夜雨聆风这两天,圈子里关于 OpenClaw 的讨论突然从“真香”变成了“真吓人”。
一边是开发者和重度用户在社交平台上分享各种自动化案例:
帮你整理文件、自动跑脚本、抓取数据、联动各种应用; 有人把它当成“个人操作系统”,甚至每天大半时间都交给了它。
另一边,是工信部网络安全威胁和漏洞信息共享平台(NVDB)抛出的冷水:[1][3]
OpenClaw 相关资产被曝出 258 个高危漏洞; 85% 的活跃资产默认暴露在公网; 部分用户遭遇电脑被格式化、银行卡被盗刷等严重后果。
于是,讨论的画风很快变成了两派:
一派说:这种东西还是别碰了,太危险; 另一派说:技术刚起步,有问题很正常,不能因为有风险就停下来。
360 的周鸿祎也站出来表态,说了一句很典型的话:“不能因噎废食,但一定要有安全护栏。”[1][2]
这篇文章,我们不站任何一边,只想用故事方式把这件事拆开讲清:
OpenClaw 到底是什么,为啥会火? 这次暴露出来的风险,本质是什么? 对普通用户、开发者和企业分别意味着什么? 未来 AI 智能体的路,是被吓停,还是带着铠甲继续跑?
一、OpenClaw 是什么?为什么它突然站在了风口浪尖?
先给一个尽量贴近现实的解释。
OpenClaw 本质上是一套开源 AI 智能体运行框架:
它不是单纯的聊天机器人,而是可以: 调用命令行; 读写本地文件; 访问网络服务; 和其他工具联动; 再配上大模型,就能把很多“人得一条条点的操作”,变成“发一条指令,它自动帮你跑完一整套流程”。
这类工具为什么会火,很好理解:
对普通用户来说,它像一个更聪明的“电脑管家”; 对开发者和创业者来说,它是一个“把 AI 变成应用的快速底座”; 对安全和黑客圈来说,它同时是一个“新玩具”和“新战场”。
换句话说,OpenClaw 这种智能体框架,天然站在了生产力和风险的交叉点上,这次只是把这种矛盾放大到了所有人都看得见的程度。
二、258 个漏洞、85% 资产暴露在公网,本质上暴露了什么?
按照 NVDB 和相关安全报告的说法,OpenClaw 当前暴露出来的风险,大致集中在几个方面:[1][2][3]
2.1 默认暴露:安装完就自带“敞开大门”的姿态
很多普通用户在部署 OpenClaw 时:
按照教程一步步跑下来,最终在公网服务器上架起了一个可以远程访问的控制端; 但对端口暴露、访问控制、身份认证这些安全细节并不了解; 结果就是: 服务对整个互联网开放; 没有严格的访问控制; 很容易被扫描到甚至被暴力破解。
这就好比:
你装了一把智能锁,本来是想防贼,结果出厂默认密码写在说明书首页,你却从来没改过。
2.2 权限过大:一旦被攻破,后果非常严重
OpenClaw 的特点在于“能做事”——它可以:
执行命令; 操作文件系统; 调用各种外部接口。
这意味着,一旦攻击者控制了你的 OpenClaw 实例,不只是“偷窥你的对话记录”,而是可以:
删除或加密你的重要文件; 植入恶意程序; 利用你的机器当跳板攻击别处; 甚至直接尝试盗取密码、转走资金。
这就是为什么有用户反馈遭遇电脑被格式化、银行卡被盗刷等严重事件——因为攻击者拿到的,不是一个聊天账号,而是半台电脑的“遥控器”。
2.3 生态早期:协议和插件缺乏统一安全基线
在生态早期,很多人会自发写各种插件、集成脚本:
有的是善意的; 有的可能是带坑的; 安全审计和规范往往滞后于功能开发。
这会导致:
即便你本体部署得比较安全,一些第三方扩展也可能成为薄弱环节; 一旦扩展里有漏洞或恶意逻辑,智能体就成了帮别人打开后门的便利工具。
总的来说,这次曝出的 258 个高危漏洞,本质是在提醒大家:你不能再用“普通软件”的思路来对待这类能直接动系统的智能体。
三、周鸿祎说“不能因噎废食”,是在替谁说话?
在这波争议中,360 的周鸿祎算是站在了一个相对中间的位置:[1][2]
一方面,他承认 OpenClaw 暴露的问题很严重,需要高度重视; 另一方面,他反对因为一次安全风波就“一刀切”否定整条智能体路径。
他背后的逻辑,大致可以拆成三点:
智能体是 AI 走向真实应用的一个大方向
单纯的聊天工具很难吃下更复杂的需求; 能够主动执行任务、调度资源的智能体,才更接近“生产力工具”。 所有强能力技术在早期都会暴露安全问题
互联网刚普及时,木马、病毒横行; 智能手机刚兴起时,各种恶意应用、权限滥用比现在严重得多。但这些技术并没有因为风险就被废弃,而是在“出问题—修问题—建规范”中逐步成熟。 中国在智能体赛道有机会,也有动力做出更好的安全范式
不仅是参与者,更有可能是“范式制定者”; 比如 360 这次发布的《OpenClaw 安全部署与实践指南》,就是在尝试提出一套可执行的安全护栏方案。[1][2]
简单说,他在替两股力量说话:
一股是希望 AI 能在真实场景中更大胆应用的技术和产业界; 另一股是希望在安全上不踩别人老坑、走出一条更“有防护”的发展路子的安全圈。
四、对普通用户、开发者和企业,各自意味着什么?
4.1 对普通用户:别轻易把“钥匙”交给你不懂的系统
如果你是普通个人用户,最重要的几个原则是:
不要在自己完全不懂的前提下,在公网服务器上裸跑这类智能体; 不要把智能体跑在你装有网银、重要工作资料的主力电脑上; 尽量使用沙箱、虚拟机或容器做隔离,让即便出问题也只波及局部环境。
一句话概括:
把它当成“有极强能力的陌生合伙人”,在完全信任之前,不要让它直接接管你的全部家底。
4.2 对开发者:安全已经不再是“后面再补”的选项
如果你在开发与智能体相关的应用或插件,这次风波至少说明三件事:
默认安全配置很重要:
安装完之后,默认状态要尽可能保守; 防止“技术熟练者嫌配置麻烦、普通用户不懂配置”这类矛盾。 文档里要写清楚「风险」而不只是「功能」:
告诉用户在哪些部署方式下风险最低; 哪些场景必须加上额外防护。 早期就考虑安全审计和红队测试:
不要等到大面积出问题才临时补救; 可以考虑和专业安全团队合作,做持续性的测试和改进。
智能体生态如果要真正“走进企业、走进关键系统”,安全必须从一开始就被当成核心设计约束,而不是附属品。
4.3 对企业:智能体是机会,但必须和现有安全体系对齐
对企业来说,智能体的诱惑很大:
自动化运维; 自动文档处理; 智能客服; 工作流编排。
但同时也必须面对几个现实问题:
如何把智能体纳入现有的身份与权限体系; 如何记录和审计它的每一步操作; 如何在出现异常行为时,做到快速隔离和止损。
这意味着,企业在引入智能体时,不仅要看“能做什么”,还要看“是不是能被我的安全团队和合规部门管住”。
五、这次争议对智能体赛道的长期意义:洗掉一部分“野生玩法”
从更长远看,这次安全争议有可能带来两类影响。
5.1 正向:逼出一套更成熟的安全工程范式
如果行业能认真对待这次事件,可能会在未来几年形成一些共识:
智能体的部署建议标准; 插件与扩展的安全审计流程; 针对不同场景(个人/企业/关键基础设施)的安全分级指南。
这些东西,不会立刻带来“爽点”,但会决定这个赛道究竟是昙花一现,还是变成类似云计算那样的长期基础设施。
5.2 负向:一部分“快钱玩法”会被堵死
短期内,一些围绕智能体的“野路子玩法”可能会被压制:
各种未做安全设计的套壳产品; 以“全自动”“一键托管”为噱头的风险方案; 把智能体当作灰色产业工具的技术尝试。
这对一部分人来说可能是坏消息,但从赛道长跑的角度看,未必不是一种必要的清洗。
六、结语:AI 智能体这条路,既不能被吓停,也不能闭眼狂奔
回到这次 OpenClaw 风波本身,可以做几个相对稳妥的判断:
智能体是 AI 应用落地的一条大路,这条路不会因为一次事件而终止;但路边必须多插一些警示牌和护栏。 OpenClaw 暴露出来的 258 个高危漏洞,不只是这个项目的问题,而是整个赛道在早期“只拼能力、不重安全”的通病集中体现。 对普通用户来说,现在最重要的不是“用不用”,而是“在哪里、用多大权限用”,不要把关键资产随便交出去。 对开发者和企业来说,越早把安全当成设计约束、而不是补丁,越有可能在下一轮洗牌之后还站在牌桌上。
技术永远会犯错,关键在于:犯错之后,是选择退回去不再尝试,还是带着教训重新设计一套更安全的玩法。
AI 智能体的故事,才刚刚开始。这次安全争议,更像是一记敲在所有人身上的提醒:
你可以期待它帮你干更多活,但在它真正变成你的“合伙人”之前,先想清楚——你打算让它管到哪一步,又怎么管住它。
参考资料
[1] 同花顺. OpenClaw 安全问题凸显,NVDB 报告与周鸿祎点评. 2026-03-14. http://news.10jqka.com.cn/20260314/c675296207.shtml[2] 新浪财经. OpenClaw 安全问题凸显,周鸿祎直言不能因噎废食. 2026-03-14. https://finance.sina.com.cn/wm/2026-03-14/doc-inhqxwhu4284448.shtml[3] 新浪信息安全小时报. OpenClaw 存在 258 个高危漏洞与 85% 公网暴露资产分析. 2026-03-14. https://k.sina.com.cn/article_7857201856_1d45362c0019037dwk.html