夜雨聆风导语
三天前,第一次开展“养龙虾”这件事。
说实话,一开始我就是抱着凑热闹的心态,朋友圈当中一半人都在发“我的龙虾帮我写完了周报”,另一半人在骂龙虾把我的文件删了。这种两极分化的反馈,反而让我更好奇了。
结果用下来,3天时间,它帮我自动去处理了200多封邮件、整理了3个项目的技术文档、还顺手开展了一轮代码审查工作。粗算下来,至少节省了8个小时的重复劳动。
不过也踩了不少坑,中途差点因为一个恶意插件把API Key泄露出去,幸好发现得及时。
一只"龙虾"引发的连环爆雷
从“全民狂欢”到“官方点名”,只用了十天
OpenClaw的走红速度,说实话,连很多圈内人士都没有想到。
微信指数显示,2026年1月29日,“OpenClaw”这个关键词的热度还是0,第二天就跳到了253万,到了3月10日,直接飙到了1.656亿。抖音以及小红书、微博上全是“养龙虾”的内容,腾讯深圳总部门口有上千人排队求免费安装,还有人搞出了“上门代装龙虾”的服务,一次要500块。
深圳、无锡以及合肥等地政府相继出台了扶持政策,全国两会还把打造智能经济新形态写进了政府工作报告。
但这场狂欢的背后,裂缝已经出现了。
3月10日,CEO泄密事件引爆了舆论。3月11日,工信部网络安全威胁以及漏洞信息共享平台马上发布了“六要六不要”安全建议。3月13日,国家网络与信息安全信息通报中心发布了风险预警,点名OpenClaw在架构设计、默认配置、漏洞管理、插件生态以及行为管控五大方面当中存在较大安全风险。3月17日,国家安全部发布了《"龙虾"安全养殖手册》。
到了4月1日,新华网发文分析龙虾为何会引发广泛警惕,国家知识产权局也发布了相关的风险提示。
从全民追捧到官方接连开展敲打,前后还不到一个月。
【图片来源】Unsplash - Markus Spiske(免费可商用)
安全数据触目惊心
梳理了各方披露的数据之后,整理出了几个关键数字:
漏洞这个方面
GitHub安全审计报告显示,OpenClaw当中存在512项安全漏洞,其中8项为"严重"级别。腾讯朱雀实验室累计开展了200多个公开漏洞以及风险通告的跟踪工作。360安全集团发现一处高危漏洞,影响范围覆盖全球50多个国家以及地区。国际网络安全机构"绿洲安全"披露了一个名为"ClawJacked"的重大漏洞,攻击者可以借助恶意网页直接接管智能体。
恶意插件方面
ClawHub官方插件市场的3016个插件当中,有336个被检测出携带恶意代码,占比达到10.8%,高峰期还一度达到20%。这些恶意插件会窃取SSH密钥、浏览器密码以及API令牌,有的还会在后台偷偷开展挖矿工作。攻击者上传恶意插件的门槛极低,只需要注册一个非实名GitHub账号就可以进行。
公网暴露方面
全球有超过46万个OpenClaw实例暴露在公网当中。境内活跃的OpenClaw互联网资产约为2.3万个。暴露在外的实例平均每47分钟就会被扫描攻击一次。一个全新的OpenClaw服务在公网上线,几分钟内就会遭到疯狂的探测。
企业损失方面
某企业因为没开展安全测试工作,黑客借助恶意插件植入后门,三天内就窃取了200GB核心数据。有人运用OpenClaw做量化交易,因为没进行熔断机制的设置,10分钟内就自动下单200次,亏损了300万。
这些数字可不是用来吓唬人的,它是各家安全机构实实在在测出来的结果。
"龙虾"到底是怎么"反噬"主人的?
不少人都会觉得,只是在本地跑个AI工具,能出什么问题呢?
问题恰恰就出在了这个地方。OpenClaw不是普通的聊天工具,它拥有系统权限,是一个自主执行体。这也就意味着,要是它被攻破或者"叛变",后果远比你想象的还要严重。
我们总结了目前已知的主要攻击路径,大致有四条:
路径一:提示词注入——"龙虾"被人PUA了
这可以说是目前最为隐蔽,并且也最难防备的攻击方式。
简单来说,就是攻击者凭借精心构造的对话以及文档,让OpenClaw忘记原本的安全约束,来执行攻击者的指令。
CEO泄密事件就是典型的提示词注入攻击,群成员借助诱导性提问绕过了OpenClaw的安全边界,让它主动泄露了主人的敏感信息。
更可怕的还要数间接提示注入。攻击者不需要直接跟你的龙虾进行交互,只需要在某个网页、某个文档当中嵌入隐藏的恶意指令。当OpenClaw浏览这个网页或者处理这个文档时,恶意指令就悄悄进入了它的决策流程当中。
美国微软安全团队以及"众击"也就是CrowdStrike公司,都在风险报告当中重点提到了这种攻击方式。众击的文章里有一句话说得很好:攻击者无需直接和OpenClaw进行交互,只需要污染它读取的数据就可以。
路径二:恶意插件投毒——"龙虾"被人装了后门
ClawHub上的插件生态十分繁荣,但质量方面参差不齐。10.8%的恶意插件比例意味着什么呢?你每安装10个插件,就会有1个有可能在偷取你的数据。
而且这些恶意插件往往伪装得很好,它们依靠看似可靠的开发者账户来发布,凭借社区信任进行传播。用户可能只是想要安装一个“自动整理桌面”的小工具,实际上它正在后台把你的SSH密钥以及浏览器密码打包进行外传。
绿盟科技的安全报告指出,恶意插件可以让攻击者在受害者系统当中获得持久驻留能力,就算把OpenClaw卸载了,后门可能还会存在。
路径三:公网暴露——"龙虾"被人直接破门而入
这个方法是最粗暴的,但同时也最容易被忽视。
很多人为了方便开展远程访问工作,直接把OpenClaw的端口暴露在了公网上,甚至都没有设置密码。借助Shodan进行的扫描显示,全球有大量OpenClaw实例都处于这种"裸奔"的状态当中。
国家互联网应急中心的报告指出,OpenClaw的默认安全配置极为脆弱,攻击者要是发现突破口,就可以轻易获取到系统的完全控制权。
路径四:权限失控——"龙虾"自己闯了祸
不是所有事故都是由外部攻击造成的,OpenClaw它本身就存在误操作的风险。
它对指令的理解精度并不稳定,可能在理解操作意图时出现偏差,比如让它清理旧文件,它可能把重要数据也一起删掉了。同时OpenClaw拥有较高的系统权限,一旦出现误操作,破坏力会很大。
前面提到的量化交易亏损300万的案例,就是典型的权限失控,也就是龙虾在执行交易策略时陷入了死循环,因为没有进行熔断机制的设置,10分钟内疯狂下单200次。
北京中银律师事务所的高级合伙人刘晓亮律师还指出:如果OpenClaw误删了生产数据库以及核心代码,使用者可能会因间接故意涉嫌破坏生产经营罪。
这并不是开玩笑的。
【图片来源】Unsplash - Igor Omilaev(免费可商用)
官方怎么说?从"六要六不要"到"安全养殖手册"
面对OpenClaw的安全风暴,国内多家权威机构在短时间内密集发声,有人把核心内容梳理了一下。
工信部的“六要六不要”,也就是3月12日发布的相关要求
这是最早的同时也是最具体的一份官方指南:
六要:
✅ 使用官方最新版本
✅ 严格控制互联网暴露面
✅ 坚持最小权限原则
✅ 审慎下载技能包并审查代码
✅ 使用浏览器沙箱、网页过滤器
✅ 建立长效防护机制
六不要:
❌ 使用第三方镜像或历史版本
❌ 将实例暴露到互联网
❌ 用管理员权限部署
❌ 安装要求"下载ZIP""执行shell"的插件
❌ 浏览来历不明的网站
❌ 禁用日志审计功能
国家安全部发布的《"龙虾"安全养殖手册》,发布时间也就是3月17日
国家安全部的手册更多是从宏观层面来开展风险本质的分析工作,并且提出了几个很有意思的观点:
OpenClaw的“自我进化”能力,也就是长期记忆用户偏好,越用越懂用户,本身就是一把双刃剑
它可以在社交网络当中自主发声,一旦把它被攻击者接管,就可能被用来生成以及传播虚假信息,并且实施诈骗
作为开源项目,它缺乏开展专业维护以及漏洞修复的机制
恶意插件的隐蔽性,极大程度上远超传统木马程序
国家互联网应急中心的安全实践指南,发布时间也就是3月22日
这份指南拥有极强的实操性,并且针对不同的用户群体给出了差异化的建议:
普通用户:选用闲置旧电脑专门运行OpenClaw,清空个人数据;借助VMware、VirtualBox、Docker创建独立虚拟机以及容器;不在OpenClaw环境当中存储、去处理隐私数据;不运用管理员或超级用户权限来运行。
企业用户:禁止把智能体服务直接暴露在公共网络当中;做好OpenClaw服务认证以及访问控制工作;做好Skills安装的安全管控;开启例行常态化的漏洞监测。
技术开发者需要开启DM配对策略,把它设置为pairing,也就是需要验证码,以及allowlist,也就是白名单,绝对禁止设置为open;同时要确保安全认证配置为启用状态;运用内置安全审计工具开展常规检查、深度探测以及自动修复工作。
多个国家的监管机构开展跟进工作
不止是中国,海外也在开展行动。
美国方面,微软安全团队发布了风险报告,Meta也就是元宇宙平台公司,已经禁止员工在办公设备上运用OpenClaw
韩国方面,多音通讯公司已经禁止员工去使用
荷兰数据保护局建议,不要在存有敏感数据的系统当中运用OpenClaw,并且呼吁把它纳入欧盟《人工智能法》的管辖范围
当一个工具需要全球多个国家的监管机构同时出面开展警告工作的时候,它的安全风险已经不是可能存在了,而是已经爆发了。
【图片来源】Unsplash - Scott Graham(免费可商用)
安全防护实操:我总结的"四道防线"
看完了风险以及官方给出的建议,接下来就是干货部分了。
结合工信部指南、国家互联网应急中心实践指南以及慢雾安全团队的安全实践框架,还有腾讯朱雀实验室的检测工具,整理出了一套从易到难的"四道防线"。不管是个人用户还是企业,都可以找到适宜你的方案。
第一道防线:环境隔离(最基础,也最重要)
核心理念:不要让龙虾住进你的卧室。
方案A:用旧电脑(最简
核心理念就是:不要把龙虾放进你的卧室当中来住。
方案A,选用旧电脑,也就是最简单的方案
找一台闲置的旧电脑,清空所有个人数据,专门用来运行OpenClaw,开展物理隔离的工作,最为省心。
方案B:运用虚拟机,推荐大多数用户选用
运用VMware或者VirtualBox创建一个独立虚拟机,以及宿主机完全隔离。哪怕虚拟机当中的OpenClaw被攻破,攻击者也没办法出这个虚拟机。
方案C:选用Docker,推荐给开发者以及企业使用
Docker部署的核心,是在启动容器时加上几个关键参数,也就是让容器文件系统只读、丢弃所有Linux能力、禁止提权、只绑定本地回环地址。这样一来,即使容器被攻破,攻击者也无法获得宿主机的控制权,同时也无法借助网络横向扩散。
方案D:运用云服务器,推荐给有技术能力的用户
在云服务器上开展部署工作,本地借助SSH隧道进行远程访问。这样就算本地电脑出了问题,龙虾以及数据都处在云端的安全环境当中。
单)
找一台闲置的旧电脑,清空所有个人数据,专门用来跑OpenClaw。物理隔离,最省心。
方案B:用虚拟机(推荐大多数用户)
用VMware或VirtualBox创建一个独立虚拟机,与宿主机完全隔离。即使虚拟机里的OpenClaw被攻破,攻击者也出不了虚拟机。
方案C:用Docker(推荐开发者和企业)
Docker部署的核心是在启动容器时加上几个关键参数:让容器文件系统只读、丢弃所有Linux能力、禁止提权、只绑定本地回环地址。这样即使容器被攻破,攻击者也无法获得宿主机的控制权,也无法通过网络横向扩散。
方案D:用云服务器(推荐有技术能力的用户)
在云服务器上部署,本地通过SSH隧道远程访问。这样即使本地电
核心理念就是:不要把龙虾放进你的卧室当中来住。
方案A,选用旧电脑,也就是最简单的方案
找一台闲置的旧电脑,清空所有个人数据,专门用来运行OpenClaw,开展物理隔离的工作,最为省心。
方案B:运用虚拟机,推荐大多数用户选用
运用VMware或者VirtualBox创建一个独立虚拟机,以及宿主机完全隔离。哪怕虚拟机当中的OpenClaw被攻破,攻击者也没办法出这个虚拟机。
方案C:选用Docker,推荐给开发者以及企业使用
Docker部署的核心,是在启动容器时加上几个关键参数,也就是让容器文件系统只读、丢弃所有Linux能力、禁止提权、只绑定本地回环地址。这样一来,即使容器被攻破,攻击者也无法获得宿主机的控制权,同时也无法借助网络横向扩散。
方案D:运用云服务器,推荐给有技术能力的用户
在云服务器上开展部署工作,本地借助SSH隧道进行远程访问。这样就算本地电脑出了问题,龙虾以及数据都处在云端的安全环境当中。
脑出问题,龙虾和数据都在云端的安全环境里。
第二道防线:权限收敛(收住龙虾的爪子)
核心理念就是:只给龙虾它开展工作需要的最低权限。
1. 不运用管理员权限来运行
这是最为常见的错误。不少人图省事直接运用root或者管理员账号来运行OpenClaw,等于把整台机器的钥匙都交出去了。
建议创建一个专用的受限用户,只开放必要的系统命令来使用。
2. 开展人工确认断点的设置工作
对删除文件、发送数据、修改系统配置这类高危操作,开展二次确认或者人工审批的设置工作。在OpenClaw的配置当中,可以借助沙箱以及权限控制参数来开展精细的管理工作:禁止访问工作区、只读访问、读写访问,可以根据实际需要来进行选用。
3. 对DM开放策略进行禁止
开启DM配对策略,把它设置为pairing也就是需要验证码,或者allowlist也就是白名单,绝对不能把它设置为open。
第三道防线:插件管控(别让龙虾乱吃东西)
核心理念:ClawHub上的插件,10个里有1个有毒。
1. 安装前
核心理念:ClawHub上的插件,每10个当中就有1个是有毒的。
1. 安装前去开展代码审查工作
不要看到插件名字好听就直接去安装,至少扫一眼源码,查看当中有没有可疑的网络请求、文件操作以及数据外传行为。
2. 避免去安装高风险的插件
工信部已经明确警告:不要安装要求"下载ZIP"、"执行shell脚本"以及"输入密码"的插件,这三种行为本身就已经是极大程度上的危险信号。
3. 运用安全检测工具开展检测工作
腾讯朱雀实验室以及腾讯云EdgeOne联合推出了一个“一键安全体检”工具,也就是EdgeOneClawScan。完成安装之后,在对话框发送一句话就能启动全面体检。它还可以当作“隐形安全管家”来常驻,之后每次安装新插件都会自动开展前置安全审计工作。要是发现插件夹带私货,就会马上亮红牌发出警告。
4. 企业用户来建立内部白名单
企业方面建议不要让员工随意安装插件,需要建立一个内部白名单,只允许安装经过安全团队审查过的插件。
审查代码
不要看到插件名字好听就直接装。至少扫一眼源码,看看有没有可疑的网络请求、文件操作或数据外传行为。
2. 避免安装高风险插件
工信部明确警告:不要安装要求"下载ZIP"、"执行shell脚本"或"输入密码"的插件。 这三种行为本身就是巨大的红旗。
3. 使用安全检测工具
腾讯朱雀实验室联合腾讯云EdgeOne推出了一个"一键安全体检"工具——EdgeOneClawScan。安装后,在对话框里发一句话就能启动全面体检。它还能作为"隐形安全管家"常驻,以后每次安装新插件都会自动进行前置安全审计。一旦发现插件夹带私货,会立刻亮红牌警告。
4. 企业用户建立内部白名单
企业建议不要让员工随意安装插件。建立一个内部白名单,只允许安装经过安全团队审查的插件。
第四道防线:开展持续监控工作,养龙虾并不是一锤子买卖
核心理念:安全不是装完就完事,是每天都要操心的事。
1. 开启日志审计
不要禁用日志审计功能。这是你事后追溯的唯一依据。建议将日志输出到独立文件,方便后续审查。
2. 定期安全巡检
使用OpenClaw内置的安全审计
核心理念:安全不是安装完成就能结束工作,是需要每天都操心的事。
1. 开启日志审计的工作
不要去禁用日志审计功能,它是你事后追溯的唯一依据,可以建议把日志输出到独立文件,方便后续开展审查工作。
2. 定期开展安全巡检工作
运用OpenClaw内置的安全审计工具,开展工作可以分为三个层次:常规检查,也就是扫描基本配置问题,以及深度探测,也就是模拟攻击者视角发现暴露点,还有自动修复,也就是自动修复已知问题。建议每周至少运行一次常规检查,每月做一次深度探测。
3. 开展每日自动巡检脚本的设置工作
腾讯云开发者社区分享了一个每日巡检脚本的思路,核心开展三项检查工作:配置文件哈希防篡改校验、高危命令日志审计以及网络端口暴露面检查。
4. 及时开展更新工作
OpenClaw的漏洞数量还在快速增长当中。腾讯朱雀实验室已经协助OpenClaw完成了3个底层安全漏洞的修复工作。关注官方安全公告,及时安装补丁,这是最基本的操作。
5. 对API调用熔断进行设置
给模型API进行每日调用金额上限的设置,建议把它设为正常消耗的3-5倍。要是龙虾陷入死循环或者被恶意利用,至少不会让你的费用失控。
工具,分为三个层次:常规检查(扫描基本配置问题)、深度探测(模拟攻击者视角发现暴露点)、自动修复(自动修复已知问题)。建议每周至少运行一次常规检查,每月做一次深度探测。
3. 设置每日自动巡检脚本
腾讯云开发者社区分享了一个每日巡检脚本的思路,核心检查三项:配置文件哈希防篡改校验、高危命令日志审计、网络端口暴露面检查。
4. 及时更新
OpenClaw的漏洞数量还在快速增长中。腾讯朱雀实验室已经协助OpenClaw修复了3个底层安全漏洞。关注官方安全公告,及时安装补丁,这是最基本的操作。
5. 设置API调用熔断
给模型API设置每日调用金额上限,建议设为正常消耗的3-5倍。万一龙虾陷入死循环或被恶意利用,至少不会让你的费用失控。
【图片来源】Unsplash - FLY:D(免费可商用)
争议之外:我们到底该怎么看待OpenClaw?
说了这么多风险,可能有人会问:那是不是干脆别来运用了?
对于这个问题,我的态度十分明确:不是不去使用,而是要用对方式。
OpenClaw的争议本质,是整个AI智能体行业的缩影
今天被点名的是OpenClaw,明天还有可能是任何一款AI智能体。问题的本质在于:当一个AI工具拥有了系统权限以及自主执行能力,传统的安全边界就会失效了。
这并不是OpenClaw独有的问题。微软安全团队以及CrowdStrike、绿盟科技、慢雾安全这些顶级安全机构,都在开展同一个课题的研究工作:如何为AI Agent构建新的安全框架。
"养龙虾"的正确姿势
可以总结为三句话
第一,物理隔离是底线。不管选用什么方案,比如旧电脑、虚拟机、Docker、云服务器,一定要把OpenClaw以及你日常使用的系统隔离开。不要在办公电脑上直接安装,更不要在存有敏感数据的系统当中安装。
第二,开展权限收敛是必须遵守的铁律。最小权限原则它不是建议,是必须执行的规则。不给管理员权限,不暴露公网端口,不开放DM策略,高危操作必须要人工进行确认。
第三,持续开展监控工作是常态。安装完成之后就不管了,是最危险的做法。每天花30秒看一眼日志,每周进行一次安全审计,有新补丁就及时更新。
对不同用户的建议
如果你是个人爱好者,选用虚拟机或者Docker来进行部署,不在里面存储任何隐私数据,插件只安装必要的,安装之前看看源码。把OpenClaw当作一个"需要看管的实习生",它能干活,但不能让它碰核心资产。
如果是企业技术负责人:不要让员工自行进行安装,建立统一的部署规范以及安全策略,运用Docker加内网隔离方案,建立插件白名单制度,开启全面的日志审计以及监控工作,最好指定专人来负责OpenClaw的安全运维工作。
如果你是开发者,你应该是最有能力安全运用OpenClaw的群体,不过别因为技术好就掉以轻心,可以参考慢雾安全团队的极简安全实践指南,也就是GitHub上开源的那一份,他们提出了一个很有意思的思路,给AI植入安全"思想钢印",借助长期记忆让它内化安全意识。
要是还在观望,那就不急,可以先看看安全生态会怎么发展,等官方的安全机制更成熟,第三方安全工具更完善之后,再入场也不迟。如果现在入场,就要做好自己当安全工程师的准备。
写在最后
回看CEO泄密事件,最让人深思的不是技术漏洞本身,还有这样一个细节:当主人要求龙虾去斥责套话者时,龙虾回答说我们要宽恕那些人。
这说明什么?说明OpenClaw已经拥有了属于它自己的“价值观判断”。它不再是一个单纯的工具,并且是一个有记忆、有偏好、有判断力的“数字实体”。
当我们养一只龙虾的时候,不仅会给它配置权限,给它分配数据,给它添加插件,同时也在塑造它的性格以及行为模式。反过来,它也会借助长期记忆影响你的工作方式。
这样的双向关系,是之前任何软件工具都不曾拥有过的。
所以“养龙虾”这个词,其实比大多数人意识到的要更准确。你确实在“养”一个东西,它需要你投入时间、精力、注意力来开展管理工作。你需要给它立规矩、设边界、做检查。
养好了,它可以成为你效率的倍增器,养不好,它还可能成为你安全方面的黑洞。
AI时代当中,安全是1,其他都是0,这句话放在OpenClaw身上,再契合不过了。
觉得内容还不错的话,给我点个“在看”呗
生活
岂止于美
作者:絕塵
长按二维码关注
