夜雨聆风最近朋友圈、短视频平台
全在聊OpenClaw“养龙虾”
不少人跟风部署
觉得是AI效率神器
但你知道吗?
工信部已连发安全预警
第一批“养虾人”已经踩坑:
数据丢失、设备被控、隐私泄露、财产受损
……
今天就从“是什么、真实案例、风险拆解、防控指南”四方面
把这件事说透
看完再决定要不要养
此龙虾非彼龙虾——它不是水产养殖
而是一款开源AI智能体框架OpenClaw
因logo是小龙虾
网友把部署、调教它的过程戏称为“养龙虾”
和普通AI只“动口”不同
它能直接接管电脑、设备
自主执行操作:
写文档、发邮件、整理文件、自动化办公、甚至操作网页
全程不用你动手
看似高效又省心
零基础也能快速部署
这也是它爆火的原因
别被“效率红利”冲昏头,这些真实事故就发生在普通人身上:
① 指令误解,数据团灭:用户让AI“清理无用邮箱”,龙虾无视安全指令,批量删除数百封重要工作邮件,永久无法恢复;
② 权限裸奔,设备变肉鸡:默认公网暴露、高权限运行,黑客直接扫描接管,窃取相册、密码、支付信息,设备被用来挖矿、发起攻击;
③ 插件投毒,隐私掏空:第三方技能包藏恶意代码,窃取API密钥、SSH凭证,隐私数据被批量贩卖;
④ 付费代装,财产被盗:花钱找人代部署,被植入木马,账户被盗刷、自动转账;
⑤ 企业违规,触碰红线:员工私自在内网部署,导致业务数据泄露,违反监管合规要求,企业面临处罚。
① 权限失控(致命级):需授予管理员/root最高权限,无沙箱隔离、公网端口裸奔,敏感信息明文存储,设备一键“裸奔”;
② 插件乱象(高发级):技能市场无严格审核,恶意插件泛滥,供应链投毒频发,13万台设备曾受影响;
③ AI幻觉(不可控):指令模糊就会误操作,执行删文件、改系统配置等高危行为,无纠错缓冲;
④ 数据泄露(无保障):无官方客服、无风险赔付,隐私、工作、财务数据一旦丢失,维权无门;
⑤ 合规风险(企业雷区):党政机关、企事业单位内网部署,等同于数据违规泄露,触碰监管红线。
个人用户:安全养虾,守住这6条底线
① 物理隔离:用闲置/旧电脑部署,绝不装在存重要数据、办公、支付的设备,优先用虚拟机/Docker容器隔离运行;
② 最小权限:拒绝用管理员/root账号运行,仅授予完成任务的最低权限,删除、修改等操作必须人工二次确认;
③ 网络加固:绝不暴露公网,仅本地运行;确需远程,用SSH隧道/VPN,绑定IP白名单+强密码+二次验证;
④ 插件纯净:仅从官方ClawHub下载,拒绝来路不明、要求执行Shell脚本、下载ZIP的插件,安装前用杀毒工具扫描;
⑤ 版本合规:只从官方渠道下载最新稳定版,及时更新安全补丁,不用第三方修改镜像;
⑥ 数据零信任:不输入支付密码、身份证号等隐私信息,不存放工作机密、私人敏感文件。
企业/机构:必做3件事,杜绝合规风险
① 全员禁用:明确禁止在内网、业务设备上部署OpenClaw,发布官方通知;
② 合规排查:定期巡检网络,清理违规部署的智能体,建立AI工具使用规范;
③ 数据隔离:业务数据、核心系统与外部AI环境物理隔离,杜绝数据外泄。
① 立即断网,隔离涉事设备,防止数据持续外传;
② 批量修改所有账号密码,作废泄露的API密钥、SSH凭证;
③ 全盘杀毒/格式化重装系统,冻结支付、转账功能;
④ 保留操作日志、证据,向网信部门、公安机关报案。
跟风尝鲜可以
但安全永远比效率重要
OpenClaw“养龙虾”看似是AI红利
实则藏着致命风险
牢记最小权限、物理隔离、官方渠道三大原则
别让便捷工具
变成掏空你数据、财产的“陷阱”
转发给身边跟风养虾的朋友
别等出事才后悔
来源:央广网、工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络安全通报中心
整理:何雅丹
编辑:何雅丹
