2026年初爆火的开源AI智能体（俗称“龙虾AI”）,以下是已公开的真实毒害/安全事故案例：

一、提示词注入：隐私/密钥泄露

•AI公司CEO信息泄露（3月10日）

3000人群聊中，CEO将OpenClaw拉入群，被诱导性提示词攻击，5分钟内泄露IP、真实姓名、公司营收、系统日志，下达终止指令无效。

•深圳程序员API被盗

安装3天，API密钥被窃取，后台疯狂调用模型，3天产生1.2万元Token账单，用户毫不知情。

•国家网安中心预警

黑客在网页/文档埋恶意指令，OpenClaw读取后自动泄露SSH私钥、API密钥、账号密码，毫秒级入侵。

二、插件投毒：资产洗劫

•个人开发者25万美元被转空

安装“加密钱包追踪器”插件（被植入恶意代码），OpenClaw被篡改逻辑，未经验证转走25万美元加密货币，交易不可逆无法追回。

•插件市场供应链污染

热门插件被批量投毒，超1000人下载，23名中小微企业主资产受损。

三、误操作/AI幻觉：数据毁灭

•Meta安全总监邮件被删

用OpenClaw整理邮件，200+封核心邮件被误删，多次终止无效，日志缺失无法恢复。

•本地文件被清空

执行“清空聊天记录”时，误删重要工作文件，无备份无法追溯。

四、端口暴露：远程接管/挖矿

•5分钟裸奔：电脑被陌生人连139次

开启VNC远程桌面（无密码暴露公网），5分钟被黑客自动扫描接管，后续谷歌云账户被盗刷、数据被窃取。

•北京开发者被挖矿

设备被植入挖矿程序，显卡24小时满载，月电费暴涨3000+元，硬件加速老化。

五、链上交易/地址投毒：资金损失

•AI失忆转走45万美元

OpenClaw会话崩溃失忆，将打赏300美元误转为25万美元（后升值至45万），无法追回。

•地址投毒：2万美元打水漂

授予自动交易权限，抓取错误地址，将2万美元打入黑客账户。

六、官方风险总结（国家网安中心）

1.提示词注入：无输入过滤，易被诱导泄密

2.插件投毒：社区插件无审核，易藏木马

3.权限过高：系统级操作，误操作不可逆

4.端口暴露：默认弱安全，易被远程入侵

OpenClaw 安全部署与使用极简SOP（必做）

一、安装前：隔离+最小权限（防系统沦陷）

•物理/环境隔离（必做）

◦用独立普通用户运行，禁止管理员/root权限

◦优先Docker/虚拟机，不与主力系统混跑

◦不用主力机，用备用机/旧电脑专门运行

•只装官方版

◦从GitHub官方仓库下载，拒绝第三方修改版/破解版

◦开启自动更新，及时打安全补丁

二、部署配置：锁死端口+强认证（防远程入侵）

•端口绑定本地（必做）

只监听127.0.0.1，绝不暴露公网/内网穿透

•强认证Token

生成32位强Token，不泄露给任何人

•安全审计（首次必跑）

按提示修复所有高危风险

三、敏感信息：绝不硬编码（防API/密钥泄露）

•用.env文件存密钥，不写进配置/代码

•权限收紧：.env设600，仅本人可读

•禁止在聊天/提示词里输入密码、私钥、API Key

四、插件/技能：零信任审核（防投毒）

•三不原则

◦不装非官方/不明来源技能

◦不装需要输入密码/执行shell/解压ZIP的技能

◦不装要求全盘文件访问/系统权限的技能

•安装前必做

◦看代码：检查是否有curl/ssh/rm/转账等高危操作

◦小范围测试：先在沙箱跑，不直接给生产权限

五、日常使用：权限最小+人工确认（防误操作/幻觉）

•权限只给必要

◦文件访问：仅开放工作目录，禁止全盘

◦操作权限：关闭自动删除/修改/转账，必须人工二次确认

•提示词安全

◦不接收陌生人/群内的诱导式提示词

◦不打开可疑链接/文档，防止提示词注入

•日志审计（必开）

◦开启详细日志，定期检查异常操作（如陌生API调用、文件删除）

◦发现异常：立即断网+停止服务+改密码+重装

六、高危红线（绝对禁止）

1.❌ 用管理员/root账号运行

2.❌ 暴露端口到公网/内网穿透

3.❌ 安装不明技能/插件

4.❌ 自动执行转账、删文件、改系统配置

5.❌ 在主力机/生产环境无隔离运行

七、应急处理（出事立刻做）

6.断网→ 停止OpenClaw服务 → 改所有密码/密钥

7.扫描恶意程序→ 备份数据 → 重装系统/容器

8.上报CNCERT/网安部门