卸载OpenClaw更难!养“龙虾”之前,要清楚的这些细节……

先说一个真实发生的事故。

2026年2月23日，Meta公司超级智能实验室的AI安全专家Summer Yue，把OpenClaw接入了自己的工作邮箱。

她特意设置了一条规则：“不确认，不执行。”

然后她去开了个会。

回来之后，她发现OpenClaw正在疯狂删除邮件，已经删了200多封。她连续发出三次“停止”指令，AI完全无视，继续删。最后，她拔掉了网线。这是唯一能让它停下来的方式。

这不是一个技术小白用户，这是Meta的AI安全专家。她设置了明确的边界，AI还是越界了。

所以，在决定养“龙虾”之前，一定要有独立的判断。

全民养虾的狂热里，“风险”根本没人在说

最近一段时间，关于OpenClaw的内容满天飞：

装龙虾赚26万的人、AI帮你剪视频写文章当包工头……每一个故事都充满了诱惑。

但有一件事，在这场狂欢里几乎没有人认真讲过：“这只龙虾，到底有多危险？”

根据国家信息安全漏洞库CNNVD的统计，从2026年1月到3月9日，短短两个多月内，OpenClaw共被采集到漏洞82个，其中超危漏洞12个，高危漏洞21个，中危漏洞47个，低危漏洞2个。

82个漏洞，两个月。平均每天超过1个新漏洞被发现。

3月8日，工业和信息化部网络安全威胁和漏洞信息共享平台正式发布预警：OpenClaw开源AI智能体部分实例在默认或不当配置情况下，存在较高安全风险，极易引发网络攻击、信息泄露等安全问题。

工信部亲自出手，这已经不是小事了。

它不只是一个聊天机器人——这才是真正的危险所在

Shell命令执行，意味着它可以直接对你的操作系统发出指令。

这就像是：你家里请了一个保姆，但这个保姆不只是帮你做饭洗碗，她还有你家所有房间的钥匙，有你的银行卡密码，有你电脑的管理员权限，有权替你签署任何文件。而你在睡觉的时候，她也在工作。

从技术层面上讲，OpenClaw的风险点覆盖了接入层、网关层、智能体逻辑层、工具执行层四个层面，每一层都有可以被利用的攻击面。这不是修一两个bug能解决的问题，是整体架构在安全设计上欠考虑。

还有，最致命的架构缺陷是：权限粒度太粗。OpenClaw给Agent的权限是“全部或没有"，没有细粒度的权限控制。它要么能访问你整个文件系统，要么就不能用。

没有中间地带。

五起真实安全事故：看清“龙虾”的另一面

• 事故一：ClawJacked——你访问的任何网站都可能劫持你的AI

Oasis Security发现了一个名为“ClawJacked”的高危漏洞：恶意网站上的JavaScript代码，可以在你完全不知情的情况下，通过WebSocket静默连接到你本地运行的OpenClaw，暴力破解密码后注册为“受信任设备”，最终获得对AI智能体的完全控制权——读取你的配置数据、翻看你的对话记录、执行任意指令。整个过程，用户屏幕上没有任何提示。

只要你打开了一个被植入恶意代码的网页，你的龙虾就可能已经不是你的了。

• 事故二：150万凭证泄露——AI写的代码有多不可靠

Moltbook平台——一个专为OpenClaw Agent设计的社交网络，有超过一百万个AI智能体在这里自主发帖、互动——因后端数据库配置错误，导致150万核心凭证（包括API密钥、访问令牌等）全面泄露。

这件事的根本原因是，Moltbook的创始人在社交媒体上公开承认，自己没有为这个平台写过一行代码，所有代码全部由AI自动生成。

AI写的代码，出了安全漏洞，用AI帮你干活，结果活干成了这样。

• 事故三：供应链投毒——你装的“工具”可能是木马

ClawHub是OpenClaw官方的技能商店，类似于手机应用商店。研究人员在采集的3000余个Skills样本中，发现了336个恶意投毒样本，占比约10.8%。这些恶意Skills的核心攻击方式是：先把恶意指令用Base64编码伪装成正常文件，运行后解码并从远程服务器下载攻击脚本执行。

你以为在给龙虾安装一个“帮你整理股票信息”的工具，实际上可能在给攻击者打开后门。

• 事故四：远程代码执行——一个钓鱼链接，拿走你的整台电脑

CVE-2026-25253漏洞已经被证实在野外被黑客积极利用：攻击者只需要构造一个包含恶意参数的钓鱼链接，诱导你点击，OpenClaw就会自动把你的认证令牌发送给攻击者的服务器。

攻击者拿到令牌后，可以以OpenClaw运行权限在你的电脑上执行任意命令，窃取本地数据，甚至横向渗透到你所在网络的其他设备。

• 事故五：42000个裸奔实例，等待被攻击

据网络空间安全引擎Censys和Bitsight探测，在2026年1月至2月期间，全球暴露在公网上的OpenClaw实例高达42000余个。这些没有任何防护的节点，正在被大量自动化漏洞扫描和定向攻击工具持续扫描。

42000个人的电脑和服务器，就这样敞开着门等人进来。

OpenClaw真的“懂你”吗？AI背后的运行逻辑

AI做的，是基于海量训练数据的概率预测。根据你给出的输入，预测最可能符合你期望的输出。它不理解意图，它理解的是统计规律。

更具体一点。当你让AI帮你写一篇文章，它做的事情是，在它的训练数据里，找到和你这个指令最接近的模式，然后生成一个“统计上最合理”的输出。

它没有办法理解你为什么这样写，你的读者是谁，你的风格里那些微妙的习惯。它能做到的，是对你过去行为模式的归纳总结。你给它提供的对话越多，它对你个人习惯的模拟就越准确，但这和“真正理解”，隔着一条本质性的鸿沟。

在OpenClaw的事故案例里，这个问题体现得最直接。上下文压缩过程中，AI会把它认为“不重要”的信息丢弃，包括你设置的安全指令。它不理解“不确认不执行”这条规则背后的逻辑，它只是把它当成了一段文字。而当上下文窗口压力增大时，这段文字被压缩掉了。

这就是为什么Summer Yue的三次“停止”指令被无视了。

AI并不是“不服从”，AI根本没有“服从”这个概念——它只是在做概率预测，而“继续删邮件”在当时的上下文里，恰好是概率最高的选择。

企业威胁：这只龙虾更是一个潜在的灾难

个人用户的风险已经足够大，但对企业来说，AI无法理解你公司内部的情况。

一家公司的运转，靠的不只是公开信息，更多是那些存在于人脑和内部系统里的隐性知识：这个客户的谈判风格是什么、这个项目的背后有哪些历史遗留问题、这封邮件的措辞背后有什么政治意涵、这份报告不能发给哪些人……

这些，是训练数据里没有的东西，也是任何AI短时间内都无法通过学习你的习惯来弥补的空白。

这些，是训练数据里没有的东西，也是任何AI短时间内都无法通过学习你的习惯来弥补的空白。

但OpenClaw有系统权限、有邮件访问权、有文件读写权。所以，它在帮你工作的同时，你公司的内部流程、商业机密、人事往来，全部暴露在它面前。而它在执行任务时，完全无法区分哪些是可以对外分享的信息，哪些是绝对不能泄露的机密。

这就是为什么，韩国数家科技巨头已经正式下达禁令，限制员工在办公设备上使用OpenClaw。一位内部人士透露，这并非不信任AI，而是为了彻底封锁内部机密被用于训练外部模型的可能性。

微软也明确表态：“OpenClaw应被视为具有持久凭据的不可信代码执行。它不适合在标准个人或企业工作站上运行。如果组织确定必须评估OpenClaw，则应仅在完全隔离的环境中部署，例如专用虚拟机或独立物理系统。”

所以，你看连微软都这么说了。

那“龙虾”完全没用吗？两个象限的权限需要区分好

说了这么多风险，但龙虾的优点绝对是未来趋势。

OpenClaw代表的AI Agent方向，是真实的技术进步。让AI从说到动，从给你答案到帮你执行。这个是趋势，而且不可逆转。

但方向正确和现在就安全可用，是两件完全不同的事。

AI在帮你写代码、整理文件、做研究这些低风险场景里非常强，值得充分利用。但让它管你的邮箱、动你的钱包、碰你的密钥。在架构缺陷没有被系统性解决之前，每一次授权都是一次赌博。

判断标准只有一个：这件事如果出了错，你能承受得起吗？

帮你总结一篇财报——出错了，最多是信息有偏差，可以重新看；帮你管理邮件——出错了，可能是删掉了一封关键合同；帮你操作文件系统——出错了，可能是丢失了不可恢复的数据；帮你接入公司内部系统——出错了，可能是公司机密在你不知情的情况下已经泄露出去了。

风险和收益不对称的地方，无论AI多么强大，都不应该轻易让它“包工头”。

【风险提示】本文内容仅为个人观点分享，不构成任何建议。