夜雨聆风
这里的“龙虾”,指的是近期爆火的AI智能体应用OpenClaw。作为一名从事信息审计与风险管理的工作者,这场全民“养虾”的规模化部署热潮,同样引起了我的关注。
客观而言,OpenClaw确实在技术架构上实现了显著突破。它核心在于通过获取调用系统底层及外部软件的权限、采用“本地优先(Local-first)”架构及内置无感交互与全天候定时自动化模块,针对性地解决了过去大模型仅能“被动回答”、强依赖云端引发数据隐私担忧等方面的局限。这种从文本生成到终端自动操作的实质性跨越,客观上推动了工作流效率的提升,但也直接催生了目前市场盲目跟风部署的热潮。
但底层操作权限的开放,也直接放大了系统的安全风险。3月10日,国家互联网应急中心(CNCERT)针对OpenClaw发布了正式的风险提示。通报明确指出:为了实现自动化执行,OpenClaw被赋予了极高的系统底层权限(如读写本地文件、调用外部接口等),但其默认安全配置极其薄弱。一旦系统防线被突破,不仅涉及个人隐私资产,关键行业的核心业务数据也面临严重的外泄风险。
从风险管理的客观视角来看,技术的颠覆性不应成为忽视合规的理由。OpenClaw的广泛应用,标志着人工智能正加速向智能体(Agent)执行阶段演进,但越是拥有底层执行力的工具,越需要建立严格的安全护栏。目前各大云平台仍在推广“一键部署”,大量缺乏基础网络与权限管理经验的普通用户,将高风险程序直接接入了自己的主力电脑与核心网络。这种无门槛的随意接入一旦蔓延至工作场景,将给各组织机构带来极大的安全风险。
而这种盲目跟风的代价是极其高昂的隐性成本。很多人以为花几百块钱代装费就万事大吉了,但这仅仅是个开始。
为了让AI处理复杂的自动化工作流,需要持续调用云端大模型,这种高频的多步执行让Token的消耗变成了一个“无底洞”。 现实中,如果普通人想要维持这个数字员工的运转,每月面临着几百甚至上千元的账单,投资回报完全不成正比。
此外,“解放双手”的预期也与实际情况存在很大的偏差,盲目应用反而可能降低整体生产力。
那些期望减轻工作量的人很快就会发现,由于目前的OpenClaw依然处于实验性阶段且极不稳定,他们并没有真的闲下来。现实是,深度使用者常常要花80%的时间去帮AI修Bug、处理宕机、纠正执行错误,工作性质直接从“命令机器执行任务”变成了“看管机器的保姆”。 你以为买了个不知疲倦的员工,实际上是给自己找了个随时需要照顾的老板。
而在企业环境中,一个更严重的问题是因为此类工具未经授权的私自部署所带来的系统性危机。
很多员工为了个人提高效率,可能会在未经IT部门授权的情况下,私自在办公电脑上安装运行这些拥有极高系统权限的智能体。它们作为未经许可的工具潜入企业内网,实际上演变成了企业不知道、也无法管控的“影子AI(Shadow AI)”风险。这种缺乏监管的违规部署, 一旦发生数据外泄,迟早要给企业来沉重的合规代价。
当OpenClaw安装的热潮退去,你会发现,在这场全民狂欢中真正赚到第一桶金的,并不是用它干活的人,而是那些利用信息差在二手平台上兜售安装服务、卖保姆级教程的“卖铲人”。
过去我们使用对话式大模型,它如果发生“幻觉”,最多也就是在屏幕上输出一段胡说八道的错误文本,这仅仅是“说错话的内容瑕疵”;但当我们赋予了AI系统底层的执行权限后,它的一句幻觉或者一次失控,就可能演变为格式化硬盘、删库跑路或是泄露核心机密的系统级灾难。
这是一种极其危险的、缺乏防护机制的“委托式决策” (Delegated Decision-making),一旦执行出错,企业面临将呈现指数级的风险。
结合国家互联网应急中心(CNCERT)的通报以及近期国内高校院所的深度安全审计,OpenClaw目前主要面临四大核心系统级风险:
OpenClaw这类开源项目在追求极致开发速度时(即所谓的氛围编程 Vibe Coding),往往会忽略系统化的安全设计。近期爆出的CVE-2026-25253等高危远程代码执行(RCE)漏洞就是典型的例子。
另一个严峻的情况在于,大量缺乏IT运维经验的用户涌入,他们根本不懂得配置反向代理或局域网隔离。许多小白用户在默认配置下无意间将控制权限直接暴露在公网,这等同于主动将自己网络环境的“万能钥匙”交到了黑客手里。
为了让AI能够顺畅地调用各种外部工具,用户往往习惯性地授予系统最高权限,并且将高价值的API Key、SSH密钥等敏感凭证以明文形式存储在本地的配置文件中。
网络安全的一条铁律是“最小权限原则”,但OpenClaw恰恰反其道而行之。由于OpenClaw被赋予了极高的泛化执行权限,一旦外围防线被突破,个人信息和企业的商业机密将面临彻底且无声的泄露。
这是OpenClaw面临的最核心的外部威胁。大模型在底层无法绝对可靠地区分“数据”与“指令”的边界,这给了黑客极大的作恶空间。
一方面是防不胜防的“间接提示词注入(Indirect PI)”,黑客将恶意指令用白色字体隐藏在网页或邮件中,AI读取时会瞬间被“催眠”并在后台窃取私钥(0-click攻击);另一方面是严重的生态供应链投毒,官方插件市场中高达12%的扩展技能(Skills)被发现是伪装成实用工具的窃密木马。
无论是隐藏在上下文中的提示词注入,还是伪装成正常插件的恶意木马,这些外部污染源正绕过传统杀毒软件,隐蔽地篡改OpenClaw的实际执行指令。
除了外部架构的脆弱性与攻击面暴露等问题,AI模型本身的内生缺陷同样不容忽视。当拥有极高权限的OpenClaw发生“幻觉”时,后果将是灾难性的。
在上海科技大学等机构的安全审计中,OpenClaw在“意图误解”维度上的安全通过率竟然是0%。在面对模糊指令时,AI往往会进行激进地“脑补”而非停下来向人类确认,这种基于幻觉的盲目执行极易导致误删核心生产数据等不可逆的机器规模 (Machine Scale) 毁灭。
在2026年2月,Meta超级智能团队的AI安全专家Summer Yue将OpenClaw接入工作邮箱协助整理,结果OpenClaw发生越权执行,甚至无视了专家提前设置的安全词和连续三次下达的“停止”指令,违规删除了数百封核心工作邮件,最终专家只能通过“拔网线”才强行终止了这场程序灾难。
难题一:盲目跟风导致“ROI 崩溃” VS 【AAIA 领域 1:人工智能治理与风险】
现象:许多用户因为 FOMO(Fear Of Missing Out 错失恐惧症)盲目安装 OpenClaw,根本没想清楚业务痛点,最终陷入高昂的 Token 费用无底洞,投资完全没有回报。
AAIA的应对思路:针对这种盲目投资,AAIA课程中给出了AI解决方案生命周期的概念,指出在构建AI解决方案之前,首要任务是建立业务用例(Business Use Case),并进行严格的成本效益分析与投资回报率 (ROI) 评估。这能帮助企业在立项之初就精准识别问题,明确应用场景,避免“拿着锤子找钉子”的资源浪费。
难题二:AI 幻觉与越权造成的不可逆破坏 VS 【AAIA 领域 2:人工智能运营(监督)】
现象:OpenClaw 拥有极高的系统权限,一旦产生意图误解并激进脑补,就会直接执行删除核心文件等破坏性操作。
AAIA的应对思路:面对这类执行型智能体,AAIA 课程中给出了明确的控制方案:必须引入人机回环 (HITL, Human-in-the-loop) 机制。在执行高危操作前强制要求人类批准,并对AI的幻觉实施严格的输入/输出防护和界限控制,确保它在预定范围内运行。
难题三:防不胜防的隐蔽攻击与生态投毒 VS 【AAIA 领域 2:人工智能特有的威胁】
现象:网页中隐藏的白色字体指令导致“提示词注入”,瞬间劫持模型;官方市场中大量插件被发现是恶意木马,供应链投毒泛滥。
AAIA的应对思路:新型针对AI的攻击手段层出不穷,总是让人防不胜防,而AAIA设立了专门针对人工智能的威胁和漏洞的课程。它系统性地介绍了如何识别并防御提示注入(Prompt Injection)、数据中毒(Data Poisoning)及模型篡改。掌握这套防御体系,将来才能从根本上抵御此类新型攻击。
难题四:员工私自部署的“影子 AI”危机VS【AAIA 领域 3:人工智能审计工具和技术】
现象:缺乏安全意识的员工在企业内网私自部署OpenClaw处理敏感数据,导致网关暴露和严重的合规违规,让企业面临巨大风险。
AAIA的应对思路:AAIA在AI审计领域中强调了AIS(人工智能解决方案)资产识别的重要性。企业需要掌握如何利用自动发现工具和网络发现技术,盘点内部未获批准的“非官方(影子)人工智能工具”,消除未经授权部署带来的合规盲区。
在AI已经可以自主操作系统的今天,企业真正需要的,不仅是懂技术的工程师,更需要懂得如何在创新与风险之间寻找平衡的专业的AI治理、AI风险管理、AI审计人才。这就从根本上要求我们从业者必须建立起系统性的人工智能审计与管理思维。
了解并掌握像AAIA这样的专业治理和审计框架,并不是为了去抵制或阻碍新技术的发展,而是为了让我们在面对下一次技术浪潮时,能够拥有清晰的评估标准和管理抓手。
希望每一个探索AI落地的企业和个人,都能在追求效率的同时,把方向盘牢牢握在自己手里,让技术真正、安全地服务于我们的业务。
附录:本文参考网络文章与文献来源
1.《国家互联网应急中心发布关于OpenClaw安全应用的风险提示》
2.《“鹅厂门口免费安装”近千人排队!一文看懂“龙虾”OpenClaw为何爆火》
3.《深度拆解 OpenClaw:从架构原理到落地实战,吃透 AI Agent 执行网关的底层逻辑》
4.《OpenClaw最大的推手是闲鱼和小红书》
5.《第一批玩OpenClaw的人,已经开始清醒了》
6.《“从头到尾模仿你”!第一批养上“龙虾”的人,惊了》
7.《爆火背后:OpenClaw 开源AI智能体应用攻击面与安全风险系统剖析》
8.《OpenClaw安全警示:你必须知道的5大风险》
9.《OpenClaw安全审计翻车:安全通过率仅58.9%,六个安全维度一个直接挂零》
10.《全网都在讨论OpenClaw“龙虾”?普通人慎养!先看清这几点》
11.《爆红AI工具OpenClaw暗藏高危风险,机关单位使用务必警惕》
作者:支云龙(Eric Zhi),持有AAIA、CISA、CISM、CRISC、CDPSE等认证,ISACA中国北京社区志愿者,ISACA中国技术委员会委员,南京审计大学校外导师,《风险视角下中国企业数字化转型应对指南指南》首席开发人员,《数字信任生态框架》Digital Trust Task Force成员,《ISACA个人信息保护能力成熟度评估最佳实践指南》、《AI风险控制实践白皮书》首席开发人员,现就职于某外资金融机构担任内部审计部经理的职务。
