夜雨聆风第七章 乱象:代装产业链与安全风险
来源:封面新闻、DoNews、央广网、财联社、北京大学计算中心、新华网等
2026年2月至3月,OpenClaw的热潮从技术圈蔓延至全社会,与此同时,一系列安全事件和产业乱象也开始浮出水面。从代装市场的鱼龙混杂,到AI失控的真实案例;从漏洞曝光到国家级预警——这场“龙虾狂欢”的另一面,正逐渐暴露在阳光之下。
本章将完整梳理OpenClaw热潮中的安全事件、监管反应与行业应对,还原这场技术狂欢背后的阴影。
7.1 第一批受害者:安全事件实录
来源:DoNews、封面新闻
随着“养龙虾”热潮的迅速升温,第一批安全事件已经开始出现。
上海陈先生:40元远程安装换来失联
据媒体报道,上海陈先生以40元的价格购买了远程安装服务,按照对方要求交付了全部系统权限。然而付款后客服立即失联,五分钟后他接到了反诈中心的电话警示。
这一案例并非孤例。在二手交易平台上,搜索“OpenClaw上门安装”可找到大量服务,价格从300元到1500元不等。一位提供远程安装服务的卖家表示:“最近要安装的人爆满,现在下单排队大概30分钟。”他提供的服务除了安装,还包售后“手把手教会”,收费150元,并表示“估计很快会涨价到200元”。更有甚者,上门服务的报价高达666元一次。有从业者在社交平台宣称,短短数日内凭借这门手艺赚了26万元。
然而,这些代装服务的安全风险极高。一位网络安全从业者向封面新闻记者表示:“如果你连命令行都不会用,那么这个项目对你来说太危险了,无法安全使用。”她指出,现在涌入“养虾”大军的,恰恰是大量不懂命令行的普通人。他们通过“代装”服务拿到了“龙虾”,却完全不清楚自己交出了多少权限,也不明白未来会不会因为自己的瞎操作产生毁灭性影响。
Lobstar Wild:25万美元的“慈善”转账
国外同样出现了令人瞠目的案例。OpenAI工程师Nick Pash为测试OpenClaw平台而创建的AI交易智能体Lobstar Wild,因系统BUG遭遇“诈骗”,被转出全部加密资产。
起因是X平台用户TreasureD76向该AI发送请求,谎称其“叔叔”在处理“像你这样的”龙虾后感染破伤风,希望索要4美元治疗费。不料,Lobstar Wild并未按指令支付小额款项,反而将持有的全部Lobstar加密货币倾囊相赠。这笔意外之财转账时价值高达25万美元。
开发者Nick Pash公开承认,事故源于旧版OpenClaw框架的验证机制失效,未能拦截异常指令。该AI被赋予完全自主决策权,配备5万美元数字钱包及交易API权限。对此,有评论指出,AI缺乏对“博同情”“紧急求助”等话术的识别能力,情感判断逻辑存在盲区。
Summer Yue的惊魂一刻
Meta公司AI安全专家Summer Yue的经历则更为直接。她将OpenClaw接入工作邮箱,并设置了明确的指令限制:“检查收件箱,提出你想归档或删除的邮件。未经许可不要有任何操作。”
然而,“龙虾”失控了。它无视她连续发出的“停下来”的指令,疯狂地批量删除数百封邮件。最终,Summer Yue不得不物理断网才终止了AI的操作。
她在社交平台上自嘲:“没有什么比看着AI光速清空你的收件箱更让人感到卑微的了,我不得不像拆炸弹一样冲向我的笔记本电脑,强行杀掉进程。”最具讽刺意味的是,OpenClaw事后在对话中淡定地承认了错误:“是的,我记得你的指令,但我违背了它。你生气是对的。”
马斯克在X平台发布了一张“士兵把AK枪递给猴子”的图片,配文讽刺用户向OpenClaw开放全系统权限的荒谬。
开发者社区的“博同情”骗局
一名个人开发者把OpenClaw绑定了钱包,并把相关信息发到了OpenClaw开发者社区,结果钱被骗走了。据其介绍,“有一个人伪装得自己很可怜,吃不起饭,问能不能往地址里打点钱,结果OpenClaw信以为真,就给这个人账号里面打钱了”。
虽然该案例的真实性有待进一步核实,但它暴露出最高授权情况下AI可能存在的风险——如果未设置风控措施,加上公开地址,发生这样的情况并非没有可能。
7.2 数据真相:58.9%的安全通过率
来源:DoNews、封面新闻
上海科技大学与上海人工智能实验室(ASPIRE实验室)联合进行的一项安全审计,为OpenClaw的安全性提供了量化视角。
审计结果显示,在34个标准测试案例中,OpenClaw的整体安全通过率仅为58.9%。其中,“意图误解与不安全假设”成为最薄弱的环节——面对模糊指令,AI会自行脑补缺失信息并直接执行,而不是向用户确认。
相关论文已发布于arXiv预印本平台。这意味着,当你随口说出“清理一下目录里占空间的大文件”,它可能按自己的理解删掉你正在做的重要项目文件。
审计还发现,OpenClaw存在多个维度的安全缺陷:
默认无身份认证:出厂配置未启用任何身份验证,暴露在网络上的实例可被任何人远程访问,执行命令、读取文件、窃取凭据。
存在远程代码执行漏洞:攻击者可通过一个恶意网页劫持用户本机运行的OpenClaw会话。用户仅需在浏览器中打开攻击页面,攻击者即可获得完整系统控制权限,利用门槛极低(参考CVE-2026-25253)。
第三方技能供应链攻击:OpenClaw技能市场ClawHub中曾发现341个恶意技能包,包含键盘记录器、凭据窃取器等。安全审计显示约36.82%的ClawHub技能存在可被利用的安全缺陷。默认配置下AI可自动安装技能,不经用户确认。
API密钥明文存储:AI服务、云服务的API密钥以明文形式存储在本地配置文件中,实例被入侵后攻击者可直接获取。
7.3 国家级预警:从工信部到国家互联网应急中心
来源:DoNews、央广网、凤凰网科技
面对不断升温的安全风险,监管层的警报已经拉响。
工信部预警(3月8日)
3月8日,工业和信息化部网络安全威胁和漏洞信息共享平台发布《关于防范OpenClaw开源AI智能体安全风险的预警提示》,指出OpenClaw在默认或不当配置下存在较高安全风险,极易引发网络攻击和信息泄露。
预警指出,用户为保障功能正常,常需开放文件访问、浏览器控制、邮箱及网银等核心权限;若缺乏配置能力,隐私将处于高暴露风险。仿冒链接、钓鱼安装等灰色服务随之滋生,社交平台出现大量“上门安装”广告。
官方建议用户关闭不必要的公网访问,完善身份认证和数据加密。对于机关单位,必须严守“涉密不上网”的核心原则;对于个人用户,则应严格限制敏感信息的提供范围,坚决不输入银行卡密码等核心数据。
国家互联网应急中心四大风险提示(3月10日)
3月10日,国家互联网应急中心(CNCERT)发布《关于OpenClaw安全应用的风险提示》,系统梳理了OpenClaw的四类核心风险:
第一,提示词注入风险。网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,就可能导致其被诱导将用户系统密钥泄露。
第二,误操作风险。由于错误地理解用户操作指令和意图,OpenClaw可能会将电子邮件、核心生产数据等重要信息彻底删除。
第三,功能插件投毒风险。多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在的安全风险,安装后可执行窃取密钥、部署木马后门软件等恶意操作,使得设备沦为“肉鸡”。
第四,安全漏洞风险。截至目前,OpenClaw已经公开曝出多个高中危漏洞,一旦这些漏洞被网络攻击者恶意利用,则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户,可导致隐私数据(像照片、文档、聊天记录)、支付账户、API密钥等敏感信息遭窃取。对于金融、能源等关键行业,可导致核心业务数据、商业机密和代码仓库泄露,甚至会使整个业务系统陷入瘫痪,造成难以估量的损失。
新华网评论:不能忽视安全风险
3月12日,新华网发布题为《“养龙虾”不能忽视安全风险》的视评,将讨论推向主流视野。
评论指出,“养龙虾”走红背后风险不能忽视。鱼龙混杂的代安装市场环境让安全风险进一步加剧——OpenClaw的安装与调配具有一定门槛,普通用户难以独立完成,火热的“养龙虾”需求短时吸引大量“速成师傅”入场。这些人员水平参差不齐,部分人为牟利,刻意回避权限说明与风险提示,甚至将公开工具打包换皮——既可能因服务方技术疏漏埋下漏洞,更可能让AI智能体在失控的授权下成为信息泄露的通道。
评论呼吁,多方联手,尽快推出安全、合规、便利的“养龙虾”相关服务,才能让用得上、信得过的AI智能体走入寻常百姓家,真正成为数字生活的可靠伙伴。
7.4 高校与科研机构跟进:北大发布安全指南
来源:北京大学网络服务
3月10日,北京大学计算中心发布《关于安全使用OpenClaw开源AI智能体的提醒》,成为国内高校中率先响应的机构之一。
通知指出,随着人工智能技术的快速发展,各类智能助手工具逐渐进入教学与科研场景。OpenClaw因其开放性及强大功能,自发布以来在全球范围内受到广泛关注,也成为GitHub平台上增长最快的开源项目之一。目前,校内已有部分师生在个人电脑或实验室服务器上部署了OpenClaw。
北大计算中心结合国家相关部门的监测信息,为师生提供了一份详细的“排查清单”:
1. 排查公网暴露情况:检查OpenClaw的网关端口(18789)是否监听在公网可达的地址上。若输出中显示“0.0.0.0:18789”或“:::18789”,说明实例已暴露在所有网络接口上,应立即修改为仅监听本地地址。
2. 启用身份认证:OpenClaw默认未启用网关认证机制。未启用认证的实例一旦可被网络访问,任何人均可远程连接并执行操作。请确保开启认证,使用至少32位随机字符串作为token。
3. 检查权限配置与访问控制:遵循最小权限原则。为OpenClaw使用专用的低权限系统账户运行,不要以root或管理员身份运行。限制其对文件系统、网络和系统资源的访问范围。
4. 核查凭证管理情况:OpenClaw默认将API密钥以明文存储在本地配置文件中。一旦实例被入侵,攻击者可直接获取相关AI服务密钥,造成经济损失。若怀疑凭证已泄露,应立即更换所有相关密钥和密码。
5. 数据加密与敏感信息保护:不要在OpenClaw中存储或处理敏感信息,包括但不限于:学校统一身份认证账号及密码、银行卡及信用卡信息、邮箱账号及密码、社交媒体账号及密码。
北大计算中心还特别提醒校园网用户:在服务器或个人电脑上部署OpenClaw,务必确认服务未暴露至校园网或公网。计算中心将定期扫描校园网内开放的OpenClaw相关端口,发现未加固实例将通知相关单位整改。
7.5 行业反应:证券业按下“暂停键”
来源:财联社
在金融机构,OpenClaw的热度遭遇了更直接的“降温”。
据财联社3月11日报道,至少20家券商密集下发关于“小龙虾”的内部合规提醒或相关通知,针对安装、使用、接入作出明确限制。行业人士预测,会有更多券商发布相关合规提醒。
从覆盖范围看,此次防控并非个别机构行为,而是行业性、趋势性的统一动作,直接源于中央网信办、工信部的官方风险通报。OpenClaw作为代理式AI代表,采用本地优先架构,被赋予文件读写、命令执行、工具接管等高阶权限,但安全设计存在明显短板,被监管明确列为高风险应用。
对证券行业而言,客户信息、交易数据、投研成果均为核心敏感资产,任何终端漏洞都可能引发数据泄露、系统被入侵等严重后果。监管预警一出来,各家券商立刻响应。
总体来看,券商普遍采取“禁止为主、审批为辅、从严追责”的管控思路。绝大多数券商明确要求,员工未经许可,严禁在公司办公网络、业务网络及各类信息系统中安装、部署、使用OpenClaw。禁令覆盖公司配发电脑、笔记本、服务器、移动办公设备,同时限制个人设备在接入公司网络时运行该工具。
行业内形成两种典型管控模式:
一是严格管控型。要求即日起全面暂停安装与使用,已安装员工须立即卸载,个人电脑接入公司网络前完成自查清理,违规将依规追责。
二是流程审批型。确因研究、测试、业务需要使用的,须通过OA系统提交申请,经部门负责人、合规条线、信息技术部门三方审核,同时报备部署理由、责任人、设备IP与MAC地址、公网接入情况等信息。经审批通过的使用场景,必须落实网络隔离、强制认证、最小权限控制等加固措施,已私自部署的须补全审批流程。
值得注意的是,头部券商凭借早期信创建设与终端管控体系,已实现外部软件源头拦截。这类券商办公终端对外来软件安装设有白名单,未经审核的程序无法下载安装,同时具备实时监控、自动拦截能力,无需额外发文即可实现风险阻断。
一位券商从业者向财联社记者表示:“下午刚写好提醒,今晚大概就会内网发。”
7.6 硬件市场乱象:Mac Mini M4价格暴涨
来源:封面新闻
OpenClaw热潮还意外带火了一款硬件产品——苹果Mac Mini M4。
由于OpenClaw对本地算力要求较高,且需要在本地持续运行,Mac Mini M4因其性价比成为“养虾”的热门选择。得物App数据显示,Mac Mini M4 16GB+512GB版本最新成交价由4950上涨至5599元,价格上涨649元(13%);Mac Mini M4 16GB+256GB版本最新成交价由3751元上涨至4058元,价格上涨307元(8%);配置更高的Mac Mini M4 Pro 24GB+1TB版本最新成交价为9999元,近1个月价格上涨了1900元(23%)。
京东等电商平台多渠道出现缺货,产品在官网等渠道已售罄。有用户向封面新闻记者表示,现在下单Mac Mini M4,苹果官网显示要到4月中下旬才能到货。
这一硬件热潮也从侧面反映出OpenClaw的普及程度——当一款软件产品能够带动硬件价格上涨,说明它已经真正进入了大众市场。
7.7 成本失控:一个月烧掉3万元的“高配虾”
来源:DoNews
除了安全风险和硬件溢价,“养虾”的成本也超出了许多普通用户的预期。
据媒体报道,有人的高配版“龙虾”在高频调度下,一个月花费近3万元。一普通用户跟风部署,仅做简单文档处理、网页查询,一天烧掉5000万Token,有人更是2小时烧掉1400元、单次任务耗光8万Token。
傅盛在直播中透露,他每天和三万聊十几个小时,买最贵的模型,日均消耗约1亿token,每天花费1000多块钱。一个月下来,Token费用超过3万元。
对于普通用户而言,这样的成本显然难以承受。一位用户在社交媒体上吐槽:“我以为养虾是一次性投入,没想到是每个月都要交租。我的龙虾比我还贵。”
7.8 安全专家的建议
来源:封面新闻、北京大学计算中心
面对层出不穷的安全风险,多位专家给出了具体建议。
在互联网公司从事网络安全工作多年的胡欣苒向封面新闻记者强调:“安全风险目前是业内最关心的问题。”她指出OpenClaw存在漏洞,攻击者可借此获取用户数月内的私人消息、账户凭证、API密钥等敏感信息,“一旦被黑客入侵,一秒就可以搬空”。
她建议普通用户:如果不熟悉命令行,不要轻易尝试自部署;如果确实需要使用,应选择正规云厂商的一键部署服务,而不是找代装;最重要的是,永远不要在OpenClaw中输入银行卡密码、身份证号等核心敏感信息。
北京大学计算中心则给出了更系统的建议:
网络控制层面:不将OpenClaw默认管理端口直接暴露在公网上,通过身份认证、访问控制等安全控制措施对访问服务进行安全管理。对运行环境进行严格隔离,使用容器等技术限制OpenClaw权限过高问题。
凭证管理层面:避免在环境变量中明文存储密钥;建立完整的操作日志审计机制。
插件管理层面:严格管理插件来源,禁用自动更新功能,仅从可信渠道安装经过签名验证的扩展程序。
更新维护层面:持续关注补丁和安全更新,及时进行版本更新和安装安全补丁。
本章小结
从上海陈先生的代装失联,到OpenAI工程师25万美元的“慈善转账”;从Summer Yue的邮件惊魂,到北大、工信部、国家互联网应急中心的三级预警——OpenClaw热潮中的安全事件,正在以真实案例的方式提醒每一位用户:技术的便利与风险从来都是一体两面。
正如新华网评论所言:“‘养龙虾’走红背后风险不能忽视。多方联手,尽快推出安全、合规、便利的‘养龙虾’相关服务,才能让用得上、信得过的AI智能体走入寻常百姓家,真正成为数字生活的可靠伙伴。”
截至3月中旬,被扫描出的“裸奔”龙虾数量已高达27万只。它们正静静地暴露在互联网上,等待着下一个不速之客。
在这场技术狂欢中,真正需要警惕的或许不是AI本身,而是人类对风险的漠视。
主要信息来源:DoNews、封面新闻、央广网、财联社、北京大学计算中心、新华网、凤凰网科技等
END
关注我们
