夜雨聆风阿凯是我来巴西后认识的老乡,福建人,2021 年就来圣保罗做跨境美妆配件了。他这人实在,选品眼光毒,专挑巴西女生喜欢的平价眼影刷、睫毛膏打底、美妆蛋这些小物件,供应链从义乌直供,性价比拉满,在 Mercado Livre 上做了两年,硬是从小卖家熬成了平价美妆配件品类的头部,粉丝十几万,每月订单稳定在两千单以上,在圣保罗的华人跨境圈里也算小有名气。那时候他天天跟我吹,说 “在巴西做跨境,只要货真价实,咱中国人的手艺就不怕没饭吃”,脸上的得意藏都藏不住。
可谁能想到,短短一个月,他就从 “头部卖家” 变成了圈子里的笑柄,而这一切,全是因为他跟风装了那所谓的 “AI 龙虾”(OpenClaw)。
巴西本地的运营成本太高。阿凯跟我吐槽过无数次,说在巴西招个会葡语、懂电商的客服太难了,月薪起码要五千雷亚尔,还得包社保;运营团队更是贵得离谱,一个熟练的运营每月六千雷亚尔起步。他本来就因为巴西电商税新政落地,利润被压了一截,再加上人工成本,每月赚的钱一大半都发工资了。
这几个月,身边几个同行开始养 AI 龙虾,天天在群里吹:“这玩意儿能自动对接客户,回复葡语咨询比人工还溜,还能优化卖货策略,直接省掉客服和运营的钱,躺平都能赚钱!” 阿凯本来就抠成本,一听这话彻底动了心。他连 AI 龙虾是啥、有什么安全风险都没查,托朋友找了个安装包,三下五除二就装在了店铺运营的电脑上,连问都没问我一句。
我当时还劝他:“阿凯,别盲目跟风啊,AI 这东西不是闹着玩的,先研究研究安全设置再说。” 可他满脑子都是 “省成本”,摆摆手说:“兄弟你想多了,AI 就是个工具,能帮我干活就行,哪那么多讲究?我都用了这么久跨境了,还能栽在个 AI 手里?”
现在想想,他这话就是给自己挖的坑。
他的盲目跟风,从一开始就把自己往火坑里推。别人用 AI 龙虾,都会先改远程端口、设复杂密码、绑定本地 IP,把安全防护拉满。可阿凯图省事,直接把 AI 龙虾的远程控制端口绑在了0.0.0.0—— 这相当于把店铺运营电脑的大门,大敞四开地露在了公网上,更离谱的是,他连最基本的登录密码都没设,等于谁都能随便进他的后台。
他还美滋滋地跟同行炫耀,说自己 “半个月就能省出一万雷亚尔的人工成本”,甚至把客服和运营都辞了,就留自己一个人盯着后台,等着 AI 龙虾 “自动跑单”。可他万万没想到,还没等 AI 帮他省到一分钱,他辛苦建立的店铺,就被自己亲手装的 AI 龙虾,泄露得一干二净。
先是进货渠道被扒得底朝天 —— 他跟义乌供应商的独家合作价、专属拿货渠道,全被黑客扒走了;接着是他的销售策略,比如什么时间段上架优惠券、什么品类搞满减,也被抄了个遍;最致命的是,他藏在后台的交易记录,甚至是店铺的优惠修改,购物漏洞,全都暴露无遗。
等阿凯发现后台不对劲的时候,已经晚了。店铺订单突然暴涨,点进去一看全是异常订单 —— 几千件眼影刷、美妆蛋被人用优惠券低价薅走,库存瞬间清零,物流信息全是虚假的。他赶紧去查原因,手忙脚乱地让自己装的 AI 龙虾去排查问题。
结果这一查,直接把阿凯气到浑身发抖,也把我给听乐了。AI 龙虾顺着网线查到了他的后台配置,居然直接用葡语加中文嘲笑他:“你这蠢货,把端口裸奔还不设密码,不是送人头吗?”
他苦笑的说:这次的AI确实人性化,但是没想到第一次见识到是在骂他。
连 AI 都觉得他蠢得无可救药,更别说黑客了。黑客顺着他敞开的公网端口,大摇大摆地钻进了他的后台,借着 AI 龙虾登录着的 Outlook 接收验证码,疯狂刷他店铺的购物漏洞,不仅薅空了库存,还让平台检测到了异常交易行为。
没过两天,Mercado Livre 直接封了他的店铺,还罚了他两万雷亚尔的保证金,要求他赔偿被薅货物的损失。阿凯算了算,被薅的货物成本加上罚款,一下子亏了近十万雷亚尔,相当于他大半年的利润全赔进去了。
我去他家看他的时候,他坐在空荡荡的客厅里,看着电脑里被封的店铺页面,一句话都说不出来。他跟我说,那天晚上他一夜没睡,越想越后悔:“我当初要是听你的,先研究研究 AI 的安全设置,也不至于这样。我以为 AI 是帮我的,结果成了帮黑客害我的东西。”
这事儿根本不是个例。我后来跟圣保罗华人跨境圈的朋友聊,才知道现在有个专门扫描公网的网站,显示全球至少有 258000 个 OpenClaw(龙虾),像阿凯这样,把端口裸奔、不设密码的,在公网上集体 “裸奔”。光我们这个圈子,就有三个卖家跟阿凯犯了一样的错,有的被薅了库存,有的被黑客改了后台配置,差点连银行卡里的钱都被转走。
我们笑归笑,笑着笑着后背就发凉。以前我们用 ChatGPT,顶多是让它帮着写点葡语文案、出出选品主意,黑客就算想搞事,也只能骗点零散的资料。可 OpenClaw 这种 AI 智能体不一样,它不是只有 “嘴” 了,它长出了 “手” 和 “脚”,拥有系统级的执行权限 —— 能删你的运营邮件、改你的后台优惠券、直接替你下虚假订单,甚至能操控你的店铺绑定银行卡。
这就是最要命的冲突:人盲目跟风,只想着靠 AI 省成本、提效率,把自己的执行权、店铺资产的控制权,轻易交了出去,却连最基础的安全防护都不做;而 AI 本身没有善恶,它只会按指令执行,一旦被黑客利用,就成了最锋利的刀,反过来收割它的主人。
