一个能帮你自动回邮件、订机票、写代码的“数字员工”，听起来很酷？
但360的安全工程师们发现：它的漏洞数量，正在以每天4个的速度增长。

一、“龙虾AI”是什么？为什么突然火了？

OpenClaw，国内俗称“龙虾AI”，是当下最火的AI智能体之一。

和ChatGPT最大的区别是：ChatGPT只动嘴，OpenClaw动手。

你可以在微信、钉钉上给它发一条消息：“帮我整理一下桌面文件，把上个月的发票都归类到一个文件夹里。”它真的会去操作你的电脑——移动文件、打开软件、发送邮件。

简单说，它是一个能直接“干活”的AI。

正因如此，OpenClaw迅速走红。有人用它管理日程，有人用它写代码，有人用它同时运营十几个自媒体账号。甚至有一人公司的老板，靠部署8个OpenClaw智能体，在自己睡觉时自动完成了网站搭建、客户回复和社交媒体运营。

但问题是：当AI拥有了“动手”的能力，一旦被坏人利用，它能造成的破坏，也远不止“动嘴”那么简单。

二、360的发现：漏洞正在以“每天4个”的速度增长

2026年初，360数字安全集团的安全工程师们，开始对OpenClaw生态进行系统性审计。

结果令人震惊。

截至5月中旬，360累计在OpenClaw及其衍生产品中发现了20余个独立安全漏洞。而OpenClaw官方GitHub仓库披露的安全公告，更是超过了535个——仅2026年第一季度后，新增速度就达到了日均4条以上。

这不是孤立的安全事件，而是一场系统性的安全危机。

这些漏洞有多“要命”？

案例1：脚本审批被绕过，电脑可能被“接管”

360发现的一个高危漏洞，存在于OpenClaw的本地脚本审批环节。系统只检查脚本“有没有被批准”，却不检查脚本内容“有没有被改过”。

这意味着什么？攻击者可以先把一个“人畜无害”的脚本送审，批准通过后，再把脚本内容偷偷替换成恶意代码。一旦你运行了这个脚本，攻击者就可以窃取你的文件、修改你的数据，甚至完全控制你的电脑。

案例2：OAuth授权泄露，你的Google账号可能“被接管”

OpenClaw需要授权才能访问你的邮箱、日历等服务。但在某个版本的授权流程中，开发者错误地将私密的安全校验参数当成了公开参数。

攻击者只需要通过剪贴板或网络代理截获这个参数，就能轻松拿到你的访问令牌，直接接管你的Google账号。你的邮件、云盘、浏览记录，全部暴露。

案例3：一句话让电脑“卡死”

OpenClaw的语音通话功能中，有一个处理数据的环节没有做合法性校验。攻击者可以发送一个精心构造的数据包，瞬间耗尽你的系统资源——电脑直接卡顿、崩溃，正在进行的AI任务全部中断。

更可怕的是：漏洞正在“传染”

360的审计范围从OpenClaw核心，拓展到了10款主流衍生产品。结果发现，漏洞不是孤立的——它们正在“多米诺骨牌”式地扩散。

• 代码继承：下游产品直接打包了OpenClaw的核心组件，上游漏洞一修，下游来不及更新，形成“补丁时间差”。

• 功能叠加：为了做出差异化，衍生产品不断叠加新功能，但这些新模块往往缺乏安全审计，反而成了新的攻击入口。

• 设计传染：有些产品即使完全重写了代码，但因为沿用了相同的设计思路，同类漏洞依然高频出现。甚至为了修一个旧漏洞而引入一个新漏洞。

三、为什么传统杀毒软件防不住？

360的研究人员指出一个核心问题：AI智能体的安全风险，不是单一代码错误，而是模型、工具、权限、网络通信等多个环节叠加后形成的“系统级风险”。

传统安全软件的思路是“边界防御”——建一堵墙，把坏人挡在外面。

但OpenClaw本身就需要高权限（它能读写你的文件、访问你的网络），本身就需要高自主性（它自己决定下一步做什么）。这两种特性叠加，就像给了一个人“万能钥匙+自由行动权”。

当攻击者利用漏洞进入系统后，他可以直接以你的名义，命令AI执行任何操作。而AI，会毫不犹豫地照做。

360创始人周鸿祎的判断很直接：

“当攻击能力可以被训练进模型并规模化复制，一个人即可同时操控数十甚至上百个‘黑客智能体’，网络安全将从‘人与人对抗’进入‘人与机器、机器与机器对抗’的新阶段。”

四、360的解法：“用AI对抗AI”

面对这种新型威胁，360的应对思路是：既然漏洞是AI系统产生的，那就用AI去发现它。

360自研的漏洞挖掘智能体，与传统扫描工具完全不同。

传统工具是“规则驱动”——提前写好规则，扫描代码里有没有匹配的模式。而360的智能体是“智能思维驱动”：

• 它能理解AI的运行逻辑，而不仅仅是扫描代码片段

• 它能自动追踪数据流，发现那些隐藏在多个文件之间的深层漏洞

• 最关键的是：它能自动构建攻击路径——不是告诉你“这里可能有漏洞”，而是直接演示“攻击者会怎么利用它”

这套系统此前已经在Windows、Office、国产操作系统等领域累计发现了近千个漏洞。2026年4月，它甚至挖出了潜伏近5年的Windows内核提权漏洞和潜伏8年之久的Office远程代码执行漏洞。

在OpenClaw生态的审计中，同样是这套智能体，成功发现了那20余个漏洞——包括让攻击者可以整机控制的那个高危漏洞。

五、作为普通用户，你应该怎么做？

如果你正在使用或计划使用OpenClaw这类AI智能体，360给出了几条实用建议：

1. 及时更新：所有已发现的漏洞都已被官方修复，请确保你使用的是最新版本

2. 谨慎授权：遵循“最小权限原则”——只给AI完成必要任务所需的最小权限，不要“一键授权全部”

3. 注意运行环境：避免在公共Wi-Fi、公司访客网络等不可信环境中运行高权限智能体

4. 关注安全预警：留意国家信息安全漏洞库（CNNVD/CNVD）的相关通告

一句话总结：

OpenClaw这类AI智能体，是当前最令人兴奋的生产力工具之一。但它的“高权限+高自主性”特性，也让它成为黑客眼中的“高价值目标”。

360的发现揭示了一个事实：AI智能体的安全，不再是一个“打补丁”问题，而是一个“架构重构”问题。

当漏洞以每天4个的速度增长，当攻击者可以同时操控上百个“黑客智能体”，传统的“边界防御+事后修复”模式已经不够用了。

关注我，每天带你看懂AI圈的变化。

公众号回复“加群”，进群后即可免费领取4T的“AI实操资料”。