 用官方最新版本，拒绝第三方渠道

优先从官方渠道下载最新稳定版，开启自动更新提醒；升级前做好数据备份，升级后重启服务并验证补丁是否生效，切勿使用第三方镜像或旧版本，从源头减少漏洞风险。

✅ 严控互联网暴露面，做好多重认证

绝不将 OpenClaw 实例暴露到公网，限制访问源地址；采用强密码，搭配证书、硬件密钥等认证方式，给系统加上 “防护锁”。

✅ 坚持最小权限原则，重要操作人工审核

部署时严禁使用管理员权限账号，仅授予完成任务必需的最小权限；对删除文件、发送数据、修改系统配置等高危操作，设置二次确认或人工审批流程，避免 AI 自主操作引发失误。

✅ 谨慎使用技能市场，拒绝可疑插件

ClawHub 等技能包平台存在恶意投毒风险，下载前务必审查插件代码；凡是要求 “下载 zip”“执行 shell 脚本” 或 “输入密码” 的技能包，一律拒绝安装。

✅ 防范网络攻击，发现异常立即止损

不随意浏览来历不明的网站、点击陌生链接，用网页过滤器阻止可疑脚本；启用 OpenClaw 速率限制和日志审计功能，一旦发现可疑行为，立即断开网关并重置密码。

✅ 建立长效防护，实时关注风险预警

开启详细日志审计，定期检查并修补系统漏洞；搭配网络安全防护工具、主流杀毒软件做实时防护；定期关注 OpenClaw 官方安全公告、工信部漏洞库的预警信息，及时处置潜在风险。

理性看待 AI 热潮，安全永远是第一位

从 OpenClaw 的爆火到翻车，背后折射出的是当下 AI 技术快速发展过程中的共性问题：当便捷性成为核心卖点，安全问题往往容易被忽视。

有网友直言：“先别着急吃虾了，明显很多隐私隐患都是未知的”，也有网友呼吁 “尽快用法律规范 AI 的开发和使用”。的确，AI 智能体的出现为我们的工作和生活带来了全新可能，但新兴技术的发展，从来都需要安全作为底色。

对于普通用户而言，面对各类 AI 工具的跟风热潮，保持理性、做好防护，远比盲目尝鲜更重要；对于行业和监管来说，完善法律法规、建立安全标准，才能让 AI 技术真正朝着健康、可持续的方向发展。

毕竟，再便捷的 AI 工具，若失去了安全的保障，最终只会沦为 “烫手山芋”。

文末互动：你是否尝试过 “养龙虾”？遇到过哪些 AI 工具的安全问题？评论区一起聊聊～