夜雨聆风此前,OpenClaw凭借自主执行办公任务、自动整理资料、实时追踪热点等功能,迅速从极客圈层蔓延至全民范围,掀起一股“养龙虾”热潮。无论是个人希望借助它提升工作效率,还是小微企业尝试用它降低运营成本,都纷纷跟风安装,甚至催生了上门安装服务。
然而,这股热潮背后,是被很多用户忽视的安全漏洞——OpenClaw为实现自主执行功能,需要获取设备极高访问权限,却缺乏完善的安全防护机制,为用户埋下了巨大隐患。
近日,上门卸载“龙虾”再次成为新的热门业务,闲鱼、小红书等平台上,相关服务订单激增,收费从几十元到上百元不等。
这一现象的背后,是因为这款AI工具,暗藏诸多安全隐患,不少用户因忽视风险而遭遇财产损失、隐私泄露等问题,不得不寻求专业人员上门卸载。
OpenClaw的危害性并非空穴来风,近期已出现多起真实安全事件。有用户通过非官方渠道安装OpenClaw后,发现自己的API Token被窃取,原本日均20元的Token消耗飙升至几百上千元,同时电脑中的聊天记录、银行卡信息等隐私数据被非法获取,损失上万元。经查,该用户安装的版本存在漏洞,被攻击者利用窃取了核心信息。
还有网友在使用OpenClaw清理邮箱时,多次紧急叫停操作,却始终无法阻止工具运行,最终导致所有工作邮件被全部清空,其中包含大量重要商务资料,造成了不可挽回的损失。这一事件更是暴露了OpenClaw权限失控的问题,即便专业人士操作,也可能因工具算法“幻觉”或指令误解,遭遇意外破坏。
更有用户为丰富OpenClaw功能,从非官方平台下载了一款伪装成“PDF工具”的插件,安装后电脑出现异常卡顿,后续发现设备已被黑客远程控制,沦为“肉鸡”,电脑中的核心文件被篡改,甚至被用于发起横向网络攻击。据统计,仅ClawHub平台上,就有数百个恶意插件被批量上传,极具欺骗性。
这些实例警示我们,“养龙虾”热潮背后的安全风险不容忽视。面对新兴技术工具,我们应保持理性,切勿盲目跟风安装。首先,如需使用OpenClaw,务必从官方渠道下载最新版本,该版本大幅收紧了默认权限,采用“最小权限原则”,从根源上降低了安全风险。其次,严格控制工具权限,根据自身需求选择合适的权限模式,避免授予文件读写、代码执行等高危权限,不将管理接口暴露在公网上。
此外,要谨慎使用各类插件,仅从官方可信渠道获取,安装前仔细核查安全性,拒绝使用要求输入密码、执行陌生脚本的插件;同时定期查看操作日志,及时发现异常行为。对于普通用户而言,若没有专业技术基础,尽量不要安装,现有常规AI工具已能满足日常办公需求,避免因操作不当引发安全问题。
后记: