夜雨聆风
一、OpenClaw为什么突然这么火?
OpenClaw这几天很火,火到连官方都连续发声。
原因很简单:它给人的感觉,不再是“AI陪你聊天”,而是“AI真的开始替你干活”。
它能理解自然语言,再直接去操作电脑、读取文件、调用API、安装扩展、执行任务。对普通用户来说,这种体验特别容易上头,所以很快就被大家玩成了“养龙虾”梗。而且国内主流云平台还给了它一键部署能力,这又进一步降低了上手门槛。
但也正因为它不是普通聊天机器人,风险才跟着一起放大了。
▲ 新华网报道:国家互联网应急中心发布OpenClaw安全应用风险提示
· · ·
二、这波官方到底在提醒什么?
这波不是一条提醒,而是连续几天的密集发声:
时间 | 事件 |
3月10日 | 新华社报道国家互联网应急中心发布OpenClaw安全应用风险提示 |
3月11日 | 工信相关平台给出“六要六不要”建议 |
3月12日 | CNCERT官网正式挂出《关于OpenClaw安全应用的风险提示》 |
3月13日 | 国家网络与信息安全信息通报中心发布安全风险预警 |
▲ 工信部发布关于防范OpenClaw开源智能体安全风险建议
▲ 国家网络与信息安全信息通报中心通报OpenClaw安全风险预警
核心信号:OpenClaw不是不能用,而是不能“裸用”。
· · ·
三、真正危险的,不是它聪明,而是权限太大
OpenClaw这类智能体,为了实现“自主执行任务”,往往会拿到比较高的系统权限:访问本地文件系统、读取环境变量、调用外部服务API、安装扩展和技能包、执行系统级操作。
⚠️ 注意:CNCERT在风险提示里说得非常直接:其默认安全配置“极为脆弱”,一旦被攻击者找到突破口,可能轻易获取系统的完全控制权。
这句话的分量其实很重。因为它不是在提醒你“可能有点不安全”,而是在提醒你:如果你把它直接装进主力机器、默认开权限、还暴露到公网,那它就可能从一个效率工具,变成一个安全入口。
· · ·
四、被点名的四大安全风险
1. 提示词注入:它以为在“看网页”,其实在“吃指令”
CNCERT明确提到,攻击者可以把隐藏恶意指令塞进网页等内容里,诱导OpenClaw读取后执行危险操作,甚至导致系统密钥泄露。
你给它看的,不一定只是内容,也可能是别人给它下的套。
2. 误操作:它可能自己“会错意”
官方还点了另一个很多人容易忽略的风险:如果智能体理解错了用户意图,它可能删除邮件、误删核心生产数据,或者执行了本不该执行的操作。
你让一个有执行权限的AI理解错一句话,可能就是文件没了。
3. 插件和技能包:最容易踩坑的地方
CNCERT提到,多个适用于OpenClaw的功能插件已被确认恶意或存在潜在风险,安装后可能执行窃取密钥、植入木马等操作。工信相关“六要六不要”也提醒,不要随意安装来路不明的插件、技能包,不要执行不可信脚本。
主程序你还会警惕,插件你反而更容易掉以轻心。
▲ 中国互联网金融协会发布金融行业应用安全风险提示
4. 公网暴露:风险直接拉满
国家网络与信息安全信息通报中心3月13日的预警里提到,全球活跃的OpenClaw互联网资产已超20万个,其中境内约2.3万个,而且大量暴露在互联网的资产存在重大安全风险,极易成为攻击目标。
你把一个能读文件、跑命令的AI直接挂到公网,这不叫方便,这叫给攻击者留门。
· · ·
五、为什么特别强调“最小权限”?
因为这类智能体和传统软件不太一样。传统软件权限开大了,很多时候只是“看起来多余”;但智能体权限开大了,它会把这些能力真正用起来。
工信相关建议里反复强调的思路是:要隔离运行、要限制目录和指令范围、要减少系统权限、要避免直接暴露公网、要保留日志审计、要及时更新补丁。不要把它当成随手装的效率工具,而要把它按“半自动化执行系统”来看。
“最小权限”不是因为政治正确,而是因为它真的是最便宜、最有效、最现实的一道防线。
· · ·
六、哪些场景最要小心?
场景 | 主要风险 | 关键建议 |
智能办公 | 接入内部系统后,风险沿内网横向扩散,带来数据泄露和合规问题 | 严格限制访问范围,网络隔离部署 |
开发运维 | 直接碰服务器、脚本、配置文件,出事后可能变成系统级问题 | 限制高危命令和执行范围,沙箱运行 |
个人助手 | 装在主力电脑上,插件有问题或判断出错,损失直接落在个人 | 优先虚拟机或沙箱,权限只给最低限度 |
金融交易 | 资金损失、数据泄露、合规风险均被单独点名 | 强制人工复核,严格审计 |
· · ·
七、普通用户该不该“养龙虾”?
我的判断很直接:可以试,但别在主力环境里“裸养”。
它确实代表了AI从“会说”走向“会做”的趋势,这一点非常重要。未来真正改变工作流的,不会只是聊天框,而是这种能执行、能操作、能接系统的智能体。但也正因为如此,它不是拿来随便玩的玩具。
很多人现在对OpenClaw的态度,问题不在于“太谨慎”,反而在于“太兴奋”。一兴奋,就容易犯三个错:直接装在主力电脑;默认高权限不收;见插件就上、见教程就抄。这三件事叠在一起,基本就把风险凑齐了。
· · ·
八、给普通人的六条避坑清单
✅ 别装在主力电脑上
优先虚拟机、沙箱、独立测试环境。
✅ 权限只给最低限度
能只读就不要可写,能限制目录就不要全盘开放,能禁高危命令就别留口子。
✅ 不要裸奔公网
不要默认把服务暴露到互联网,远程访问也要收紧认证和访问控制。
✅ 插件来源一定要谨慎
不明技能包别装,不可信脚本别跑。
✅ 日志别关,补丁别拖
详细审计和及时更新,都是事后追溯和降低风险的基本动作。
✅ 关键操作加人工复核
涉及钱、权限、核心数据的操作,不要让它自己一把梭。
· · ·
最后一句
OpenClaw这波爆火,本质上是大家第一次这么直观地感受到:AI已经不只是“会回答”,而是开始“会操作”。
这当然很爽。但越是这种“能替你点按钮”的东西,越不能按玩具来对待。
真正该学会的,不是怎么把AI权限开满,而是怎么在它开始替你干活之前,先把它关进合适的笼子里。
你愿意把一个能读文件、跑命令的AI放进自己的主力电脑吗?欢迎在评论区聊聊你的看法。
