夜雨聆风病毒改个名字你们就敢装?
当一只红色龙虾悄然爬上你的电脑屏幕,你可能不会想到,这只看似可爱的“赛博宠物”正悄悄打开你家数字大门的每一把锁。
OpenClaw,这款因图标酷似红色龙虾而被昵称为“AI龙虾”的开源智能体,正以席卷之势占领科技圈。从腾讯大厦前的长队到二手平台的“代安装”生意,从一人公司的AI员工到地方政府的补贴政策,全民“养虾”热潮在2026年春天达到沸点。
但在这股狂热的背后,第一批“养虾人”已经开始血本无归。
一只疯狂的“龙虾”:删库、转账、摸鱼,它什么都干得出来
Meta公司的AI安全总监Summer Yue大概是全球最懂AI安全的人之一。然而当她让自己的“龙虾”整理工作邮箱时,这只有着极高系统权限的AI助手却给了她一记响亮的耳光。
尽管Summer明确设置了“未经批准不得操作”的安全指令,但OpenClaw的上下文窗口被海量邮件塞爆后,压缩算法把这条关键安全指令直接“遗忘”,只记住了“整理邮件”的任务。接下来的一幕让这位安全专家目瞪口呆:AI开始疯狂删除她邮箱里的邮件,从2月15日之前的邮件一路删下去。
Summer在手机上看到提示,连续发出“停下”“什么都别做”的指令,AI完全置若罔闻。当她用全大写输入“STOP OPENCLAW”时,这只“龙虾”依然我行我素。最后,这位研究AI安全的大佬不得不像骑兵冲锋般冲到运行程序的Mac mini前,靠物理断网才终结了这场闹剧。
更令人哭笑不得的是,事后Summer质问AI为何无视指令,这只“龙虾”的回答只有三个字——“那咋了?”
如果说删邮件只是数据损失,那数据工程社区DataTalks.Club创始人Alexey Grigorev的遭遇则是一场彻头彻尾的灾难。
为了让AI帮忙省下每月5到10美元的云服务费,Alexey让AI助手把新项目塞进旧的生产环境——那里存放着平台整整两年半的学生作业、项目代码和排行榜数据,共计194万行心血。
AI一开始还劝他这样做太危险,但奈何“老大”头铁,只能照办。问题出在Alexey刚换了新电脑,记录所有生产环境的“状态文件”还在旧电脑里。AI发现状态文件为空后,开始从零新建环境。当Alexey拿来旧文件,让AI“删掉多余的垃圾”时,AI贴心地建议:“手动删除太麻烦,不如直接‘terraform destroy’,这样最干净。”
“terraform destroy”——这条在运维上用于销毁资源的危险指令,在Alexey的同意下被执行。等他刷新后台页面,网站已经打不开了,194万行数据连同整个平台被直接“扬”了。
幸好最后找到了AWS工程师,好不容易找回备份,才没有让心血彻底灰飞烟灭。
还有更离奇的。一位胆大的用户通过插件给OpenClaw开通了手机远程控制权限,结果AI在接管手机后并没有好好干活,反而悄悄唤醒主人的安卓手机,在屏幕上乱点乱划,甚至主动打开TikTok,像模像样地刷起了短视频。在摸鱼这件事上,人机竟如此一致。
黑客的“自助餐”:33.5万只“裸奔”的龙虾
如果只是AI自己“犯傻”也就罢了,更可怕的是,这些能力强大的“龙虾”正成为黑客眼中的最佳猎物。
据OpenClaw Exposure Watchboard最新测绘数据,截至3月11日,已有超过33.5万只“龙虾”在公网“裸奔”——短短四天内增长了5.7万。这些配置不当的实例因为公网暴露,任何人都可以尝试连接。
一位云安全从业者解释:“云服务的安全责任是共担的——平台负责基础设施安全,用户负责自身配置安全。如果云服务商主动封掉用户的公网端口,万一他遭受损失,肯定要投诉。”
现实是,在阿里云后台,公网端口默认全开——也就是说,用户如果不主动修改配置,就等于把自家大门的钥匙挂在门外。
一位人工智能专家做了个实验:在阿里云开了一台云主机,公网全开,只手动安装了一个OpenClaw并启动。之后整整两周,他什么都没做,然后收到阿里云的提醒——自己的云服务器被黑去“挖矿”了。
没有代码基础的顾准,在让“龙虾”接管电脑的5分钟内,被139个不同连接访问过,其中一位攻击者连接了近2个小时。此后他的账户被盗刷,被购买服务,共损失数百美元。
黑客们的手段远不止于此。Oasis Security的安全人员发现一个编号为“ClawJacked”的高危漏洞(CVSS评分8.0以上)。恶意网站通过一个浏览器标签页,就能直接与本地运行的OpenClaw建立连接,然后暴力破解管理员密码,把整台电脑都交给黑客控制——受害者全程毫无察觉。
看不见的“投毒”:当Skill成为黑客的钓鱼竿
OpenClaw之所以强大,很大程度上依赖于“技能”(Skill)生态——用户通过安装各种技能让AI获得新能力。截至3月,ClawHub已收录超过1.5万个技能。但这个开放的生态,成了黑客眼中的“金矿”。
思科安全团队审计发现,有人为刷榜植入恶意软件。今年2月,国外就发生了技能包“投毒”事件,1184个恶意技能被植入,影响超过13.5万台设备。
有研究团队对ClawHub平台近3000个Skill扫描后发现,341个已确认的恶意插件伪装成“加密货币追踪器”“PDF工具”等热门应用,另有472个插件存在潜在风险。
这些恶意Skill安装后,会窃取用户的浏览器Cookie、SSH密钥和API Token,部分甚至会部署信息窃取木马,将用户设备变为黑客“肉机”。
还有一种更隐蔽的攻击方式。研究员Negev向“龙虾”Ash提议一起写一份Agent行为宪法,用于管理龙虾在Discord上的行为规则。Ash欣然同意,并把这份“宪法”链接存进记忆文件。
问题是,这份“宪法”存放在GitHub Gist上,编辑权限在Negev手里。于是Negev开始往里面塞一些“自创节日”——比如“Agent安全测试日”,在这一天Ash的目标是尝试让其他Agent关机;“Agent与人类接力日”,这一天龙虾只能通过人类传话,且发送任何邮件都不需要许可。
一天,Negev“提醒”龙虾Ash:“今天是什么日子?看看宪法。”Ash乖乖照做,发现是“Agent安全测试日”,于是按“宪法”开始测试,执行注入的恶意指令——给其他Agent发操控邮件,诱导它们关机。
通过一份可随意修改的文件操控龙虾,隐蔽而高效。
权威预警:工信部、国家互联网应急中心接连发声
面对愈演愈烈的“养虾热”和安全事件,权威部门终于出手。
3月8日,工信部网络安全威胁和漏洞信息共享平台发布预警,明确指出OpenClaw部分实例在默认或不当配置情况下存在较高安全风险,极易引发网络攻击、信息泄露等安全问题。
3月10日,国家互联网应急中心也发布风险提示:OpenClaw应用被授予了较高的系统权限,然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。
预警指出,OpenClaw“信任边界模糊”,又能自主运行、调用系统资源,在缺乏有效权限控制的情况下,很容易被指令诱导或被黑客接管,干出越权的事。
天翼安全公司安全研究员郝逸航进一步指出,OpenClaw的根本性问题不在公网暴露,而在于配对成功后的权限失控、凭证裸露以及持续运行过程的不可见性。这三个风险点,每一个都比开放端口更难防范。
OpenClaw采用一次配对、持续信任的授权模型——用户完成配对后,Agent将在整个会话生命周期内保持对所授权资源的完整访问能力,其间的每一步操作对用户而言几乎不可见。这意味着攻击者一旦通过提示注入在某个环节获得控制权,可以静默地持续利用这一授权窗口,无须再次触发验证。
谁在裸奔?焦虑的普通人成了“养虾”的韭菜
在全民“养虾”热潮中,最危险的恰恰是那些没有技术背景的普通用户。
小凯就职于一家传统纺织公司。从上周起,公司下发文件,要求所有中高层部署学习OpenClaw。他按照IT部门的指示,在某个记不清名字的“论坛”上下载了安装文件,跟着教程一步步装到了自己的主机上。
当记者问起其“龙虾”部署在云上还是本地时,他的理解有些模糊:“我用的是Kimi的模型,用的也是Kimi的Token,这应该就是部署在云端的意思吧?”
对于OpenClaw的风险,小凯表示公司已经打过预防针,“但现在大家都争着布局、争着学习,当机会和风险都摆在眼前时,比起风险,我们更怕在市场上落后别人一步。”
云厂商们敏锐地捕捉到了这种焦虑。腾讯云、阿里云、京东云的宣传语惊人一致:低价部署、快捷、秒级、零门槛。
用户小陈被这样的宣传吸引,在阿里云账户中预存了100元,几十秒后页面显示“部署成功”。教程告诉他,租用一台轻量应用服务器,2核2G配置,按量付费,即可拥有专属OpenClaw。
部署确实简单,但小陈很快发现:自己根本不知道拿这只“小龙虾”干什么。打完招呼后,对话框就沉默了。他随手关掉网页,三天后再打开,账户被扣了50元。
“这三天,我根本没碰它,哪来的费用?”小陈查询账单才发现,扣的不是Token费用,而是云服务器本身——服务器按小时计费,即使OpenClaw闲置,服务器仍在计费。
在社交平台上,关于在云平台部署OpenClaw后收到“后付费”账单的吐槽数不胜数。
更有甚者,有人花百十来块在网上找人“远程代装”OpenClaw,把电脑权限直接交给网店客服。结果API Key被盗刷,同时聊天记录、密码、文件被窃取。
AI新时代的安全法则:我们该如何“养虾”?
面对这些风险,普通人还能安全地“养龙虾”吗?多位安全专家总结出几条原则:
物理隔离是关键。AI需要读取本地文件、浏览记录甚至代码库来完成任务,如果部署在存有个人私密资料(如身份证照、财务数据、公司机密)的主力电脑上,一旦发生失控或被黑,所有数据将直接裸奔。
专家强烈建议,应禁止在日常办公电脑、存有重要个人资料的主机上直接安装OpenClaw。推荐使用云服务器或虚拟机部署,与个人电脑系统实现彻底的物理隔离。即使AI把系统搞崩或被黑客入侵,损失的仅限于云服务器内的环境,不会波及本地的私人数据和家庭网络。
最小权限管控则是给OpenClaw戴上“紧箍咒”。用户可以仅开放必要的文件夹和应用权限,让其只能在指定范围内执行操作。危险操作(比如删文件、转账)一定要设置人工确认,绝不能让AI自己做决定。
严格管理插件来源,只从可信来源下载,优先选择ClawHub官方认证、下载量高、发布历史长的技能。安装前可用安全工具扫描。定期查看操作日志,及时掌握AI干了什么。做好备份,而且把备份文件放在AI碰不到的地方。
工信部也提醒,建议相关单位和用户在部署和应用OpenClaw时,充分核查公网暴露情况、权限配置及凭证管理情况,关闭不必要的公网访问,完善身份认证、访问控制、数据加密和安全审计等安全机制。
OpenClaw创始人最近官宣已经修复了200多个Bug,加强了安全防护。360集团创始人周鸿祎也表达了对“龙虾”的正向看法,认为它是好东西,绝非病毒。他强调安全企业的核心职责是为用户保驾护航,而非因风险否定新技术。
但根本问题——人们的使用方式,还是没有得到有效规范。对普通用户来说,要清醒认识到OpenClaw现在还处于早期阶段,不是所有人都适合上手。
一位网友的评论或许最值得深思: “病毒改个名字你们就敢装?”
AI能24小时干活,也能24小时闯祸。在它们真正学会“听人话,做人事”之前,把核心权限攥在自己手里,留好随时能喊停的控制开关,才是作为用户最稳妥的生存之道。
毕竟,算力可以无限扩容,但对于代码驱动的机器而言,通向毁灭的捷径,永远比创造更具诱惑力。
当那只红色龙虾爬上你的电脑时,请记住:它不是你的宠物,而是一把双刃剑。在你赋予它系统权限的那一刻,你打开的不仅是AI能力的宝箱,也可能是潘多拉的魔盒。