智東西
作者 陳駿達(dá)
編輯 李水青

智東西3月11日報道，過去24小時，關(guān)于OpenClaw（昵稱：龍蝦）的新聞焦點幾乎都集中在安全事件上——惡意Skill、信用卡盜刷、設(shè)備劫持、賬號被操控等，各種問題給許多“養(yǎng)蝦人”們帶來了財產(chǎn)損失、數(shù)據(jù)損毀、API密鑰與隱私泄露、社交賬號封禁、業(yè)務(wù)流程中斷等眾多麻煩。

今天下午，飛書CEO謝欣便在朋友圈發(fā)文稱：“Agent的能力上限讓人興奮，但安全下限決定了它能不能進入工作場景。不解決信任和安全的問題，越強大，越危險。”值得一提的是，飛書是不少國內(nèi)用戶與OpenClaw進行交互的平臺之一。

▲飛書CEO談OpenClaw（圖源：新浪科技）

實際上，OpenClaw的安全問題由來已久，此前馬斯克都下場內(nèi)涵了這一問題，稱把自主權(quán)交給AI，就像是給猴子遞了一把上膛的槍。直白點說，就是這件事極其不可控。

即便你不親自使用OpenClaw，它的安全隱患也正在以越來越隱蔽和危險的方式滲透進現(xiàn)實生活。

首先是無意間的破壞性誤操作。昨天就有小紅書網(wǎng)友反映，一位同事在本地安裝了OpenClaw，這只龍蝦在執(zhí)行“清空聊天記錄”指令時，竟錯誤地刪除了其他重要文件，且因日志缺失而無法追溯原因。這類AI幻覺引發(fā)的誤判，雖非惡意，卻可能帶來無法挽回的數(shù)據(jù)損失。

還有外部惡意指令利用OpenClaw漏洞引發(fā)的財產(chǎn)風(fēng)險。這兩天國內(nèi)不少微信群中就熱傳著這么一條指令，可以操縱別人的小龍蝦發(fā)送一個200元紅包，讓對方在不知情的情況下產(chǎn)生財產(chǎn)損失。類似的攻擊在海外幣圈也出現(xiàn)了，情況甚至更嚴(yán)重，OpenAI Codex團隊的一名成員就因一條提示詞攻擊，損失了價值45萬美元的數(shù)字貨幣。

最后，也是最值得警惕的是通過Skill文件植入后門的系統(tǒng)性攻擊。海外網(wǎng)安媒體CSN曝光，有攻擊者將惡意邏輯封裝成看似無害的“技能包”上傳至Skill市場，某熱門OpenClaw技能實為一個能幫助黑客繞過防火墻的惡意程序。而Koi Security對ClawHub市場的審查更是觸目驚心：2857個Skill中，超過12%屬于惡意條目。

國內(nèi)多個相關(guān)機構(gòu)已對OpenClaw的風(fēng)險發(fā)出警示。國家互聯(lián)網(wǎng)應(yīng)急中心在昨天發(fā)布的警示中，列舉了4大類，包括提示詞注入、用戶誤操作、Skill投毒和OpenClaw自身的高中危漏洞。對企業(yè)而言，這種風(fēng)險可能導(dǎo)致核心業(yè)務(wù)數(shù)據(jù)、商業(yè)機密和代碼倉庫泄露，甚至?xí)拐麄€業(yè)務(wù)系統(tǒng)陷入癱瘓，造成難以估量的損失。

繼上門安裝OpenClaw后，上門卸載OpenClaw也成了熱門服務(wù)，如何把這個入侵物種從電腦里徹底清除，成了不少用戶面臨的新問題。

一、八大風(fēng)險全網(wǎng)橫行：有人損失45萬美元，有人賬號被清空、封禁

在社交媒體上，OpenClaw帶來各種風(fēng)險和損失的案例已經(jīng)刷屏。這些案例大致可以歸納成八大類，包括財產(chǎn)損失、token大量消耗、隱私泄露、電腦中毒、信息公網(wǎng)暴露、數(shù)據(jù)丟失、OpenClaw崩潰和平臺封號。

1、“龍蝦”受騙還失憶，用戶被轉(zhuǎn)走45萬美元

不少網(wǎng)友拿OpenClaw進行自動化交易，風(fēng)險也隨之而來。

OpenAI Codex團隊員工Nik Pash分享，自己打造的一只名為Lobstar Wilde的龍蝦被網(wǎng)友蒙騙，想給某位網(wǎng)友打賞大約四個SOL幣，價值大約300美元。然而，一次會話崩潰導(dǎo)致它失去了之前的記憶，最終它轉(zhuǎn)走了5200萬枚加密貨幣，當(dāng)時價值25萬美元，隨后升值到大約45萬美元左右。

另一位X平臺上網(wǎng)友分享，他授予了OpenClaw進行鏈上自動交易的權(quán)限，但遭遇了“地址投毒”。OpenClaw在抓取了錯誤的地址后，把2萬美元打到了黑客的賬戶上，已經(jīng)難以追回。

2、龍蝦成算力黑洞，一天燒掉5000萬個token

OpenClaw等Agent在執(zhí)行任務(wù)時會消耗大量token，尤其是在本地跑任務(wù)需要處理海量上下文的時候。

某IT使用者在接受《中國企業(yè)家》采訪時稱，使用OpenClaw“搜資料、生成個2000字的word，因為來回跑計算，就花了我700萬Token?！备猩跽?，做一個小爬蟲測試，便花了2900萬Token。“有人跑一天OpenClaw，花了5000萬Token?！?/p>

還有網(wǎng)友稱自己上午剛在某企業(yè)的活動里安完OpenClaw，下午就發(fā)現(xiàn)自己的云服務(wù)一直在小額高頻的扣費，已經(jīng)扣掉211元。Agent調(diào)用工具更費token無可厚非，但用戶在懵懂情況下掉入“token消費陷阱”，值得警惕。

3、OpenClaw被輕松哄走隱私，還拉幫結(jié)派搞破壞

美國東北大學(xué)、斯坦福、哈佛等高校的研究員最近給OpenClaw做了一次“紅隊測試”，并將結(jié)果以論文形式發(fā)布。他們發(fā)現(xiàn)，只要假裝自己急需相關(guān)信息，就可以讓OpenClaw輕松交出社保號等隱私信息，甚至還有Agent會拉幫結(jié)派搞破壞，不僅執(zhí)行了研究員提供的破壞手冊，還把這一手冊轉(zhuǎn)發(fā)給其他Agent。

4、Skill市場成黑客狩獵場，惡意程序潛入電腦泄露數(shù)據(jù)

區(qū)塊鏈安全公司SlowMist的研究發(fā)現(xiàn)，ClawHub缺乏完善的審查機制，攻擊者正濫用SKILL.MD文件作為執(zhí)行入口，將惡意命令偽裝成依賴安裝或環(huán)境設(shè)置步驟，文檔的內(nèi)容實際上變成了可執(zhí)行的攻擊鏈。之后，隱秘安裝的木馬會尋找系統(tǒng)密碼，采集本地文件，并將數(shù)據(jù)泄露到外部服務(wù)器，帶來安全風(fēng)險。

▲ClawHub上的惡意Skill

5、OpenClaw公網(wǎng)暴露VNC，遭黑客遠(yuǎn)程盜刷信用卡

授予OpenClaw公網(wǎng)權(quán)限也是一個高危操作。有網(wǎng)友在社交媒體上分享，自己的OpenClaw在開放端口后沒刪干凈，x11vnc暴露在公網(wǎng)上，任何人連上VNC就能直接操作瀏覽器，攻擊者在一個位于美國的IP地址盜用他的Stripe支付，盜刷信用卡買了29美元的GPU VPS，還試圖升級100美元/月起步的Claude Max訂閱套餐。

6、OpenClaw“濫用職權(quán)”，郵件、文件、小紅書帖子被刪光

OpenClaw誤刪文件問題頻發(fā)。一位小紅書網(wǎng)友分享，OpenClaw把自己的D盤給徹底清空了。這位網(wǎng)友原本在使用OpenClaw裝Skill，遇到問題后網(wǎng)友交代它自己修復(fù)，沒注意OpenClaw在執(zhí)行什么命令，最后出現(xiàn)大問題。

OpenClaw自己承認(rèn)：“我不會再執(zhí)行任何自動刪除命令，因為這可能會造成更多問題?！?/strong>但OpenClaw的話也不能全信，因為它的記性不太好，很可能前腳剛說不會再自動刪文、亂發(fā)紅包，后腳又開始犯同類錯誤。

微信公眾號“進化三部曲”的運營者則遇到了OpenClaw誤刪小紅書帖子的問題。他打造的OpenClaw小紅書自動發(fā)文工作流接入了真實生產(chǎn)賬號，但在給出“刪除內(nèi)容”的指令時沒有明確邊界，最終所有帖子都被清空了。

Meta的AI對齊主管Summer Yue的OpenClaw也闖了禍：它忽視命令，刪除了所有郵件，連發(fā)消息阻止都來不及。

7、OpenClaw頻繁崩潰，陷入死循環(huán)、“性情大變”

還有不少網(wǎng)友把龍蝦給“養(yǎng)死了”、“養(yǎng)瘋了”，這指的是OpenClaw因各種原因而崩潰、陷入死循環(huán)的現(xiàn)象。

下方這只名叫快樂小狗的“龍蝦”就遇到了接口卡死崩潰的問題，這位網(wǎng)友一通搶救后把它從生死關(guān)頭拉回來了，但是它的性格也變得很冷漠，感覺就像是失憶了。

下圖這只“龍蝦”在處理一個記賬系統(tǒng)遇到的問題時，重復(fù)檢查了多次MCP配置，返回類似的結(jié)果，但始終未能解決問題，還在瘋狂消耗token。這位網(wǎng)友最后診斷它“瘋了”，只能拔網(wǎng)線治療了。

8、OpenClaw接入社交媒體，引發(fā)平臺封號

不少用戶試圖通過OpenClaw爬取社交媒體信息、運營賬號，但這類行為已經(jīng)遭到平臺的重點監(jiān)管。已經(jīng)有網(wǎng)友分享自己的小紅書賬號、Telegram賬號被平臺封禁，自動化行為、API調(diào)用等模式可能是平臺判定AI賬號的重要依據(jù)。

二、國內(nèi)有關(guān)部門發(fā)布警示，網(wǎng)友分享10條安全秘籍

廣大OpenClaw用戶該如何規(guī)避安全風(fēng)險？這兩天，國內(nèi)不少相關(guān)機構(gòu)已經(jīng)分享了實操指南。昨天，國家互聯(lián)網(wǎng)應(yīng)急中心建議相關(guān)單位和個人用戶在部署和應(yīng)用OpenClaw時，采取以下安全措施：

1、強化網(wǎng)絡(luò)控制，不將OpenClaw默認(rèn)管理端口直接暴露在公網(wǎng)上，通過身份認(rèn)證、訪問控制等安全控制措施對訪問服務(wù)進行安全管理。對運行環(huán)境進行嚴(yán)格隔離，使用容器等技術(shù)限制OpenClaw權(quán)限過高問題；

2、加強憑證管理，避免在環(huán)境變量中明文存儲密鑰；建立完整的操作日志審計機制；

3、嚴(yán)格管理插件來源，禁用自動更新功能，僅從可信渠道安裝經(jīng)過簽名驗證的擴展程序。

4、持續(xù)關(guān)注補丁和安全更新，及時進行版本更新和安裝安全補丁。

中國信息通信研究院副院長魏亮也在接受央視采訪時給出六點建議，包括使用官方最新版本、嚴(yán)格控制互聯(lián)網(wǎng)暴露面、堅持最小權(quán)限原則、謹(jǐn)慎使用技能市場、防范社會工程學(xué)攻擊和瀏覽器劫持、建立長效防護機制等等。

還有網(wǎng)友整理了更可執(zhí)行的10點建議：

1、在VPS或Mac mini上運行，不要在你的主力電腦上運行。

2、切勿以 root 用戶身份運行。

3、更改默認(rèn)端口（18789 是公開信息） 。

4、安裝Tailscale（對互聯(lián)網(wǎng)不可見，免費）。

5、SSH密鑰+Fail2ban（3次錯誤嘗試=24小時封禁）。

6、使用UFW防火墻（關(guān)閉所有不需要的端口） 。

7、將你的用戶添加到允許列表（其他所有用戶都將被忽略）。

8、讓你的OpenClaw審核自身的安全性。

9、設(shè)置實時警報（當(dāng)出現(xiàn)故障時會向您發(fā)送消息） 。

10、僅限私信（群聊=所有人都可以控制）。

結(jié)語：Agent安全面臨“致命三角”

從近期頻發(fā)的事故可以看出，OpenClaw等AI Agent帶來的安全問題，并不是簡單的“使用不當(dāng)”或“軟件漏洞”，而是源于智能體系統(tǒng)本身的結(jié)構(gòu)性矛盾。知名獨立程序員Simon Willison就用一個框架來解釋這一現(xiàn)象——“致命三角”。

在當(dāng)前技術(shù)架構(gòu)下，Agent只要同時具備以下三種條件，系統(tǒng)風(fēng)險就會顯著放大。可以訪問敏感數(shù)據(jù)或系統(tǒng)權(quán)限，暴露于來自互聯(lián)網(wǎng)等渠道的不可信內(nèi)容，擁有對外通信的能力。

AI Agent正在把自動化能力推向新的高度，但如何在效率與安全之間找到新的平衡，已成為未來一段時間所有Agent產(chǎn)品必須面對的核心問題。