夜雨聆风相信大家这段时间都被“养龙虾”刷屏了,前一段时间还忙着安装部署,但这两天又都忙着卸载了。
风险展示
不知情的情况下点一下链接,自己的信息就全暴露出去了,甚至自己的电脑也会被黑客随意操控!
接下来,我们帮大家总结出了龙虾的安全风险以及教大家如何彻底卸载龙虾。
从安装潮到卸载潮
前一段时间,AI圈最火的话题是"如何部署OpenClaw这只龙虾",各种安装教程铺天盖地,各大厂也纷纷推出国产"龙虾",好不热闹。
但最近,因为官方都提到了它的危险性、不安全性,所以最近又有一波卸载潮流。
从工信部发布风险提示,到知乎热榜33万人浏览"如何安全卸载",闲鱼上还出现了"599元代装、299元代卸"的奇怪生意——前几天大家还忙着部署,这两天又都忙着卸载了,还挺魔幻的。
官方警告与安全风险
四大安全隐患
国家互联网应急中心近期发布风险提示,列出OpenClaw的四大安全隐患:
提示词注入风险 - 攻击者在网页中构造隐藏恶意指令,诱导OpenClaw读取后可能导致密钥泄露
误操作风险 - AI可能错误理解用户指令,将重要数据(如邮件、核心生产数据)彻底删除
插件投毒风险 - ClawHub插件市场中约12%的Skill含有恶意代码,伪装成加密货币助手、YouTube工具等
安全漏洞风险 - OpenClaw已公开曝出多个高中危漏洞,一旦被利用可导致系统被控、隐私泄露
工信部也发出预警:OpenClaw网关在默认配置下不核验请求来源,用户误点一个恶意链接就可能被接管全部系统权限。
高位漏洞案例:
有安全研究团队识别出“CVE-2026-25253”,披露了OpenClaw系统中一个高危远程代码执行/完全控制权劫持漏洞。
具体情况为:点击恶意链接即可篡改配置并自动泄露令牌,导致设备在零交互下被完全接管。请大家格外小心!
如何安全彻底地卸载
官方卸载命令只是第一步。
如果不彻底清理,API密钥、配置文件、工作区数据可能还残留在你电脑里。
温馨提示:卸载方法并不难,如果你愿意研究跟着我们提高的办法进行卸载。可以替你省去“闲鱼299卸载费”。
Windows用户
按键盘上的 Win + R,输入 cmd 后回车,或 直接在开始菜单里搜索 PowerShell
或者
Mac用户
Command (⌘) + 空格键,然后输入“终端”打开,按照情况输入命令回车即可。
如图:
我们提供了多种情况,请你根据自己当时安装情况进行选择
情况一:CLI还能用
如果 openclaw 命令还能正常运行,恭喜你,这是最简单的情况。
一键清除
openclaw uninstall --all --yes --non-interactive
或用npx:
npx -y openclaw uninstall --all --yes --non-interactive
手动版(更稳妥)
第一步:停止网关服务
openclaw gateway stop
第二步:卸载网关服务
openclaw gateway uninstall
第三步:删除配置和状态
rm -rf "${OPENCLAW_STATE_DIR:-$HOME/.openclaw}"
第四步:清理工作区(可选但建议)
rm -rf ~/.openclaw/workspace
第五步:卸载CLI本体
根据你的安装方式选一个(如果你当时安装是用的以下某个命令):
# npm安装的
npm rm -g openclaw
# pnpm安装的
pnpm remove -g openclaw
# bun安装的
bun remove -g openclaw
情况二:CLI已坏(服务还在跑)
如果命令找不到,但感觉电脑变卡了——可能是Gateway还在后台跑。
macOS用户
# 停止服务
launchctl bootout gui/$UID/ai.openclaw.gateway
# 删除配置文件
rm -f ~/Library/LaunchAgents/ai.openclaw.gateway.plist
# 如果有多余的老版本残留也删掉
rm -f ~/Library/LaunchAgents/com.openclaw.*.plist
Linux用户
# 停止服务
systemctl --user disable --now openclaw-gateway.service
# 删除配置
rm -f ~/.config/systemd/user/openclaw-gateway.service
# 重新加载
systemctl --user daemon-reload
Windows用户
# 删除计划任务
schtasks /Delete /F /TN "OpenClaw Gateway"
# 删除残留文件
Remove-Item -Force "$env:USERPROFILE\.openclaw\gateway.cmd"
最后一步(推荐)
命令跑完以后,最好重启一次电脑。目的是把可能残留的后台进程和运行入口一起清理干净。
三个最容易漏的细节
1. 多profile情况
如果你当时用了 --profile 创建了多个配置,每个profile都有独立目录:
# 看看有没有残留
ls -d ~/.openclaw-*
# 有的话全部删掉
rm -rf ~/.openclaw-*
2. 远程模式
如果你的虾是跑在另一台电脑上(远程模式)——
抱歉,你还得登录到那台远程机器上操作,本机操作是不够的。
3. 源码安装
如果你当时是 git clone 跑的:
顺序很重要:
先按上面步骤卸载Gateway 再删仓库目录 最后清理状态
顺序反了会出问题。
验证是否干净
最后检查一下:
# CLI是否移除
which openclaw 2>/dev/null && echo"⚠️ CLI还在" || echo"✅ CLI已移除"
# 目录是否删除
[ -d ~/.openclaw ] && echo"⚠️ 目录还在" || echo"✅ 目录已清"
# Gateway是否停止
ps aux | grep -i openclaw | grep -v grep
如果三项都显示 ✅,就算彻底告别这只虾了。
我们认为工具本身没有对错,但风险确实存在。官方已经发出预警,建议用户按不要盲目追风“养龙虾”。必须要在了解其风险前提下,养一只自己的“龙虾”。
建议大家可以去虚拟机上体验“养龙虾”,参考文章:如何释放OpenClaw的能力,我们推荐Mac虚拟机