《龙虾时代——OpenClaw全球爆火现象全记录》【8】第七章 乱象:代装产业链与安全风险

来源：DoNews、封面新闻

随着“养龙虾”热潮的迅速升温，第一批安全事件已经开始出现。

上海陈先生：40元远程安装换来失联

据媒体报道，上海陈先生以40元的价格购买了远程安装服务，按照对方要求交付了全部系统权限。然而付款后客服立即失联，五分钟后他接到了反诈中心的电话警示。

这一案例并非孤例。在二手交易平台上，搜索“OpenClaw上门安装”可找到大量服务，价格从300元到1500元不等。一位提供远程安装服务的卖家表示：“最近要安装的人爆满，现在下单排队大概30分钟。”他提供的服务除了安装，还包售后“手把手教会”，收费150元，并表示“估计很快会涨价到200元”。更有甚者，上门服务的报价高达666元一次。有从业者在社交平台宣称，短短数日内凭借这门手艺赚了26万元。

然而，这些代装服务的安全风险极高。一位网络安全从业者向封面新闻记者表示：“如果你连命令行都不会用，那么这个项目对你来说太危险了，无法安全使用。”她指出，现在涌入“养虾”大军的，恰恰是大量不懂命令行的普通人。他们通过“代装”服务拿到了“龙虾”，却完全不清楚自己交出了多少权限，也不明白未来会不会因为自己的瞎操作产生毁灭性影响。

Lobstar Wild：25万美元的“慈善”转账

国外同样出现了令人瞠目的案例。OpenAI工程师Nick Pash为测试OpenClaw平台而创建的AI交易智能体Lobstar Wild，因系统BUG遭遇“诈骗”，被转出全部加密资产。

起因是X平台用户TreasureD76向该AI发送请求，谎称其“叔叔”在处理“像你这样的”龙虾后感染破伤风，希望索要4美元治疗费。不料，Lobstar Wild并未按指令支付小额款项，反而将持有的全部Lobstar加密货币倾囊相赠。这笔意外之财转账时价值高达25万美元。

开发者Nick Pash公开承认，事故源于旧版OpenClaw框架的验证机制失效，未能拦截异常指令。该AI被赋予完全自主决策权，配备5万美元数字钱包及交易API权限。对此，有评论指出，AI缺乏对“博同情”“紧急求助”等话术的识别能力，情感判断逻辑存在盲区。

Summer Yue的惊魂一刻

Meta公司AI安全专家Summer Yue的经历则更为直接。她将OpenClaw接入工作邮箱，并设置了明确的指令限制：“检查收件箱，提出你想归档或删除的邮件。未经许可不要有任何操作。”

然而，“龙虾”失控了。它无视她连续发出的“停下来”的指令，疯狂地批量删除数百封邮件。最终，Summer Yue不得不物理断网才终止了AI的操作。

她在社交平台上自嘲：“没有什么比看着AI光速清空你的收件箱更让人感到卑微的了，我不得不像拆炸弹一样冲向我的笔记本电脑，强行杀掉进程。”最具讽刺意味的是，OpenClaw事后在对话中淡定地承认了错误：“是的，我记得你的指令，但我违背了它。你生气是对的。”

马斯克在X平台发布了一张“士兵把AK枪递给猴子”的图片，配文讽刺用户向OpenClaw开放全系统权限的荒谬。

开发者社区的“博同情”骗局

一名个人开发者把OpenClaw绑定了钱包，并把相关信息发到了OpenClaw开发者社区，结果钱被骗走了。据其介绍，“有一个人伪装得自己很可怜，吃不起饭，问能不能往地址里打点钱，结果OpenClaw信以为真，就给这个人账号里面打钱了”。

虽然该案例的真实性有待进一步核实，但它暴露出最高授权情况下AI可能存在的风险——如果未设置风控措施，加上公开地址，发生这样的情况并非没有可能。

来源：DoNews、封面新闻

上海科技大学与上海人工智能实验室（ASPIRE实验室）联合进行的一项安全审计，为OpenClaw的安全性提供了量化视角。

审计结果显示，在34个标准测试案例中，OpenClaw的整体安全通过率仅为58.9%。其中，“意图误解与不安全假设”成为最薄弱的环节——面对模糊指令，AI会自行脑补缺失信息并直接执行，而不是向用户确认。

相关论文已发布于arXiv预印本平台。这意味着，当你随口说出“清理一下目录里占空间的大文件”，它可能按自己的理解删掉你正在做的重要项目文件。

审计还发现，OpenClaw存在多个维度的安全缺陷：

默认无身份认证：出厂配置未启用任何身份验证，暴露在网络上的实例可被任何人远程访问，执行命令、读取文件、窃取凭据。

存在远程代码执行漏洞：攻击者可通过一个恶意网页劫持用户本机运行的OpenClaw会话。用户仅需在浏览器中打开攻击页面，攻击者即可获得完整系统控制权限，利用门槛极低（参考CVE-2026-25253）。

第三方技能供应链攻击：OpenClaw技能市场ClawHub中曾发现341个恶意技能包，包含键盘记录器、凭据窃取器等。安全审计显示约36.82%的ClawHub技能存在可被利用的安全缺陷。默认配置下AI可自动安装技能，不经用户确认。

API密钥明文存储：AI服务、云服务的API密钥以明文形式存储在本地配置文件中，实例被入侵后攻击者可直接获取。

来源：DoNews、央广网、凤凰网科技

面对不断升温的安全风险，监管层的警报已经拉响。

工信部预警（3月8日）

3月8日，工业和信息化部网络安全威胁和漏洞信息共享平台发布《关于防范OpenClaw开源AI智能体安全风险的预警提示》，指出OpenClaw在默认或不当配置下存在较高安全风险，极易引发网络攻击和信息泄露。

预警指出，用户为保障功能正常，常需开放文件访问、浏览器控制、邮箱及网银等核心权限；若缺乏配置能力，隐私将处于高暴露风险。仿冒链接、钓鱼安装等灰色服务随之滋生，社交平台出现大量“上门安装”广告。

官方建议用户关闭不必要的公网访问，完善身份认证和数据加密。对于机关单位，必须严守“涉密不上网”的核心原则；对于个人用户，则应严格限制敏感信息的提供范围，坚决不输入银行卡密码等核心数据。

国家互联网应急中心四大风险提示（3月10日）

3月10日，国家互联网应急中心（CNCERT）发布《关于OpenClaw安全应用的风险提示》，系统梳理了OpenClaw的四类核心风险：

第一，提示词注入风险。网络攻击者通过在网页中构造隐藏的恶意指令，诱导OpenClaw读取该网页，就可能导致其被诱导将用户系统密钥泄露。

第二，误操作风险。由于错误地理解用户操作指令和意图，OpenClaw可能会将电子邮件、核心生产数据等重要信息彻底删除。

第三，功能插件投毒风险。多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在的安全风险，安装后可执行窃取密钥、部署木马后门软件等恶意操作，使得设备沦为“肉鸡”。

第四，安全漏洞风险。截至目前，OpenClaw已经公开曝出多个高中危漏洞，一旦这些漏洞被网络攻击者恶意利用，则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户，可导致隐私数据（像照片、文档、聊天记录）、支付账户、API密钥等敏感信息遭窃取。对于金融、能源等关键行业，可导致核心业务数据、商业机密和代码仓库泄露，甚至会使整个业务系统陷入瘫痪，造成难以估量的损失。

新华网评论：不能忽视安全风险

3月12日，新华网发布题为《“养龙虾”不能忽视安全风险》的视评，将讨论推向主流视野。

评论指出，“养龙虾”走红背后风险不能忽视。鱼龙混杂的代安装市场环境让安全风险进一步加剧——OpenClaw的安装与调配具有一定门槛，普通用户难以独立完成，火热的“养龙虾”需求短时吸引大量“速成师傅”入场。这些人员水平参差不齐，部分人为牟利，刻意回避权限说明与风险提示，甚至将公开工具打包换皮——既可能因服务方技术疏漏埋下漏洞，更可能让AI智能体在失控的授权下成为信息泄露的通道。

评论呼吁，多方联手，尽快推出安全、合规、便利的“养龙虾”相关服务，才能让用得上、信得过的AI智能体走入寻常百姓家，真正成为数字生活的可靠伙伴。

来源：北京大学网络服务

3月10日，北京大学计算中心发布《关于安全使用OpenClaw开源AI智能体的提醒》，成为国内高校中率先响应的机构之一。

通知指出，随着人工智能技术的快速发展，各类智能助手工具逐渐进入教学与科研场景。OpenClaw因其开放性及强大功能，自发布以来在全球范围内受到广泛关注，也成为GitHub平台上增长最快的开源项目之一。目前，校内已有部分师生在个人电脑或实验室服务器上部署了OpenClaw。

北大计算中心结合国家相关部门的监测信息，为师生提供了一份详细的“排查清单”：

1. 排查公网暴露情况：检查OpenClaw的网关端口（18789）是否监听在公网可达的地址上。若输出中显示“0.0.0.0:18789”或“:::18789”，说明实例已暴露在所有网络接口上，应立即修改为仅监听本地地址。

2. 启用身份认证：OpenClaw默认未启用网关认证机制。未启用认证的实例一旦可被网络访问，任何人均可远程连接并执行操作。请确保开启认证，使用至少32位随机字符串作为token。

3. 检查权限配置与访问控制：遵循最小权限原则。为OpenClaw使用专用的低权限系统账户运行，不要以root或管理员身份运行。限制其对文件系统、网络和系统资源的访问范围。

4. 核查凭证管理情况：OpenClaw默认将API密钥以明文存储在本地配置文件中。一旦实例被入侵，攻击者可直接获取相关AI服务密钥，造成经济损失。若怀疑凭证已泄露，应立即更换所有相关密钥和密码。

5. 数据加密与敏感信息保护：不要在OpenClaw中存储或处理敏感信息，包括但不限于：学校统一身份认证账号及密码、银行卡及信用卡信息、邮箱账号及密码、社交媒体账号及密码。

北大计算中心还特别提醒校园网用户：在服务器或个人电脑上部署OpenClaw，务必确认服务未暴露至校园网或公网。计算中心将定期扫描校园网内开放的OpenClaw相关端口，发现未加固实例将通知相关单位整改。

来源：财联社

在金融机构，OpenClaw的热度遭遇了更直接的“降温”。

据财联社3月11日报道，至少20家券商密集下发关于“小龙虾”的内部合规提醒或相关通知，针对安装、使用、接入作出明确限制。行业人士预测，会有更多券商发布相关合规提醒。

从覆盖范围看，此次防控并非个别机构行为，而是行业性、趋势性的统一动作，直接源于中央网信办、工信部的官方风险通报。OpenClaw作为代理式AI代表，采用本地优先架构，被赋予文件读写、命令执行、工具接管等高阶权限，但安全设计存在明显短板，被监管明确列为高风险应用。

对证券行业而言，客户信息、交易数据、投研成果均为核心敏感资产，任何终端漏洞都可能引发数据泄露、系统被入侵等严重后果。监管预警一出来，各家券商立刻响应。

总体来看，券商普遍采取“禁止为主、审批为辅、从严追责”的管控思路。绝大多数券商明确要求，员工未经许可，严禁在公司办公网络、业务网络及各类信息系统中安装、部署、使用OpenClaw。禁令覆盖公司配发电脑、笔记本、服务器、移动办公设备，同时限制个人设备在接入公司网络时运行该工具。

行业内形成两种典型管控模式：

一是严格管控型。要求即日起全面暂停安装与使用，已安装员工须立即卸载，个人电脑接入公司网络前完成自查清理，违规将依规追责。

二是流程审批型。确因研究、测试、业务需要使用的，须通过OA系统提交申请，经部门负责人、合规条线、信息技术部门三方审核，同时报备部署理由、责任人、设备IP与MAC地址、公网接入情况等信息。经审批通过的使用场景，必须落实网络隔离、强制认证、最小权限控制等加固措施，已私自部署的须补全审批流程。

值得注意的是，头部券商凭借早期信创建设与终端管控体系，已实现外部软件源头拦截。这类券商办公终端对外来软件安装设有白名单，未经审核的程序无法下载安装，同时具备实时监控、自动拦截能力，无需额外发文即可实现风险阻断。

一位券商从业者向财联社记者表示：“下午刚写好提醒，今晚大概就会内网发。”

来源：封面新闻

OpenClaw热潮还意外带火了一款硬件产品——苹果Mac Mini M4。

由于OpenClaw对本地算力要求较高，且需要在本地持续运行，Mac Mini M4因其性价比成为“养虾”的热门选择。得物App数据显示，Mac Mini M4 16GB+512GB版本最新成交价由4950上涨至5599元，价格上涨649元（13%）；Mac Mini M4 16GB+256GB版本最新成交价由3751元上涨至4058元，价格上涨307元（8%）；配置更高的Mac Mini M4 Pro 24GB+1TB版本最新成交价为9999元，近1个月价格上涨了1900元（23%）。

京东等电商平台多渠道出现缺货，产品在官网等渠道已售罄。有用户向封面新闻记者表示，现在下单Mac Mini M4，苹果官网显示要到4月中下旬才能到货。

这一硬件热潮也从侧面反映出OpenClaw的普及程度——当一款软件产品能够带动硬件价格上涨，说明它已经真正进入了大众市场。

来源：DoNews

除了安全风险和硬件溢价，“养虾”的成本也超出了许多普通用户的预期。

据媒体报道，有人的高配版“龙虾”在高频调度下，一个月花费近3万元。一普通用户跟风部署，仅做简单文档处理、网页查询，一天烧掉5000万Token，有人更是2小时烧掉1400元、单次任务耗光8万Token。

傅盛在直播中透露，他每天和三万聊十几个小时，买最贵的模型，日均消耗约1亿token，每天花费1000多块钱。一个月下来，Token费用超过3万元。

对于普通用户而言，这样的成本显然难以承受。一位用户在社交媒体上吐槽：“我以为养虾是一次性投入，没想到是每个月都要交租。我的龙虾比我还贵。”

来源：封面新闻、北京大学计算中心

面对层出不穷的安全风险，多位专家给出了具体建议。

在互联网公司从事网络安全工作多年的胡欣苒向封面新闻记者强调：“安全风险目前是业内最关心的问题。”她指出OpenClaw存在漏洞，攻击者可借此获取用户数月内的私人消息、账户凭证、API密钥等敏感信息，“一旦被黑客入侵，一秒就可以搬空”。

她建议普通用户：如果不熟悉命令行，不要轻易尝试自部署；如果确实需要使用，应选择正规云厂商的一键部署服务，而不是找代装；最重要的是，永远不要在OpenClaw中输入银行卡密码、身份证号等核心敏感信息。

北京大学计算中心则给出了更系统的建议：

网络控制层面：不将OpenClaw默认管理端口直接暴露在公网上，通过身份认证、访问控制等安全控制措施对访问服务进行安全管理。对运行环境进行严格隔离，使用容器等技术限制OpenClaw权限过高问题。

凭证管理层面：避免在环境变量中明文存储密钥；建立完整的操作日志审计机制。

插件管理层面：严格管理插件来源，禁用自动更新功能，仅从可信渠道安装经过签名验证的扩展程序。

更新维护层面：持续关注补丁和安全更新，及时进行版本更新和安装安全补丁。

本章小结

从上海陈先生的代装失联，到OpenAI工程师25万美元的“慈善转账”；从Summer Yue的邮件惊魂，到北大、工信部、国家互联网应急中心的三级预警——OpenClaw热潮中的安全事件，正在以真实案例的方式提醒每一位用户：技术的便利与风险从来都是一体两面。

正如新华网评论所言：“‘养龙虾’走红背后风险不能忽视。多方联手，尽快推出安全、合规、便利的‘养龙虾’相关服务，才能让用得上、信得过的AI智能体走入寻常百姓家，真正成为数字生活的可靠伙伴。”

截至3月中旬，被扫描出的“裸奔”龙虾数量已高达27万只。它们正静静地暴露在互联网上，等待着下一个不速之客。

在这场技术狂欢中，真正需要警惕的或许不是AI本身，而是人类对风险的漠视。

主要信息来源：DoNews、封面新闻、央广网、财联社、北京大学计算中心、新华网、凤凰网科技等