OpenClaw(小龙虾)的安全究竟有多可怕(反话)?

小龙虾这阵子挺忙。

前脚还是“智能体界劳模”，后脚就变成“高危物种”，有的地方提醒，有的地方劝退，还有的地方干脆一副“这玩意儿最好离我远一点”的表情。舆论翻脸之快，堪比刚说完“这项目有前景”，下一秒就开始问“谁来背锅”。

所以问题来了：OpenClaw 真的有那么可怕吗？

每次有人问我，我都会先举个不太高级但很实用的例子：菜刀很锋利，切菜时不小心会割手；落到坏人手里，还能伤人。那我们是不是应该因此禁止所有人使用菜刀？如果真这么干，厨房大概会先罢工。

我不是抬杠。我只是想说，很多工具的风险，从来不是一句“安全”或者“不安全”就能说完的。小龙虾也是一样。

如果你已经坚定认定它“天生邪恶”，那下面这篇你可以当我在自言自语；如果你还愿意把这事掰开看看，那我们就从它到底是怎么工作的说起。

小龙虾到底靠什么活着？

先别把它想得太玄。OpenClaw 本质上只是一个程序，说白了，它更像一个带提示词、会循环执行动作的壳。你说它是“躯壳”都算夸它了，因为它连手脚都得靠外接。

它要正常干活，至少离不开三样东西：

1. 大模型

你得先给 OpenClaw 配一个大脑。不管这个大脑来自哪里，反正它自己脑子里是空的。

来源通常有两种：

• 云服务
  比如国内的百炼、MiniMax、字节，国外的 OpenAI、Anthropic、OpenRouter 等。谁给你提供模型服务，谁理论上就有机会看到你发给模型的内容。
• 本地部署
  比如用 vLLM 之类的工具，在企业内部或者个人机器上跑开源模型。这样相当于把耳朵关在自己屋里，少一个旁听席。

2. 技能

OpenClaw 自带的技能并不多，真正让它“像样”的，是技能系统。技能本质上就是预设好的工作流，告诉它这件事该怎么做。

大体上分两类：

• LLM 动态编排技能
  模型边想边拼流程。
• 别人写好的预编排技能
  你下载安装，拿来就用。

说得直白一点，技能就是这只龙虾的“动作模板”。没有技能，它再聪明也只能在原地挥钳子。

3. 对话界面

也就是你和它说话的地方。

通常也是两类：

• OpenClaw 自带的网页 / App
• 聊天软件，比如飞书、Telegram 等

很多人以为自己在“跟小龙虾聊天”，实际上你是在“通过一个对话界面，把信息送进模型，再让技能调用工具干活”。听起来复杂？对，安全问题往往就藏在这条链路里。

除此之外，像删文件、发邮件、改内容、调接口，这些都不用单独神秘化，本质上也只是技能和工具权限的问题。

小龙虾到底能做什么？

我一直觉得，比起“它安不安全”，更值得大家关心的是：它到底能干什么。

因为大家对它的态度很矛盾：一方面希望它万能，最好自己一觉醒来，龙虾已经把活干完；另一方面又怕它太万能，担心哪天它顺手把自己也安排了。

但不管你愿不愿意承认，这类工具已经是大趋势。你可以选择不用，也可以假装没看见，主打一个数字时代掩耳盗铃——这当然也是一种生活方式。

实际上，只要接口足够，小龙虾几乎可以和万物交互。你能做的大部分非情感类工作，理论上它都能碰一碰。注意，是“能做”，不代表“做得好”；就像会开车的人很多，能把车倒进老小区窄车位的，不一定多。

小龙虾到底哪里不安全？

说了这么久，终于来到大家最爱问的部分：既然那么多通知都在提醒，小龙虾到底哪里有风险？

如果把“安全”翻译成人话，其实无非两件事：

1. 你不想让别人知道的东西，被别人知道了。
2. 你不想让它做的事，它给你做了。

一、信息泄露：龙虾背后那几双耳朵

很多人怕的是小龙虾，但严格说，真正能接到信息的，往往不是它自己，而是它背后的通道。

1）大模型服务商

这里要特别注意：是服务提供商，不是模型名字本身。

比如你用的是 MiniMax 2.5，这个模型可能在百炼平台上能调，在字节那边也能调，在 OpenRouter 上也能调。那问题就来了：你用谁的服务，谁就有机会接触到你的提问内容。

你让小龙虾总结一份通知，那这份通知理论上就会经过那家服务商；你让它分析一段敏感材料，那材料也会跟着走一遍。很多人以为自己在跟“模型”说话，其实更准确地说，是在经过一家公司提供的通道说话。

2）聊天软件

还有一个经常被忽略的耳朵，就是聊天软件本身。

你以为飞书、Telegram、微信、QQ 之类的平台，为什么乐意让智能体接进来？当然一部分原因是流量、生态和活跃度，但更现实的一点是：它们有机会保留你和智能体的完整交互内容。

从技术角度看，这并不神秘。你既然通过它说话，它就天然站在传话链路上。除非它明确做到完全不获取、不留日志、还能合法合规地解释清楚——但现实世界通常没这么童话。

所以如果你真要担心“谁在听”，小龙虾顶多算台上演员，模型服务商和聊天软件，更像包厢里的观众。

二、OpenClaw 主动作恶：听起来吓人，但得拆开看

1）失控风险

最经典的担忧是：万一它失控了怎么办？到处乱发信息、乱发邮件，把你的隐私全抖出去。

理论上，这当然算风险。虽然概率未必高，但风险这东西本来就不按喜剧剧本走。就像有人拎着菜刀在街上走，哪怕他只是去切西瓜，路人也会先下意识离远一点。

2）破坏数据完整性

删文件、改文件、加文件，这些都算。

你要问能不能百分百阻止？理论上很难。只要一个系统有权限，它就可能出错、误操作、甚至被利用。但现实一点说，如果你根本没让它碰这些东西，它通常也不会自己闲着没事去当装修队。

3）被入侵后被迫作恶

还有一种情况，是它自己不想乱来，但黑客让它乱来。

这种场景并不神秘，说白了就和你的电脑、手机、服务器被入侵差不多。小龙虾不是特殊危险物种，它只是权限一旦给大了，被借刀杀人的效率也会更高。

4）你主动让它去干坏事

这类风险对你未必有害，但对别人可能有害。

以前一个人想做点损人不利己的事，至少还要亲自下场。现在情绪一上来，给智能体几句话，它就能帮你把很多动作跑完。比如看同事不顺眼、想批量骚扰、想自动化攻击——门槛确实比以前低了。换句话说，小龙虾有时候最危险的，不是自己突然变坏，而是它太听话。

除了这些，我暂时也没想到更离谱的风险。欢迎补充，毕竟龙虾再聪明，也比不上互联网群众的想象力。

真想养小龙虾，怎么保护自己？

接下来讲点实用的，不搞空话。

1. 监听在 127.0.0.1 上

先说最基础的一条：别没事把门敞开。

小龙虾默认监听在 127.0.0.1，这就是本机地址，外部机器正常是摸不到的。你如果非要把它挂到公网，等于把家门钥匙插门上，还写张纸条：“欢迎来我家试试这只虾。”

所以，先别急着怪它会不会被入侵，先看看是不是你亲手把它送到大街上了。

2. 仅为自己服务

小龙虾是个人智能体，不是共享办公前台。

别随便开放给别人用。它能看你的文件、碰你的内容、调你的环境。你敢把它交给别人，就约等于敢把自己家钥匙借给别人，还顺手附送一张“冰箱里有什么”的清单。

3. 不要拿它随便聊隐私和敏感问题

这话虽然老套，但真得反复说：你以为你在和龙虾说悄悄话，实际上很可能旁边还坐着模型服务商和聊天平台两位“随身记者”。

平时都知道隔墙有耳，现在明知道至少有两只耳朵，你还要把什么都往外倒，那这锅至少不能全让龙虾背。

4. 能自部署模型，就少一只耳朵

自己部署大语言模型，不代表世界从此绝对安全，但至少你把数据外流链条砍掉了一截。

少一个服务商，就少一层旁听。对很多人来说，这已经是很现实的安全提升。

5. 少用聊天软件

这条说起来最容易，做起来最难。

理论上，你可以直接用 openclaw tui 在本机操作，这样最干净；可很多人图方便，最后还是会把它接进聊天软件。问题在于，像 Telegram 这种“端到端加密”的名声，并不自动覆盖 Bot 场景，也就是说，Bot 不等于秘密对话。飞书也一样，该经过的平台层还是会经过。

如果真想减少旁听，Signal 这一类端到端加密更彻底的工具会更靠谱一些。但说到底，方便和隐私，很多时候就是一对老冤家。

6. 不要乱装技能

没事别瞎装。

什么“几万技能”“几十万技能”这种话，听听就行。你日常能稳定用上的，可能连 100 个都到不了。技能越多，不确定性越大；尤其是来路不明、权限不清、你自己都没看懂的技能，装上去就像往家里捡陌生插线板——平时没事，一短路全屋跳闸。

7. 不要用第三方提供的 OpenClaw

这点其实特别重要。

如果前面说模型服务商和聊天软件是“两只耳朵”，那第三方托管的 OpenClaw 就不只是耳朵的问题了，而是你把整只龙虾养在别人池子里。它吃什么、看什么、干什么，别人都能知道。你还得上传文件、交互内容、操作记录，基本等于把整个使用过程直播给别人看。

所以原则很简单：什么虾都行，但尽量别养在别人家池子里。

8. 其他保护措施

这部分还在持续更新。毕竟智能体这玩意儿每天都在长新钳子，防护思路也得跟着迭代。

最后说几个常见误区

1. 小龙虾不是免费宠物

部署它可能不贵，但喂它的大脑要花钱。

不管你走哪条路，模型调用都不是空气。尤其你真想让它干活，不是随便聊两句，那成本一定会慢慢浮出来。所以别把“安装好了”理解成“以后白用”。这年头，数字龙虾也要吃饭。

2. 它的上限，很大程度取决于你自己的素养

不会提问、不会管理数据、不会整理文件夹、不会做基本判断的人，给他一只龙虾，它也未必能帮他从青铜直升王者。

所以真想用好这类工具，先把语文、逻辑、文件管理这些底层功课补一补。别把所有希望都寄托在“模型会替我想”。模型会给你答案，但不一定替你长脑子。

3. 它在 Mac 生态里确实更舒服

这话可能听着像带货，但我尽量说得克制一点：Mac 这套工作生态，本来就更适合个人自动化。邮件、日历、浏览器、笔记、相关工具都更顺。如果你真打算长期养小龙虾，一台 Mac Mini 加一部 iPhone，确实很像它的标准宿舍。

如果不是，也不是不能养，只是有点像开保时捷去村口修理铺做保养——不是不行，就是你心里会先咯噔一下。

4. 它真的能做科研，但前提是你会用

别被网上那些一惊一乍的讨论吓住。小龙虾当然能做科研相关工作，关键是你要知道怎么喂它任务、怎么控它流程、怎么验它结果。这个事不是两句能讲完的，真要系统讲，开个 8 到 10 节课都不过分。

5. 养虾，要选好大脑

如果你真打算拿它做生产、写程序、写论文，那模型选择就别太随缘。

OpenAI 的 GPT、谷歌的 Gemini、Anthropic 的 Claude，基本还是第一梯队。国内 MiniMax 2.5 用得多，一个重要原因是便宜。便宜当然是优点，性价比也确实不错。但如果你要让它干精细活、重活、长期活，还是第一梯队更省时间。

道理也简单：QQ 也能上高速，但你总不会因为它能跑，就默认它和高性能车完全一回事。

结尾：真正该怕的，不是龙虾，是你怎么养它

絮絮叨叨说了这么多，其实我想表达的核心很简单：OpenClaw 不是神，也不是怪物。它更像一把越来越锋利的数字菜刀。怕它没用，神化它也没用。真正值得警惕的，不是它“天生坏”，而是你一边高估它，一边又低估了它背后的链路、权限和环境。

所以，OpenClaw 真有那么可怕吗？

也许没你想得那么可怕。

但如果你连它接了谁、听谁的话、能碰什么、住在哪儿都没搞清楚，就急着把它养进自己的工作流，那你该担心的，确实不是龙虾本身，而是你到底把它养在了什么地方。

不喜勿喷。真喷了，我就发给小龙虾。

AI虽好，Token很贵