乐于分享
好东西不私藏
夜雨聆风 > > 办公文件 > OpenClaw(小龙虾)的安全究竟有多可怕(反话)?

OpenClaw(小龙虾)的安全究竟有多可怕(反话)?

当前时间: 2026-03-18 10:37:39 分类:办公文件 评论(0)
OpenClaw(小龙虾)的安全究竟有多可怕(反话)?

小龙虾这阵子挺忙。

前脚还是“智能体界劳模”,后脚就变成“高危物种”,有的地方提醒,有的地方劝退,还有的地方干脆一副“这玩意儿最好离我远一点”的表情。舆论翻脸之快,堪比刚说完“这项目有前景”,下一秒就开始问“谁来背锅”。

所以问题来了:OpenClaw 真的有那么可怕吗?

每次有人问我,我都会先举个不太高级但很实用的例子:菜刀很锋利,切菜时不小心会割手;落到坏人手里,还能伤人。那我们是不是应该因此禁止所有人使用菜刀?如果真这么干,厨房大概会先罢工。

我不是抬杠。我只是想说,很多工具的风险,从来不是一句“安全”或者“不安全”就能说完的。小龙虾也是一样。

如果你已经坚定认定它“天生邪恶”,那下面这篇你可以当我在自言自语;如果你还愿意把这事掰开看看,那我们就从它到底是怎么工作的说起。

小龙虾到底靠什么活着?

先别把它想得太玄。OpenClaw 本质上只是一个程序,说白了,它更像一个带提示词、会循环执行动作的壳。你说它是“躯壳”都算夸它了,因为它连手脚都得靠外接。

它要正常干活,至少离不开三样东西:

1. 大模型

你得先给 OpenClaw 配一个大脑。不管这个大脑来自哪里,反正它自己脑子里是空的。

来源通常有两种:

  • 云服务
    比如国内的百炼、MiniMax、字节,国外的 OpenAI、Anthropic、OpenRouter 等。谁给你提供模型服务,谁理论上就有机会看到你发给模型的内容。
  • 本地部署
    比如用 vLLM 之类的工具,在企业内部或者个人机器上跑开源模型。这样相当于把耳朵关在自己屋里,少一个旁听席。

2. 技能

OpenClaw 自带的技能并不多,真正让它“像样”的,是技能系统。技能本质上就是预设好的工作流,告诉它这件事该怎么做。

大体上分两类:

  • LLM 动态编排技能
    模型边想边拼流程。
  • 别人写好的预编排技能
    你下载安装,拿来就用。

说得直白一点,技能就是这只龙虾的“动作模板”。没有技能,它再聪明也只能在原地挥钳子。

3. 对话界面

也就是你和它说话的地方。

通常也是两类:

  • OpenClaw 自带的网页 / App
  • 聊天软件,比如飞书、Telegram 等

很多人以为自己在“跟小龙虾聊天”,实际上你是在“通过一个对话界面,把信息送进模型,再让技能调用工具干活”。听起来复杂?对,安全问题往往就藏在这条链路里。

除此之外,像删文件、发邮件、改内容、调接口,这些都不用单独神秘化,本质上也只是技能和工具权限的问题。

小龙虾到底能做什么?

我一直觉得,比起“它安不安全”,更值得大家关心的是:它到底能干什么。

因为大家对它的态度很矛盾:一方面希望它万能,最好自己一觉醒来,龙虾已经把活干完;另一方面又怕它太万能,担心哪天它顺手把自己也安排了。

但不管你愿不愿意承认,这类工具已经是大趋势。你可以选择不用,也可以假装没看见,主打一个数字时代掩耳盗铃——这当然也是一种生活方式。

实际上,只要接口足够,小龙虾几乎可以和万物交互。你能做的大部分非情感类工作,理论上它都能碰一碰。注意,是“能做”,不代表“做得好”;就像会开车的人很多,能把车倒进老小区窄车位的,不一定多。

小龙虾到底哪里不安全?

说了这么久,终于来到大家最爱问的部分:既然那么多通知都在提醒,小龙虾到底哪里有风险?

如果把“安全”翻译成人话,其实无非两件事:

  1. 你不想让别人知道的东西,被别人知道了。
  2. 你不想让它做的事,它给你做了。

一、信息泄露:龙虾背后那几双耳朵

很多人怕的是小龙虾,但严格说,真正能接到信息的,往往不是它自己,而是它背后的通道。

1)大模型服务商

这里要特别注意:是服务提供商,不是模型名字本身。

比如你用的是 MiniMax 2.5,这个模型可能在百炼平台上能调,在字节那边也能调,在 OpenRouter 上也能调。那问题就来了:你用谁的服务,谁就有机会接触到你的提问内容。

你让小龙虾总结一份通知,那这份通知理论上就会经过那家服务商;你让它分析一段敏感材料,那材料也会跟着走一遍。很多人以为自己在跟“模型”说话,其实更准确地说,是在经过一家公司提供的通道说话。

2)聊天软件

还有一个经常被忽略的耳朵,就是聊天软件本身。

你以为飞书、Telegram、微信、QQ 之类的平台,为什么乐意让智能体接进来?当然一部分原因是流量、生态和活跃度,但更现实的一点是:它们有机会保留你和智能体的完整交互内容。

从技术角度看,这并不神秘。你既然通过它说话,它就天然站在传话链路上。除非它明确做到完全不获取、不留日志、还能合法合规地解释清楚——但现实世界通常没这么童话。

所以如果你真要担心“谁在听”,小龙虾顶多算台上演员,模型服务商和聊天软件,更像包厢里的观众。

二、OpenClaw 主动作恶:听起来吓人,但得拆开看

1)失控风险

最经典的担忧是:万一它失控了怎么办?到处乱发信息、乱发邮件,把你的隐私全抖出去。

理论上,这当然算风险。虽然概率未必高,但风险这东西本来就不按喜剧剧本走。就像有人拎着菜刀在街上走,哪怕他只是去切西瓜,路人也会先下意识离远一点。

2)破坏数据完整性

删文件、改文件、加文件,这些都算。

你要问能不能百分百阻止?理论上很难。只要一个系统有权限,它就可能出错、误操作、甚至被利用。但现实一点说,如果你根本没让它碰这些东西,它通常也不会自己闲着没事去当装修队。

3)被入侵后被迫作恶

还有一种情况,是它自己不想乱来,但黑客让它乱来。

这种场景并不神秘,说白了就和你的电脑、手机、服务器被入侵差不多。小龙虾不是特殊危险物种,它只是权限一旦给大了,被借刀杀人的效率也会更高。

4)你主动让它去干坏事

这类风险对你未必有害,但对别人可能有害。

以前一个人想做点损人不利己的事,至少还要亲自下场。现在情绪一上来,给智能体几句话,它就能帮你把很多动作跑完。比如看同事不顺眼、想批量骚扰、想自动化攻击——门槛确实比以前低了。换句话说,小龙虾有时候最危险的,不是自己突然变坏,而是它太听话。

除了这些,我暂时也没想到更离谱的风险。欢迎补充,毕竟龙虾再聪明,也比不上互联网群众的想象力。

真想养小龙虾,怎么保护自己?

接下来讲点实用的,不搞空话。

1. 监听在 127.0.0.1 上

先说最基础的一条:别没事把门敞开。

小龙虾默认监听在 127.0.0.1,这就是本机地址,外部机器正常是摸不到的。你如果非要把它挂到公网,等于把家门钥匙插门上,还写张纸条:“欢迎来我家试试这只虾。”

所以,先别急着怪它会不会被入侵,先看看是不是你亲手把它送到大街上了。

2. 仅为自己服务

小龙虾是个人智能体,不是共享办公前台。

别随便开放给别人用。它能看你的文件、碰你的内容、调你的环境。你敢把它交给别人,就约等于敢把自己家钥匙借给别人,还顺手附送一张“冰箱里有什么”的清单。

3. 不要拿它随便聊隐私和敏感问题

这话虽然老套,但真得反复说:你以为你在和龙虾说悄悄话,实际上很可能旁边还坐着模型服务商和聊天平台两位“随身记者”。

平时都知道隔墙有耳,现在明知道至少有两只耳朵,你还要把什么都往外倒,那这锅至少不能全让龙虾背。

4. 能自部署模型,就少一只耳朵

自己部署大语言模型,不代表世界从此绝对安全,但至少你把数据外流链条砍掉了一截。

少一个服务商,就少一层旁听。对很多人来说,这已经是很现实的安全提升。

5. 少用聊天软件

这条说起来最容易,做起来最难。

理论上,你可以直接用 openclaw tui 在本机操作,这样最干净;可很多人图方便,最后还是会把它接进聊天软件。问题在于,像 Telegram 这种“端到端加密”的名声,并不自动覆盖 Bot 场景,也就是说,Bot 不等于秘密对话。飞书也一样,该经过的平台层还是会经过。

如果真想减少旁听,Signal 这一类端到端加密更彻底的工具会更靠谱一些。但说到底,方便和隐私,很多时候就是一对老冤家。

6. 不要乱装技能

没事别瞎装。

什么“几万技能”“几十万技能”这种话,听听就行。你日常能稳定用上的,可能连 100 个都到不了。技能越多,不确定性越大;尤其是来路不明、权限不清、你自己都没看懂的技能,装上去就像往家里捡陌生插线板——平时没事,一短路全屋跳闸。

7. 不要用第三方提供的 OpenClaw

这点其实特别重要。

如果前面说模型服务商和聊天软件是“两只耳朵”,那第三方托管的 OpenClaw 就不只是耳朵的问题了,而是你把整只龙虾养在别人池子里。它吃什么、看什么、干什么,别人都能知道。你还得上传文件、交互内容、操作记录,基本等于把整个使用过程直播给别人看。

所以原则很简单:什么虾都行,但尽量别养在别人家池子里。

8. 其他保护措施

这部分还在持续更新。毕竟智能体这玩意儿每天都在长新钳子,防护思路也得跟着迭代。

最后说几个常见误区

1. 小龙虾不是免费宠物

部署它可能不贵,但喂它的大脑要花钱。

不管你走哪条路,模型调用都不是空气。尤其你真想让它干活,不是随便聊两句,那成本一定会慢慢浮出来。所以别把“安装好了”理解成“以后白用”。这年头,数字龙虾也要吃饭。

2. 它的上限,很大程度取决于你自己的素养

不会提问、不会管理数据、不会整理文件夹、不会做基本判断的人,给他一只龙虾,它也未必能帮他从青铜直升王者。

所以真想用好这类工具,先把语文、逻辑、文件管理这些底层功课补一补。别把所有希望都寄托在“模型会替我想”。模型会给你答案,但不一定替你长脑子。

3. 它在 Mac 生态里确实更舒服

这话可能听着像带货,但我尽量说得克制一点:Mac 这套工作生态,本来就更适合个人自动化。邮件、日历、浏览器、笔记、相关工具都更顺。如果你真打算长期养小龙虾,一台 Mac Mini 加一部 iPhone,确实很像它的标准宿舍。

如果不是,也不是不能养,只是有点像开保时捷去村口修理铺做保养——不是不行,就是你心里会先咯噔一下。

4. 它真的能做科研,但前提是你会用

别被网上那些一惊一乍的讨论吓住。小龙虾当然能做科研相关工作,关键是你要知道怎么喂它任务、怎么控它流程、怎么验它结果。这个事不是两句能讲完的,真要系统讲,开个 8 到 10 节课都不过分。

5. 养虾,要选好大脑

如果你真打算拿它做生产、写程序、写论文,那模型选择就别太随缘。

OpenAI 的 GPT、谷歌的 Gemini、Anthropic 的 Claude,基本还是第一梯队。国内 MiniMax 2.5 用得多,一个重要原因是便宜。便宜当然是优点,性价比也确实不错。但如果你要让它干精细活、重活、长期活,还是第一梯队更省时间。

道理也简单:QQ 也能上高速,但你总不会因为它能跑,就默认它和高性能车完全一回事。

结尾:真正该怕的,不是龙虾,是你怎么养它

絮絮叨叨说了这么多,其实我想表达的核心很简单:OpenClaw 不是神,也不是怪物。它更像一把越来越锋利的数字菜刀。怕它没用,神化它也没用。真正值得警惕的,不是它“天生坏”,而是你一边高估它,一边又低估了它背后的链路、权限和环境。

所以,OpenClaw 真有那么可怕吗?

也许没你想得那么可怕。

但如果你连它接了谁、听谁的话、能碰什么、住在哪儿都没搞清楚,就急着把它养进自己的工作流,那你该担心的,确实不是龙虾本身,而是你到底把它养在了什么地方。

不喜勿喷。真喷了,我就发给小龙虾。

OpenClaw(6):多个员工(Agent)工作
OpenClaw(5):Feishu也要钱,还是Discord或者Telegram吧
OpenClaw(4):选择Qwen Coding Plan是个可行的省钱方案
OpenClaw(3):OpenClaw中的model选择与配置
真正可用的OpenClaw部署:从服务器到场景落地
没钱别折腾 OpenClaw,没时间也别折腾 OpenClaw
CLI vs MCP:为什么我更偏向 CLI

AI虽好,Token很贵