夜雨聆风OpenClaw(被网友称作 “龙虾”)是 2025 年底由奥地利开发者打造的开源 AI 智能体,因能通过自然语言指令自主完成任务、打造 “数字分身” 成为全网爆款,但这股热潮背后,既藏着 AI 智能体的未来潜力,也充斥着割韭菜的套路、高昂的使用成本和致命的安全风险,国家互联网应急中心等官方机构已多次发布风险预警,普通人盲目跟风极可能沦为 “韭菜”。
一、全网爆红的背后:被刻意制造的焦虑与割韭菜套路
OpenClaw 本是极客圈的开发工具,却被资本和部分博主炒作成 “人人必备的未来神器”,核心套路与此前元宇宙、区块链炒作如出一辙:
- 制造生存焦虑
:博主大肆宣扬 “不懂 AI、不装龙虾就会被时代淘汰”“别人靠龙虾睡后赚钱,你还在靠体力打工”,营造 “不装即失业” 的恐慌氛围; - 编造虚假噱头
:网传 “龙虾能自动在社交平台搭讪、筛选约会对象” 等离谱说法,将其包装成 “全能神器”,让大众产生 “装上就能躺赢” 的错觉; - 借机收割钱财
:资本借机售卖大模型 API 接口,博主将免费的 OpenClaw 软件打包成 399 元的课程售卖,甚至衍生出 “代装行业”—— 远程代装 200 元起步,上门服务 500-1500 元,这些都是无本万利的割韭菜行为。
在焦虑和噱头的双重夹击下,大量不懂技术的普通用户盲目跟风,只为装上后发朋友圈 “装门面”,却对其使用成本和安全风险一无所知。
二、看似免费的开源工具,实则是 “吞金巨兽”
OpenClaw 虽为开源免费软件,但 “养龙虾” 的隐性成本高到让普通人难以承受,网传 “月薪两万养不起龙虾” 并非夸张说法:
- 核心成本:持续消耗的 Token
龙虾的所有操作都需与后端大模型交互,消耗按次计费的 Token(需花钱购买),且它会在电脑后台 24 小时全自动运行,每一分每一秒都在消耗 Token。与传统付费 AI“问一句答一句、关闭即停止收费” 不同,龙虾的 Token 消耗具有 “持续性、爆发性”:简单写一篇 2000 字文档需烧掉 700 万 Token,单日消耗 5000 万 Token 的案例屡见不鲜,轻量使用月均花费 20-80 元,高频使用则飙升至每月数百甚至数千元,有重度使用者月均消耗达 3 万元。 - 隐藏的无意义消耗
龙虾可能出现 “无意义交互”:比如在群里与另一只龙虾因无关话题互聊数万句,每一次读取、分析、回复都在消耗 Token;若被人恶意引导执行复杂任务(如证明黎曼猜想),会无止境地消耗 Token,直接让用户 “钱包见底”。 - 额外的技术服务成本
普通用户缺乏专业技术能力,部署龙虾时需调试运行环境、配置工具,若找专人帮忙,还需支付额外的技术服务费,进一步增加使用成本。
对于大部分打工人而言,装上龙虾后工作效率未必提升,反而会被持续的 Token 消耗 “吃空钱包”。
三、最致命的隐患:无处不在的安全风险,堪比 “裸奔”
相比经济损失,OpenClaw 的安全风险更致命,其默认配置存在严重缺陷,不懂技术的小白盲目安装,相当于将自己的电脑、账号直接暴露在黑客面前,国家互联网应急中心已明确指出其四大核心安全风险今日头条:
1. 端口暴露,成为黑客的 “提款机”
OpenClaw 默认通过18789 端口提供控制接口,且默认允许所有外部 IP 访问、无需账号认证,85% 的用户都将该端口直接暴露在公网上。黑客只需用自动扫描脚本找到该端口,无需破解密码就能瞬间接管龙虾的全部控制权,远比木马病毒更危险。
2. 四大官方预警的核心安全漏洞
- 提示词注入风险
:黑客在网页中构造隐藏恶意指令,诱导龙虾读取后,可能直接泄露用户的系统密钥; - 误操作风险
:龙虾可能错误理解用户指令,彻底删除电子邮件、核心工作数据等重要信息; - 插件投毒风险
:多款龙虾功能插件为恶意插件,安装后会被窃取密钥、部署木马,让设备沦为黑客的 “肉鸡”; - 高危漏洞多
:龙虾已公开曝出 258 个漏洞,其中超危、高危漏洞达 33 个,利用难度低,极易导致系统被控、隐私泄露。
3. 隐私与财产的双重危机
黑客接管龙虾后,可直接读取用户本地文件、提取浏览器密码、登录微信 / 邮箱,甚至操作网银账号;更可怕的是,黑客能模仿用户的语气和习惯,通过微信向其父母、亲友借钱,或下达 “不停发红包” 的指令,导致用户和亲友的财产遭受重大损失,这也是其被质疑 “涉嫌电信诈骗” 的核心原因。
四、官方明确预警,正确看待龙虾的 “未来” 与 “当下”
针对 OpenClaw 的安全风险,国家互联网应急中心、人民日报、新华社、央广网等官方机构均已发布风险提示,中国信息通信研究院也提醒企事业单位和个人审慎使用今日头条,并给出了核心安全使用建议:
强化网络控制,不将 18789 默认端口暴露在公网,配置身份认证、访问控制,用容器技术限制龙虾的系统权限; 加强凭证管理,不将密钥明文存储在环境变量中,建立操作日志审计机制; 严格管理插件来源,禁用自动更新,仅从可信渠道安装经过签名验证的插件; 持续关注版本更新,及时安装安全补丁,修复已知漏洞。
需要明确的是,AI 智能体确实是未来的重要发展方向,OpenClaw 本身并非 “骗局”,其在自动化办公、政务处理等领域已展现出价值(如深圳福田区的 “政务龙虾” 可高效整理民生诉求),但现阶段的技术仍未成熟到 “人人能用” 的地步,且其成本结构和安全缺陷,决定了它目前更适合有专业技术能力、有实际需求的企业和开发者,而非普通个人用户。
五、给普通人的建议:别被热潮忽悠,按需选择、谨慎使用
面对铺天盖地的 “龙虾热”,普通人最该做的是保持冷静,避免盲目跟风:
- 先问自己 “是否真的需要”
若只是为了跟风、装门面,而非有实际的自动化办公 / 开发需求,完全没必要安装; - 评估自己的 “养虾能力”
不仅要考虑 Token 的持续消耗成本,还要判断自己是否具备基础的网络安全、环境配置能力,避免因技术不足导致损失; - 若确需使用,务必做好安全防护
严格按照官方建议配置安全设置,不随意安装插件,不将核心账号、密钥与龙虾绑定; - 警惕各类收费套路
记住 OpenClaw 是开源免费软件,任何打包售卖、高价代装的行为,本质都是割韭菜,切勿上当。
科技的发展需要理性看待,每一个新概念的出现,都可能伴随炒作和陷阱,与其被焦虑裹挟盲目跟风,不如沉下心学习相关知识,等技术成熟、成本降低后,再根据自身需求选择使用 —— 这才是面对科技热潮最稳妥的态度。
