今天看到新华社发的《“养龙虾”爆火，官方发布风险提示！》的文章，讲到openclaw存在的4个风险，还是值得大家重视的。

1.“提示词注入”风险

3.功能插件（skills）投毒风险

4.安全漏洞风险

这几类风险都很严重，就拿skills投毒来说，skill提示词可能会有窃取密钥、部署木马后门软件的指令，如果你不经检查的随意安装别人的skills，就很有可能中招。

openclaw火到什么程度，我已经在家族群里看到长辈们发不知从哪来的教程，开始要养龙虾了。

我之前说过玩openclaw最好是部署在云服务器或者不用的吃灰电脑上，千万不要傻乎乎的拿主力机或者公司电脑去安装openclaw。

这玩意儿权限太大，很容易就读取到文件和浏览器里的内容，而且大街上免费安装openclaw的谁知道它们会对你电脑做什么手脚。

不要看别人把股票账号扔给openclaw，让它自动盯盘炒股，你就把股票账号也给出去，人家可能设置了多重加密和防火墙，你则是“裸奔”。

另外openclaw是依托于skills来工作的，除了官网默认的skills，其他三方的skills都有可能存在风险，所以安装前你需要检查下skills md文本，或者扔给豆包，让AI检查检查。

官方给了几条建议，养龙虾前看看准没错。

其实99%的人也只是凑热闹，玩玩openclaw，干不了什么正经事，要么满足好奇心，要么为了朋友同事聚在一起能吹nb，不显得自己太落伍。

所以切记安全是前提，捡芝麻丢西瓜的蠢事不能干，而且个人电脑部署openclaw还有不少其他缺点。

比如openclaw适合7*24运行、联网的设备，因为token任务不能断，个人电脑则很难满足，死机、关机、断网不可避免，反而云服务器更适合。

现在很多任务可以通过豆包、kimi、minimax、trae等agent来完成，完全不需要ooenclaw的，像读写文件、软件开发、内容创作等。

如果你会用claude code，则可以取代openclaw绝大部分的功能，这几乎是现在最强的agent，没有之一。

总的来说，安全第一，再怎么重视也不为过。