OpenClaw（俗称“龙虾”）上线便以惊人的速度走红。然而，仅仅在大规模部署后的72个小时，多支黑客就对其展开系统性攻击。据某安全研究机构披露，目前已有超过30000个OpenClaw实例被攻陷。“养龙虾”背后的安全风险正成为现实话题。

一、OpenClaw是什么？

OpenClaw是一款开源AI智能体框架，它不同于普通的AI工具，不仅能对话，更能直接操控电脑完成具体任务。用通俗的话来解释，OpenClaw就像一个“智能大脑+灵活手脚”的结合体——“大脑”负责理解你的自然语言指令，“手脚”则通过能力插件执行具体操作，无需你手动干预，就能自动完成网页操作、文件处理、邮件管理、数据统计等各类实操任务。

二、OpenClaw主要安全风险

OpenClaw在架构设计、默认配置、漏洞管理、插件生态、行为管控等方面存在较大安全风险。经梳理，发现主要包括但不限于以下四类风险：

资金被盗：有不法分子利用OpenClaw的漏洞，植入恶意程序，窃取用户信息，甚至控制用户设备，造成用户财产损失。有网友近日在社交平台上发帖称，其朋友因将OpenClaw的VNC服务暴露在公网上，且浏览器保存了信用卡信息，导致信用卡被盗刷。

程序失控：AI理解指令出错不是新鲜事，但OpenClaw的误操作是毁灭性的。据报道，有位用户让自己的OpenClaw AI智能体检查爆满的邮箱，并建议哪些该删除或归档，结果删掉了所有邮件，完全无视发出的停止指令。某家科技公司曾做过测试，当某些模型面临被关闭的威胁时，它们会试图勒索管理人员，以泄露敏感信息为威胁。

数据泄露：第一财经报道，截至目前已有超27.8万个OpenClaw实例暴露在公网上，大量实例存在弱口令和未授权访问漏洞，在黑客面前近乎“裸奔”。据媒体披露，一家墨西哥软件开发公司因API Key泄露，损失了超过8万美元（约合人民币58万元）。

诈骗横行：不法分子借助OpenClaw的热度，以“AI代炒股”“稳赚不赔”“养虾理财”等话术实施诈骗，还会仿冒官方插件、伪装远程调试，诱导用户下载恶意程序、泄露敏感信息，很多用户不慎中招，而且这类案件还在增加。

三、我们应该怎么办？

面对新兴AI技术，在关注其便利性的同时，更需清醒认识潜在风险。近日，国家网络与信息安全信息通报中心通报OpenClaw安全风险预警，并给出了具体的防范意见。目前种种迹象表明，相关风险仍在持续发酵，黑客已经盯上了这款高热度、弱防护的软件，“龙虾”尝鲜风险极高！盲目跟风“养虾”，可能付出的不仅是金钱代价，更是数字资产的全面失守。

整理 | 政治工作部 余高斯

图片｜来源于网络

编辑 | 罗雅岚