夜雨聆风你听说过"养龙虾"吗?科技圈最近在讨论的,不是海鲜,而是 OpenClaw——一个开源 AI Agent。我花了两天研究这东西,来聊聊它到底能干啥,值不值得装,以及要注意什么坑。
先说它能干啥
本质上,OpenClaw 就是一个跑在你自己机器上的 AI 助手。你发一条消息,它帮你执行各种任务——搜资料、整理邮件、盯行情、发社交动态。
我试了一下,问它"最近AI圈有啥大新闻",10分钟后真给我整理出来一份摘要。问它"把我邮箱里上周的客户反馈整理成表格",它还真做到了。对于每天被重复性信息工作消耗的人,这东西确实能省时间。
但我必须提醒你一件事
今年3月,安全研究员曝光了一个叫"ClawJacked"的漏洞——攻击者可以完全接管你的 OpenClaw 助手。它跑在你的服务器上,有完整命令行权限,一旦被黑,你的服务器就等于别人在用了。这不是危言耸听,是真实发生过的。
普通人最容易踩的5个坑
第一,聊天账号是入口
OpenClaw 接入了 WhatsApp、Telegram 这些平台。一旦你的聊天账号被盗,黑客就直接绕过了第一道门。我的建议:这些账号全部开双因素认证,别省事。
第二,别让它执行危险命令
我第一次用的时候,差点让它执行"rm -rf"删数据——回头一看脊背发凉。建议刚开始只给它读权限,观察一阵子再放开写操作。
第三,API 密钥别写进配置文件
用 OpenAI 或者 Anthropic等各种API,密钥千万别直接写在代码里。服务器被入侵,密钥就泄露了。用环境变量管理,麻烦一点但安全很多。
第四,及时更新
3月的漏洞官方已经修复了,但前提是你得更新。别装完就当甩手掌柜,每周一睢一眼版本,有更新就升级。
第五,网络访问要隔离
它能联网、能发消息,某种程度上也意味着它能访问你不想让它碰的东西。给它的网络访问加限制,用防火墙划一块隔离区,至少别让它能访问内网。
装不装,关键看你愿不愿意为它花时间折腾。它的能力是真的,但安全风险也是真的。你愿意用时间换效率,还是保守一点等它更成熟再上车,还是取决于你自己的选择吧!
