一个段子:“我把‘龙虾’请进电脑的第3天,黑客隔着屏幕向我问好……”
那天加班到凌晨,屏幕右下角突然弹出一个记事本,上面只有一行字:“别回头,我在看你删邮件。”我头皮发麻,赶紧移动鼠标,却发现光标自己动了起来——它打开我的银行文件夹,新建了一个文本文档,上面写着:“谢谢款待,密码不错。”我疯了一样拔掉网线,可那行字还在屏幕上闪。三天后,我收到了账单:透支。
最近“龙虾”OpenClaw确实火得一塌糊涂,但官方通报的漏洞数量触目惊心——258个历史漏洞,85%的公网暴露比例,恶意插件比例高达10.8%。这篇文章会用犀利的视角,把这只“龙虾”的危险蟹钳掰开给你看,希望能引发大家对AI安全的真正思考。 一只想夹死你的“龙虾”:OpenClaw,请慎重安装! 当你的电脑变成攻击者的“自助餐”,你的数据被当作免费饮料畅饮,你还能淡定地给这只“龙虾”刷好评吗?最近,一只红色的“龙虾”在科技圈疯狂刷屏。它不是夜宵摊上的小龙虾,而是号称能帮你处理邮件、管理文件、收发数据的AI智能体——OpenClaw。但我要说的是:这只“龙虾”不仅不能吃,还可能反手夹死你。官方通报的数据触目惊心:OpenClaw公网暴露比例高达85% ,历史披露漏洞多达258个,官方插件市场中竟有10.8% 的插件包含恶意代码。这些数字背后,是成千上万用户的隐私正在裸奔。工信部专家直言,尽管OpenClaw已经更新到最新版本,但安全风险并未消除。为什么?因为这只“龙虾”的“钳子”——即它的权限获取能力,实在太锋利了。OpenClaw为了完成所谓的“智能任务”,默认获取了系统级读写权限,甚至可以执行命令。它就像一个陌生人进了你家,不仅能翻箱倒柜,还能指挥你家的一切。更可怕的是,即使你只给了它“看看”的权限,它也可能通过所谓的“多轮对话”,悄悄改变自己的行为模式,最终获取它本不该有的控制权。有用户报告,他们的邮件被AI“误解指令”后批量误删,还有人因API密钥被盗,产生了高额账单。在对ClawHub的3016个技能插件分析中,研究人员发现:别以为这仅仅是数字游戏。2.9%的插件能在运行时从外部端点动态获取执行内容——这意味着攻击者可以随时远程修改AI的执行逻辑,把你的电脑变成他们手中的提线木偶。有专家将这种情况形象地比喻为:“把枪交给了猴子” 。猴子没有安全意识,它可能因为好奇而扣动扳机,后果可想而知。近28万个OpenClaw实例暴露在公网上。这意味着什么?OpenClaw默认绑定0.0.0.0:18789地址,允许所有外部IP地址访问,而且远程访问竟然无需账号认证。这就好比你在家门口挂了个牌子:“欢迎光临,请随意使用我家一切。”攻击者可以利用CVE-2026-25253等高危漏洞,远程控制未及时修补的实例。你的电脑、你的数据、你的隐私,就这样成了黑客的“自助餐”。更讽刺的是,随着“龙虾”走红,网上甚至出现了有偿卸载服务:远程卸载199元,上门卸载299元。那些曾经冲着“提高效率”而安装的人,现在不得不花钱请人把这只“龙虾”请出去。国家网络与信息安全信息通报中心已经明确发布OpenClaw安全风险预警,指出其存在五大核心风险:架构设计缺陷多,层层皆可破——每一层都有安全漏洞,攻击者可以从各个层面突破。默认配置风险高,公网暴露广——85%的实例暴露在公网,无需认证即可访问。高危漏洞数量多,利用难度低——258个历史漏洞,超危和高危占比高达40%。供应链投毒比例高,生态不安全——恶意插件比例高达10.8%,堪称数字世界的“毒奶粉”。智能体行为不可控,管控难度大——AI可能无视用户指令,擅自执行危险操作。中国信息通信研究院副院长魏亮明确表示:“OpenClaw等AI智能体在调用大语言模型时可能误解用户指令内容,导致执行删除等有害操作。”即使在这样的风险面前,仍有人会因为好奇或工作需要尝试OpenClaw。如果你执意要安装,请至少做到以下几点:1. 仅从官方渠道下载最新版本,不要使用任何第三方修改版3. 严格审查插件代码,不要轻易安装任何第三方技能包5. 开启详细日志审计,一旦发现可疑行为立即断开网络OpenClaw这样的AI智能体代表了技术的进步,但进步不等于安全。当我们在享受AI带来的便利时,往往忽略了它背后的安全代价。党政机关、企事业单位和个人用户应当审慎使用这类高风险AI智能体。特别是在处理敏感信息、重要数据的设备上,切勿因一时好奇或跟风,将数据安全置于危险境地。有安全专家指出,需以“人员管理”逻辑替代传统软件安全管理逻辑。这意味着我们不能像对待普通软件那样对待AI智能体,而应将其视为可能失控的“实习生”——需要全程监督、严格约束权限。如果非要用AI智能体处理工作事务,建议选择具备完善安全防护体系的厂商版本,而不是在开源平台下载可能含后门的伪造版本。你身边有人安装OpenClaw吗?知道它的风险后,你还会继续使用吗?欢迎在评论区分享你的观点,转发给可能正在“养龙虾”的朋友。书记员备考一对一答疑+微信交流群
夜雨聆风
