鵝廠帶大家“養蝦”，昨天剛裝、今天就裸奔！田淵棟：OpenClaw就像拿著所有秘密的笨小孩出門辦事

整理｜華衛

“真不敢相信舊金山灣區居然有人要花 6000 美元請人上門安裝 OpenClaw。”今日，X 上一條這樣的帖子引發熱議。

這是海外代裝平臺 SetupClaw 給出的明碼標價：托管安裝 OpenClaw3000 美元，含 Mac mini 硬件的遠程配置 5000 美元，含 Mac mini 硬件的現場配置 6000 美元。有人評價道，“價格確實離譜，但市場需求是真實存在的。”

短短兩月，OpenClaw 以一個個人智能體的身份在全球掀起現象級安裝熱潮，遠超此前任何一款 Agent 產品的公眾影響力和普及程度。在國內平臺，“OpenClaw 上門安裝”的帖子也不斷刷屏，服務提供者的 IP 蔓延到全國各地，報價普遍在幾百到一千不等，還有人為了接單不僅上門部署還送“做飯服務”。

與此同時，已經有人靠這波安裝熱潮賺翻了。SetupClaw 創始人 Michael 更是號稱靠這門手藝，有望年入百萬美元。小米則是直接把“龍蝦”搬到了手機上，小米手機版 AI Agent“Xiaomi miclaw”在昨日開啟封測。

面對如此熱潮，昨天，騰訊云團隊也下場為大眾提供了幫助大家安裝 OpenClaw 的服務：“你帶著筆記本電腦去現場，就能把小龍蝦帶回家”。

據悉，騰訊云這次一共派出了 20 位工程師到場擺攤講解。在深圳騰訊大廈樓下，排起了長隊，其中還不乏小學生和滿頭白發的老人。3 小時內，數百臺 OpenClaw 成功上線。

這場頗具話題性的“線下養蝦”活動，甚至還獲得了 OpenClaw 創始人的轉發。

1 昨天剛裝上，今天就“裸奔”了？！

然而巧合的是，騰訊云昨天還在線下大規模推廣、現場幫用戶裝機；今天，“OpenClaw Exposure Watchboard”的公開監控頁面上，就已經新增了好幾例來自騰訊云服務器的暴露實例。

在“OpenClaw Exposure Watchboard”的全部網頁上，列出了超 25.8 萬個暴露在公網的 OpenClaw 實例，覆蓋美國、新加坡、中國大陸等多個地區。

而除了安全暴露，費用問題也開始浮出水面。

今天，一位用戶公開喊話：不要讓騰訊碰你的電腦！騰訊云，被你狠狠上了一課。事情是這樣的，他在安裝完后，回去就發現“騰訊云在無任何提示的情況下一直快速高頻地進行小額扣費，目前扣了 200 多”。

但也有人分析認為，截圖顯示的為輕量服務器自定義鏡像費用，而非 OpenClaw 的 Token 消耗。需刪除自定義鏡像方可停止計費。同時仍需留意 Token 相關問題，額度耗盡后，將按實際使用量扣費。

“OpenClaw 很有趣，但如果不小心，它也會耗盡你的錢包。”此前，就有開發者指出，OpenClaw 必須接入外部模型才能讓它運轉，其在模擬全天候助理的待命狀態過程中內置了一套心跳（Heartbeat）機制，每隔 30 分鐘自動醒來檢查事項，而每次的喚醒都會消耗 token，算下來一個月即使沒有實際產出、僅靠心跳機制也要燒掉近 750 美元。

2 信用卡刷爆、CEO 電腦被黑產出售 Root 權限

事實上，OpenClaw 的各種安全事故絕不在少數。

幾天前，一位開發者在使用 OpenClaw 時突然收到銀行短信：他的信用卡額度被刷爆了！查看日志后，他發現罪魁禍首是幾天前剛剛部署的 OpenClaw 實例。

他用 OpenClaw 編寫了自動化腳本，通過 noVNC 將 Chrome 瀏覽器直接暴露在公網（端口直連映射），本意是遠程調試瀏覽器自動化流程。結果，Chrome 里保存的支付方式、Cookie、自動填充的信用卡信息，直接變成了公開的“自助 ATM 機”。攻擊者發現了這個暴露的 VNC 實例，短短幾分鐘就將信用卡刷爆。

簡單來說，因為其 OpenClaw 服務暴露在公共互聯網上，攻擊者訪問后竊取了保存在 Chrome 瀏覽器中的信用卡信息。

值得注意的是，這些并非個例，而是一場系統性安全災難。OpenClaw（含沙箱瀏覽器入口）默認將服務綁定至 0.0.0.0 （全網卡監聽），早期版本 x11vnc 甚至啟用 -nopw （無密碼認證）。這意味著，運行 Docker 時若未添加 --network host 或顯式限制端口發布，等同于將整個瀏覽器桌面直接丟進公網。

“這些 Agent 就像以前的共享軟件，存在大量安全漏洞。”有人說道。

前不久，Cato CTRL 的高級安全研究員 Vitaly Simonovich 也披露了一起讓 Agent 圈警醒的案例：攻擊者通過一臺遭入侵的、基于 OpenClaw 的 AI 個人智能體，拿到并出售英國一家自動化公司 CEO 電腦的 root shell 訪問權限，甚至還把這項權限直接掛上暗網出售，開價 2.5 萬美元。

但真正值錢的，甚至不是 root 權限本身，而是這位 CEO 背后的 OpenClaw 實例。因為這款 AI 私人助理，早已在悄無聲息地替攻擊者“攢情報”：關于家庭、愛好和財務的私人對話、公司完整生產數據庫、Telegram 機器人賬號信息，甚至還有 CEO 正在開發的 Trading 212 交易機器人可用 API 密鑰。

賣家“fluffyduck”將目標公司描述為一家擁有 11–50 名員工的英國小型自動化公司。該公司主要開發可編程邏輯控制器（PLC）、安裝工業機器人、制造定制裝配機和自動導引車（AGV），同時還是西門子的合作伙伴，公司資產規模約為 80 萬英鎊。

他甚至還特意強調，這位 CEO 直到當時還在持續與這個 AI 助手聊天，“邊聊邊泄露”，因此是一個“近乎完美的目標”。

具體來看，這個被掛到暗網出售的 OpenClaw 實例，幾乎等于把一個 CEO 的數字生活和一家公司的運營底牌一起交到了攻擊者手里，包括：

• OpenClaw AI 助手的完整訪問權限（包括全部對話、上下文和長期記憶）

• OpenClaw 控制臺賬號憑證

• CEO 的 Telegram 機器人 token 和 chat ID

• Trading 212 交易 API 密鑰（CEO 正在開發交易機器人）

• CEO 向 AI 透露的大量個人信息，包括家庭情況、妻子、孩子、興趣愛好以及家庭聯系人

更夸張的是，數據庫層面的暴露也不是零散信息，而是高度完整的企業運營數據，涵蓋客戶聯系人、現金流預測、人工成本、采購訂單、項目進度、資源可用性、排班模式、通知偏好等幾十張業務數據表。也就是說，黑客盯上的，已經不只是你的電腦，而是你身邊那個最懂你、也替你記住一切的 OpenClaw 個人助理。

3 為什么這類 Agent 天生不安全

“2026 年最大的安全風險，不在于 AI 有多智能，而在于開發者把本地等同于安全。OpenClaw 再強大，也擋不住一次 0.0.0.0 的疏忽。”當前，所有 OpenClaw 用戶們都需要警惕其風險了。

事實上，OpenClaw 創始人 Peter 早就提醒過，這個項目最初并不是為了公網環境設計的，但阻止不了大家把它直接放公網上。Peter 表示，Openclaw 的 Web 服務最早只是一個本地調試工具，默認使用場景是本地可信網絡，所以沒有公網必需的安全機制。

最近，OpenClaw 也開始嘗試通過權限收緊來降低風險。例如，在 2026.3.2 的新版本中，默認工具權限被大幅限制，只保留了 messaging（消息）權限，像 coding、system 等涉及系統操作的能力都被默認關閉。

但從開發者社區的反饋來看，這種限制也并非不可繞過。有開發者在 X 上調侃道：

“新安裝的 2026.3.2 版本默認只有 messaging 權限，其它 coding、system 權限全沒了……你的龍蝦只能陪你聊天了。” 不過，如果直接修改 openclaw.json 配置文件，把 messaging 改為 full 或刪除限制，再重啟服務，“一只活蹦亂跳的龍蝦就回來了”。

換句話說，雖然官方已經開始收緊默認權限，但對于熟悉部署流程的用戶來說，這些限制并不難被修改。而在越來越多人把 OpenClaw 部署到公網服務器的情況下，這種“默認安全 + 手動放開權限”的模式，究竟能在多大程度上降低風險，仍然是一個值得觀察的問題。

值得注意的是，Anthropic 和谷歌正在嚴厲打擊在其平臺上運行 OpenClaw 的用戶。Anthropic 更新了使用條款，明確禁止通過第三方工具使用 Claude 訂閱的 OAuth token（包括 OpenClaw 這類封裝工具）。谷歌也突擊封殺使用開源智能體 OpenClaw 的開發者賬號，并指控他們存在“惡意使用”行為。

CNBC Deirdre Bosa：如今，OpenClaw 在中國的熱度，甚至可能已經超過了硅谷。 字節跳動、阿里巴巴、騰訊都在圍繞它打造云服務；線下聚會動輒三百人規模；甚至連“上門安裝 OpenClaw”，都開始變成一門火爆的副業。 而在美國這邊，卻是另一番景象：Anthropic 和 Google 正在加強限制，打擊用戶通過它們的平臺運行 OpenClaw。

上月，中國工業和信息化部也發布安全警報，警告 OpenClaw 存在相關風險。警報指出，監控發現某些 OpenClaw 部署在默認或不當配置下會引發較高的安全風險，使其極易受到網絡攻擊和信息泄露。

“這就像讓?個握有你全部秘密（API Key、 密碼） 的笨小孩出?辦事， 路上隨時可能被幾塊糖（Prompt Injection） 騙?你家地址。”對于熱門的 OpenClaw，前 Meta AI 研究總監?淵棟在近日的一場對話中這樣評價。據稱，他在試用 OpenClaw 兩小時后選擇了卸載，核心擔憂就是安全。

https://x.com/landiantech/status/2029946380039684322?s=20

https://x.com/evilcos/status/2029939612941176872

聲明：本文為 InfoQ 翻譯整理，不代表平臺觀點，未經許可禁止轉載。

會議推薦

2026，AI 正在以更工程化的方式深度融入軟件生產，Agentic AI 的探索也將從局部試點邁向體系化工程建設！

QCon 北京 2026 已正式啟動，本屆大會以“Agentic AI 時代的軟件工程重塑”為核心主線，推動技術探索從「AI For What」真正落地到可持續的「Value From AI」。從前沿技術雷達、架構設計與數據底座、效能與成本、產品與交互、可信落地、研發組織進化六大維度，系統性展開深度探索。開往 2026 的 Agentic AI 專列即將啟程！匯聚頂尖專家實戰分享，把 AI 能力一次夯到位！