小龍蝦味美，但要注意安全！工信部已點名高風(fēng)險

這段時間，一款名為OpenClaw的開源AI智能體突然爆紅全球，因其圖標是一只醒目的紅色龍蝦，被網(wǎng)友親切稱為“小龍蝦”，部署和使用它的過程也被戲稱為“養(yǎng)龍蝦”，GitHub上線4個月就斬獲25萬星標超越Linux；前幾天騰訊宣布現(xiàn)場免費安裝，有近千人排隊，也上了熱搜，這只“小龍蝦”以燎原之勢席卷極客圈與大眾市場，成為AI領(lǐng)域現(xiàn)象級產(chǎn)品！不過在狂歡背后，其暗藏的巨大安全風(fēng)險也被徹底起底，值得每一位使用者高度警惕。

“小龍蝦”由奧地利資深程序員彼得·施泰因貝格爾創(chuàng)建，歷經(jīng)三次更名，于2026年初正式定名OpenClaw并引爆市場，即便后來彼得加入OpenAI，該項目也移交獨立基金會持續(xù)運營。與傳統(tǒng)只能“動口”的AI助手不同，OpenClaw是一款能“動手”的AI智能體，核心定位是“能真正做事的AI”，可直接操作電腦，完成跨應(yīng)用、跨平臺的復(fù)雜任務(wù)，堪稱“數(shù)字員工”。

“小龍蝦”核心優(yōu)勢在于：視覺驅(qū)動能力可模擬鼠標鍵盤操作，無需API就能操控任何軟件；支持微信、釘釘、飛書等工具，聊天中即可下達指令；社區(qū)已貢獻超1.3萬個“技能”，涵蓋郵件處理、代碼開發(fā)、數(shù)據(jù)整理等多個場景；同時支持本地部署，數(shù)據(jù)本地存儲，兼顧便捷性與隱私性。無論是程序員用它調(diào)試代碼、運維服務(wù)器，還是普通上班族用它整理郵件、生成周報，都能大幅提升效率，這也是它快速走紅的核心原因。

然而，就在“養(yǎng)龍蝦”的熱潮愈演愈烈時，一則令人心驚的消息打破了狂歡：有人掃描全網(wǎng)發(fā)現(xiàn)，共有23.49萬個“小龍蝦”實例直接裸奔在公網(wǎng)上，成為黑客眼中的“肥肉”。這些實例均使用默認配置，監(jiān)聽18789端口，未開啟token驗證、未設(shè)置密碼、未開啟防火墻，相當于用戶把家門鑰匙、銀行卡密碼和電腦管理員權(quán)限全貼在大門上，直白地向黑客“敞開大門”。

工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺也發(fā)布高危預(yù)警，點名OpenClaw在默認或不當配置下存在公網(wǎng)暴露、權(quán)限失控、數(shù)據(jù)泄露等重大風(fēng)險。

這些風(fēng)險已經(jīng)出現(xiàn)大量真實案例：黑客可通過暴露端口一鍵接入，查看他人Agent的操作記錄，竊取API Key、錢包信息等敏感數(shù)據(jù)；部分服務(wù)器被黑客接管，當作肉雞挖礦、運行后門程序；企業(yè)部署的“小龍蝦”因配置不當，導(dǎo)致核心機密被無償竊取，造成不可挽回的損失。而且ClawHub插件市場中還出現(xiàn)了偽裝成正常插件的惡意軟件，進一步放大了攻擊風(fēng)險。

面對“小龍蝦”的安全隱患，無論是普通用戶還是企業(yè)，都不能心存僥幸，必須立即采取措施加固防護，以下5分鐘自救清單可直接套用，簡單易操作：

第一步，排查公網(wǎng)暴露情況。在終端輸入“netstat / ss -tuln | grep 18789”，查看自己的“小龍蝦”是否存在公網(wǎng)監(jiān)聽，這是防范風(fēng)險的基礎(chǔ)；

第二步，關(guān)閉不必要的公網(wǎng)訪問，立即將實例改綁127.0.0.1，徹底切斷外網(wǎng)接入通道，避免被黑客掃描到；

第三步，及時更新版本，將OpenClaw升級至最新版，官方已在新版本中加強了安全默認配置，修復(fù)了多項已知漏洞；

第四步，強化身份認證，添加--token強密碼，或使用Cloudflare Tunnel、Tailscale等工具，進一步提升防護等級；

第五步，執(zhí)行自檢，輸入“openclaw doctor”，排查潛在安全隱患，確保配置合規(guī)。

此外，工信部還給出明確安全建議：部署時遵循最小權(quán)限原則，不使用管理員權(quán)限運行；敏感數(shù)據(jù)加密存儲，開啟操作日志審計；拒絕代裝、破解版，僅從官方渠道獲取安裝包；持續(xù)關(guān)注官方安全補丁，及時完成加固配置。對于普通用戶，建議優(yōu)先選擇大廠云端部署服務(wù)，降低操作門檻；科技發(fā)燒友嘗試本地部署時，需做好硬件準備和權(quán)限管控，避免因操作不當留下安全漏洞。

有網(wǎng)友調(diào)侃，

openclaw流行的結(jié)果:

1.蘋果很開心，因為macmini又瘋狂銷售了一波

2.作者很開心，有了知名度也加入OpenAI，賺的盆滿缽滿

3.OpenAl很開心，收編了作者，GPT5.4加強了，電腦操作更蹭了一波熱度

4.其他大模型廠家很開心，因為openclaw很費token，又賣了很多API，而且openclaw越火，就能拉來更多的投資，何樂而不為?

5.云服務(wù)器廠家很開心，弄了一鍵部署，很多人嘗鮮養(yǎng)蝦會買一臺服務(wù)器試試

6.黑客很開心，從沒打過這么富裕的仗

7.普通人呢，大部分也挺開心的，因為覺得自己養(yǎng)了一個龍蝦就跟上時代潮流了，自己也能當老板指揮AI員工了，和別人也有談資，僅限于自己的龍蝦沒出事!

一圈下來大家都很開心，大家都有光明的未來!

阿斯麥高管：中國EUV原型機僅有我們20年前（2006年）的水平！白春禮院士：中國做光刻機時還沒有阿斯麥！

高志凱教授：西方抹黑中國的“總指揮”，被特朗普抖出來了

孫逢春院士直言：國產(chǎn)車技術(shù)已經(jīng)超越特斯拉，規(guī)模全球第一！網(wǎng)友：基本盤的專家

國際電池開發(fā)商：美國在芯片上全力制裁中國，但中國已經(jīng)在下一個技術(shù)時代開始稱霸了

黃仁勛說，“如果你的父母是中國人，那么你一定經(jīng)受過很多痛苦和磨難，我祝福你，一生都充滿「痛苦和磨難」”

美國要求臺積電在美追加投資3.15兆臺幣，合千億美金，因未滿足DEI合規(guī)（缺乏盲人和跨性別、女同性戀工程師）