夜雨聆风
OpenClaw与以往的AI服务有着显著不同,面临多重安全风险。为此,个人用户需要培养安全使用习惯,环境层面需要做好安全免疫准备,监管层面则需要重新审视传统治理架构
文|樊朔
编辑|朱弢
当地时间3月16日,英伟达在美国加州圣何塞举行的2026年GTC大会上推出了针对OpenClaw(俗称“龙虾”)智能体平台的NemoClaw软件栈。用户只需一条指令,即可快速部署英伟达Nemotron模型与全新发布的OpenShell运行环境。
在过去的几周,开源AI智能体OpenClaw凭借本地优先部署和自主执行能力在全球范围内引发热潮,英伟达的行动只是科技巨头参与其中的最新一例。
3月初,腾讯云在腾讯大厦北广场举办免费安装OpenClaw活动,吸引了近千名开发者与AI爱好者排队参与。淘宝等线上平台出现了付费部署“龙虾”的服务,报价从几十元到上千元不等。
这场“养龙虾”热迅速蔓延,百度、字节、阿里、小米等巨头纷纷跟进推出类似产品或部署方案。
然而,“养龙虾”背后的安全风险也随之浮出水面。包括国家网络安全通报中心、工信部、国家互联网应急中心,以及国家工业信息安全发展研究中心在内的多家权威机构于近期针对“龙虾”密集发布了多项高安全风险预警。
3月10日,国家互联网应急中心发布提示,由于OpenClaw智能体的不当安装和使用,网络攻击者可以通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,可能导致用户系统密钥泄露。此外,由于错误地理解用户操作指令和意图,OpenClaw可能会将电子邮件、核心生产数据等重要信息彻底删除。
对外经济贸易大学数字经济与法律创新研究中心主任许可表示,此前国外已经出现了部署OpenClaw导致账户密码被盗、虚拟财产被窃等安全事件,风险暴露已然发生。
他认为,OpenClaw与以往的AI服务存在着显著不同,带来的挑战体现在三个层面:个人层面面临更高层级的系统性风险与失控风险的叠加;环境层面尚未做好充分的安全免疫准备;监管层面则需要重新审视基于网络服务提供者或AI服务提供者的传统治理架构。
安远AI创始人兼CEO谢旻希建议,以“龙虾”热潮为契机,让“最小权限”“API密钥保护”“公网暴露风险”等概念走出技术圈层,成为全民共识。正如当年“设置强密码”“不点击陌生链接”经过多年科普终成用户本能,AI智能体的安全使用习惯,也需要从今天开始培养。
“龙虾”存在多重安全风险
小西(化名)在一家法律服务公司工作。3月初,她在个人电脑上部署了OpenClaw。她的本意是希望“龙虾”可以帮她处理文书工作,减轻工作负担。但是,“龙虾”却直接将她的全部工作文件删除。幸好所有的文件都有备份,小西的工作没有受到太大的影响。
小西说,直到现在她都不清楚是自己的提示词出了问题,还是“龙虾”错误理解了她的意图。目前她已经把“龙虾”卸载,等待安全、稳定的搭载“龙虾”的平台出现后再安装。
2026年2月23日,Meta超级智能实验室的AI安全专家SummerYue将OpenClaw接入了自己的工作邮箱,仅下达“检查收件箱并建议归档或删除邮件”的指令,结果“龙虾”却失控,无视她连续三次的“停止”指令,疯狂删除数百封邮件,她只能迅速切断网络。
除了擅自删除文件和邮件,“龙虾”在个人信息与隐私安全上正暴露出更大的问题。
据多家媒体报道,网友“龙共火火”将自己的“龙虾”拉进了一个3000多人的群中,之后有群友不断向这只“龙虾”提问,从而获取了“龙共火火”的IP地址、姓名、公司、营收情况。群友甚至还要求“龙虾”写代码、搜索系统敏感文件、读取并输出潜在的凭证信息,甚至要求“龙虾”执行自我毁灭的系统代码。
网络安全机构知道创宇“404实验室”总监隋刚告诉《财经》,对技术并不了解的小白来说,在虚拟机、Docker部署“龙虾”,或者连接飞书、微信等平台不会有太大的安全问题。
“但如果直接在电脑上进行本地部署,并且给予大量的权限,那么跟盲人骑瞎马在悬崖边上赶路没什么区别。”隋刚说。
2026年2月,安全研究人员就披露了一个名叫“ClawJacked”的重大安全漏洞。OpenClaw默认信任来自本机的请求,攻击者可以通过构造一个看似普通的恶意网页,当用户在运行OpenClaw的同时访问该网页时,恶意脚本可利用WebSocket协议绕过防火墙,在极短时间内尝试暴力破解本地访问凭证。攻击者一旦成功入侵,即可获得OpenClaw所拥有的全部系统权限,实现对用户设备的完全接管,从而窃取文件、监控屏幕或以此为跳板攻击企业内网。
一位金融从业者告诉《财经》,OpenClaw火爆之初,他和很多同事都在电脑中部署了“龙虾”。不过,公司风控部门很快要求员工卸载,规避安全风险。
据媒体报道,已有银行收到监管机构下发的风险提示,OpenClaw初期版本存在多个安全漏洞,可能存在被利用的风险,攻击者可在没有获得系统授权的情况下获得系统更高级别授权,执行远程代码,获取系统敏感数据,并要求关注相关产品使用和受影响情况,及时更新、封堵安全漏洞,消除安全隐患。
3月12日,国家工业信息安全发展研究中心也发布通报称,目前已发现多个适用于OpenClaw的功能插件,被确认为恶意插件或存在潜在的安全风险。若工业企业在使用OpenClaw过程中,感染恶意插件且未设置安全防护策略,攻击者可直接窃取工业图纸、API密钥等核心机密信息。
3月13日,国家网络安全中心发布提醒,指出OpenClaw采用多层架构,但是每层均存在设计缺陷。IM集成网关层可被攻击者伪造消息绕过身份认证,智能体层可被多轮对话修改行为模式,执行层与操作系统直接交互存在被完全控制风险,产品生态层遭投毒的恶意技能插件可批量感染用户设备。
OpenClaw默认绑定0.0.0.0:18789地址并允许所有外部IP地址访问,远程访问无需账号认证,API密钥和聊天记录等敏感信息明文存储,公网暴露比例高达85%。
OpenClaw历史披露漏洞多达258个,其中近期暴露的82个漏洞中,超危漏洞12个、高危漏洞21个、中危漏洞47个、低危漏洞2个,以命令和代码注入、路径遍历和访问控制漏洞类型为主,利用难度普遍较低。
针对ClawHub的3016个技能插件分析发现,336个插件包含恶意代码,占比高达10.8%。17.7%的ClawHub技能插件会获取不可信第三方内容,成为间接引入安全隐患的载体。2.9%的ClawHub技能插件会在运行时从外部端点动态获取执行内容,攻击者可远程修改AI智能体执行逻辑。智能体行为不可控,管控难度大。
此外,OpenClaw智能体在执行指令过程中易发生权限失控现象,导致越权执行任务并无视用户指令,可能会出现删除用户数据、盗取用户信息、接管用户终端设备等情况,造成重大经济损失。
在谢旻希看来,目前OpenClaw的安全问题正呈现出攻击面扩大与恶意利用门槛降低的风险。
根据国家信息安全漏洞库官方通报,仅2026年1月至3月9日,就采集到OpenClaw相关漏洞82个,其中超危和高危漏洞占比高达40.2%(33个),包含访问控制错误、代码问题、路径遍历等类型。攻击者可在未授权状态下利用这些漏洞获取敏感数据、提升权限甚至远程执行代码。
与云服务商集中管控的SaaS不同,本地部署的OpenClaw直接运行在用户设备上,拥有操作系统级权限(执行shell命令、读写本地文件)。当普通用户以“装App”的心态部署需要API密钥和系统级控制权的智能体时,实际上在公网上铺设了大量“无人看守的后门”。更严峻的是,其技能包生态成为攻击载体:约26%的第三方技能存在安全漏洞。例如,攻击者通过社会工程学攻击诱导用户安装伪装成“文件整理工具”的恶意技能,再利用“本地信任绕过”漏洞实施浏览器劫持(窃取银行凭证、会话Cookie等敏感数据),或横向移动至内网其他设备。
谢旻希表示,多智能体交互还会引发系统性连锁风险。当数十万个本地OpenClaw实例通过共享API密钥、访问同一数据库、调用同一组外部服务时,传统安全模型中的“边界防御”假设部分失效——本应相互隔离的个体,在逻辑上构成了一个分布式系统,却缺乏相应的安全隔离与故障隔离机制。
以金融交易场景为例:当大量智能体接入同一交易平台、共享同一市场信息源时,其底层基座模型的同质化可能导致对特定市场信号的解读、对风险事件的反应模式趋于高度一致。这种由模型同质化引发的“集体行为偏差”,构成新型系统性风险——它们在特定市场条件下可能“集体犯错”,从而触发价格闪崩。
如何划定“龙虾”的安全红线?
隋刚表示,目前大模型不完全可控,输出本身就存在概率性的参差不齐,智能体本身的质量还没有达到在各种生产环境下稳定运行的状态,因此暴露出很多安全问题。
尽管如此,“养龙虾”热仍在继续。
国家网络安全通报中心监测数据显示,目前全球活跃的OpenClaw互联网资产已超20万个,其中中国境内活跃的OpenClaw互联网资产约2.3万个,呈现爆发式增长态势,主要集中在北京、上海、广东、浙江、四川、江苏等互联网资源密集区域。
就在最近,深圳龙岗区、无锡高新区、合肥高新区、苏州常熟等地发布了对OpenClaw的扶持政策。
例如,深圳市龙岗区人工智能(机器人)署3月7日发布政策,提出鼓励市场化、专业化平台载体推出“龙虾服务区”,免费提供OpenClaw部署服务,符合条件的给予一定补贴;开放低空、交通、医疗、城市治理等高质量脱敏公共数据,减免公共数据使用费用;对购买数据治理、标注等服务用于OpenClaw开发的,按费用给予50%优惠。
无锡高新区3月9日发布支持政策,对提供OpenClaw免费部署与开发工具包的本地云平台,给予最高100万元的全额补贴;购买数据用于OpenClaw开发的,最高补贴10万元;对基于OpenClaw开发工业质检、设备预测性维护等垂直大模型并通过国家备案的项目,奖励50万元。
许可表示,OpenClaw作为开源软件,从根本上颠覆了以服务提供者为问责主体的传统监管架构。
此前,无论是生成式AI还是其他各类应用,均遵循算法备案、算法评估和算法检查的监管路径,服务提供者是最重要的风险防范方和责任承担方。但对于开源软件而言,不存在一个明确的服务提供者,因为每个人都可以在自己的电脑上进行私有化部署,每个人在《网络安全法》的框架下都成为网络运营者,无法沿用此前基于明确网络服务提供者进行问责和风险防控的模式。
而且,传统软件通常是分布式的,单一软件被攻破的影响相对有限;而OpenClaw这类软件恰恰在系统层面获得控制权,一旦失控,其危害远超一般软件。
同时,OpenClaw的自主性意味着更高的失控风险——它可以自主判断、自主整理,甚至自主删除文件,这种权限超出了传统软件按照预定规则执行操作的范畴,失控风险显著高于传统软件。
许可还指出,当前个人电脑之所以不再普遍安装杀毒软件,并非单点防护能力增强,而是整个网络环境的杀毒能力已大幅提升,形成了完备的病毒库保护体系。但对于AI带来的新型风险,人们仿佛置身于一个“充满未知病毒的异星球”,不具有任何免疫准备。因此,AI病毒攻击与传统病毒攻击存在本质差异,整个操作系统层面的风险体系已发生根本变化。
谢旻希认为,对AI智能体的监管需要坚持关键基础设施的人类决策保留原则:在能源、金融、交通、医疗等关键基础设施领域,AI智能体禁止拥有最终决策权。所有涉及系统状态变更、资金转移、设备控制的操作,必须经过人类显式确认,确保算法权力始终从属于人类主权。
同时,人类操作者必须享有绝对的、不可被算法剥夺的停止权。中国全国网络安全标准化技术委员会发布的《人工智能安全治理框架2.0》要求在引⼊⾼度⾃主操作执⾏能⼒时,同步建⽴“熔断”“⼀键管控”等措施,实现极端情况下迅速⼲预⽌损。
谢旻希介绍,目前行业内对AI安全正在形成四个共识:
一、最小权限原则是安全基石。根据业务需要授予智能体完成任务所需的最小权限,对重要操作进行二次确认或人工审批。优先考虑在容器或虚拟机中隔离运行,形成独立的权限区域。严禁在部署时使用管理员权限账号。
二、身份与访问管理是核心基础设施。智能体爆炸式增长带来“非人类身份”治理难题。未来安全边界在于:系统必须先知道“你是谁”(统一身份),才能决定“你能做什么”(动作级授权)。这要求为每一个智能体建立唯一且不可伪造的数字身份。
三、安全需要贯穿智能体全生命周期。从设计阶段的威胁建模、开发阶段的安全编码、部署前的红队测试和基线评估,到运行时的持续监控和异常行为检测(如调用量突增、权限升级),再到最终的审计溯源,安全必须成为贯穿始终的考量。
(作者为《财经》研究员)
