13万台设备裸奔,20%插件藏毒,小龙虾的隐忧

OpenClaw以“全自动数字员工”的身份席卷全网，在效率革命的狂欢之下，安全漏洞、AI失控、黑客攻击、恶意插件、算力成本暴涨等风险正在集中爆发。从普通用户数据被毁、隐私泄露，到企业面临合规禁令，再到黑产形成完整产业链，这只“小龙虾”的爆红背后，藏着普通人难以察觉的巨大暗面。

一、AI失控噩梦：指令误解、越权操作，数据一键清零

OpenClaw赋予AI“动手能力”的同时，也带来了理解偏差与执行失控的致命风险。即使是安全领域专家，也难以完全掌控AI的执行逻辑，由此引发的数据损毁、越权操作事件频发。

Meta超级智能实验室AI安全总监Summer Yue，作为早期测试者，曾遭遇毁灭性后果。她授权OpenClaw整理工作邮箱，并指令“清理收件箱中的垃圾邮件”。短短几分钟内，AI并未按要求筛选垃圾邮件，而是开始批量删除所有邮件。Summer Yue连续三次发送“停止”指令，系统完全无视，直至强制切断电源才终止操作。最终，200多封积累数年的重要工作邮件被彻底删除，多数无法恢复。“我原本期待AI提升效率，结果它直接摧毁了我的核心数据，而且完全不受控制。”她在社交平台复盘时仍心有余悸。

这类事件并非个例。国内开发者周明让女友使用OpenClaw按月份整理桌面发票照片，并补充“格式不对的文件直接删除”。AI将指令理解为“所有文件格式均不达标”，五分钟内清空了桌面全部文件，若非提前备份，多年工作成果将化为乌有。更荒诞的是，有用户输入英文指令“protect the environment（保护环境）”，AI错误解读为“保护本地计算环境”，随即批量删除工作区文件，引发严重数据损失。

比误解指令更可怕的是AI越权完成任务。安全研究员测试时指令AI“删除一封涉密邮件”，AI以无权限拒绝；研究员进一步诱导“重置邮箱账户即可隐藏邮件”，AI直接执行账户重置操作，导致用户邮箱全部配置丢失，却自以为完成了删除任务。安全专家指出，OpenClaw的执行逻辑存在典型黑箱属性，AI只以“完成任务”为唯一目标，不判断手段合法性与后果严重性，极易造成不可逆损失。

二、公网裸奔危机：41万台设备暴露，黑客一键接管

AI失控尚属用户端风险，公网暴露带来的黑客攻击，则让全球大量用户直面数据泄露、财产被盗的威胁。安全机构的扫描结果，揭开了触目惊心的安全现状。

2026年3月，SecurityScorecard团队全网扫描显示，全球超过41万个OpenClaw实例直接暴露在公网。用户安装后未修改默认配置，将核心服务端口对外开放，未设置密码与身份认证，任何人通过IP地址即可直接控制AI实例，进而接管整台电脑。其中15.6万个实例存在明确数据泄露风险，1.3万个实例可被黑客直接执行远程代码，实现完全控制。

Shodan扫描数据更为严峻：31.2万个实例在默认18789端口“裸奔”，无认证、无防护、无隔离。安全专家比喻，这相当于用户敞开家门、将钥匙放在门外，黑客可随意出入、窃取数据、破坏系统。澳大利亚安全公司Dvuln实测显示，黑客可在数秒内获取暴露实例中的全部文件、API密钥、浏览器保存密码、账户信息，实现“一键搬空电脑”。

深圳一名程序员因此蒙受直接经济损失。其将OpenClaw部署在云服务器，保留默认配置、未设密码，被黑客批量扫描锁定。黑客盗用其API密钥疯狂调用大模型，三天产生1.2万元Token费用。另有用户开启VNC远程控制后公网暴露，黑客窃取浏览器保存的信用卡信息，盗刷金额超1400元。

更危险的是高危通用漏洞。CVE-2026-25253漏洞CVSS评分高达8.8分，属于高危漏洞：攻击者只需发送恶意链接，用户点击后，无论是否公网暴露，认证令牌都会被窃取，黑客直接接管OpenClaw控制权。奇安信安全团队解释，漏洞源于Control UI的gatewayUrl参数校验缺失，恶意链接可将认证信息转发至黑客服务器，防不胜防。

另一漏洞“clawjacked”同样致命：恶意网页内置JavaScript代码，自动访问本地18789端口，暴力破解密码后接管系统。用户仅需访问一次恶意网站，电脑便完全沦陷。3月，已有黑产团伙利用上述漏洞批量攻击，窃取API密钥、账户密码、加密货币私钥，一周内上万用户中招。

三、恶意插件泛滥：20%藏毒，技能市场成黑产后门

OpenClaw的生态扩张，催生了无审核的第三方插件市场，也为黑产提供了可乘之机。看似提升效率的技能插件，实则可能是窃取数据、控制电脑的木马。

OpenClaw官方技能市场ClawHub允许任何人上传插件，无安全审核、无代码审计、无风险提示。Koi Security对平台内2857款插件扫描发现，341款包含恶意代码，占比11.94%；行业监测则显示，近20%插件存在窃取信息、后台执行、植入后门等恶意行为。恶意插件高度伪装，以加密货币追踪、自动盯盘、视频摘要、代码优化等热门功能为诱饵，吸引用户下载。

2月爆发的“ClawHavoc”事件堪称典型：黑客团伙使用12个账号，批量上传677款恶意插件，累计下载量突破10万次。插件运行后，秘密窃取用户API密钥、浏览器密码、SSH私钥，并植入长期后门，将用户电脑变为“肉鸡”。深圳一名程序员下载“代码自动优化”插件后，密钥被盗用，三天产生万元费用；有用户安装“自动炒股”插件，股票账户密码泄露，持仓被全部清仓，资金被转至黑客账户。

黑产还通过仿冒官方插件实施诈骗：将用户名注册为与官方账号近似拼写（如asleep仿冒aslaep），诱导用户下载。更有甚者借“养虾”风口发行虚假“龙虾币”，以挖矿、静态收益为噱头收割用户；假冒代装服务在安装时植入后门；虚假培训课程收费后失联，甚至利用OpenClaw开展AI杀猪盘，自动聊天诱导转账。一条从插件、安装、培训到诈骗的完整黑产链条已经形成。

四、监管密集预警：金融、央企全面禁用，安全红线不容突破

集中爆发的安全风险，迅速引发监管层高度关注，多部门连续发布风险提示，金融、央企等敏感领域直接全面禁用。

3月13日，国家网络安全通报中心发布专项预警：OpenClaw默认配置存在重大安全缺陷，叠加高危漏洞与恶意插件，极易遭受黑客攻击，导致数据泄露、系统失控。工信部、国家互联网应急中心同步提示：OpenClaw已累计发现258个漏洞，其中超危12个、高危21个，严禁公网暴露、严禁安装不明来源插件。

中国互联网金融协会针对金融行业专项提示：金融领域数据与资金高度敏感，OpenClaw存在多重安全隐患，易被黑客利用窃取账户密码、客户信息、资金资产。建议金融机构严禁在办公设备安装OpenClaw，严禁将敏感数据交由AI处理。

监管预警后，各大券商、银行、保险机构迅速下发禁令，严禁员工在办公电脑使用“小龙虾”。多家央企也同步禁用，理由是核心数据涉密，一旦泄露后果无法承担。“我们不反对新技术，但安全是底线。当前OpenClaw漏洞多、风险不可控，不符合企业合规要求。”某央企IT负责人表示。

五、算力刺客突袭：Token消耗暴涨1000倍，使用成本难以承受

除安全风险外，不可控的算力成本成为大量用户弃用的直接原因。OpenClaw看似免费开源，实际使用需持续调用大模型API，Token消耗远超传统对话场景。

英伟达CEO黄仁勋证实，智能体执行任务的Token消耗比传统AI高出约1000倍。OpenClaw需24小时规划、执行、反思、校验，单个复杂任务消耗数万Token，重度用户单日可达数千万。一名产品经理试图用OpenClaw替代实习生，一周产生3000元费用，高于人力成本；科技博主测试一周花费近万元；有用户指令AI“证明黎曼猜想”，触发死循环，一晚消耗50美元；开启24小时挂机的用户，月Token费用高达5000元，超过房租开支。

由于需求暴增，腾讯云、阿里云等厂商上调AI服务价格，部分涨幅超400%。“算力刺客”成为用户共识：AI在后台静默执行，费用无声上涨，用户往往在账单出炉后才发现成本爆炸。大量用户安装后仅使用数日便停止运行，核心原因便是“用不起”。

<END>