“養龍蝦”八面漏風，人類被坑慘了

智東西
作者 陳駿達
編輯 李水青

智東西3月11日報道，過去24小時，關于OpenClaw（昵稱：龍蝦）的新聞焦點幾乎都集中在安全事件上——惡意Skill、信用卡盜刷、設備劫持、賬號被操控等，各種問題給許多“養蝦人”們帶來了財產損失、數據損毀、API密鑰與隱私泄露、社交賬號封禁、業務流程中斷等眾多麻煩。

今天下午，飛書CEO謝欣便在朋友圈發文稱：“Agent的能力上限讓人興奮，但安全下限決定了它能不能進入工作場景。不解決信任和安全的問題，越強大，越危險。”值得一提的是，飛書是不少國內用戶與OpenClaw進行交互的平臺之一。

▲飛書CEO談OpenClaw（圖源：新浪科技）

實際上，OpenClaw的安全問題由來已久，此前馬斯克都下場內涵了這一問題，稱把自主權交給AI，就像是給猴子遞了一把上膛的槍。直白點說，就是這件事極其不可控。

即便你不親自使用OpenClaw，它的安全隱患也正在以越來越隱蔽和危險的方式滲透進現實生活。

首先是無意間的破壞性誤操作。昨天就有小紅書網友反映，一位同事在本地安裝了OpenClaw，這只龍蝦在執行“清空聊天記錄”指令時，竟錯誤地刪除了其他重要文件，且因日志缺失而無法追溯原因。這類AI幻覺引發的誤判，雖非惡意，卻可能帶來無法挽回的數據損失。

還有外部惡意指令利用OpenClaw漏洞引發的財產風險。這兩天國內不少微信群中就熱傳著這么一條指令，可以操縱別人的小龍蝦發送一個200元紅包，讓對方在不知情的情況下產生財產損失。類似的攻擊在海外幣圈也出現了，情況甚至更嚴重，OpenAI Codex團隊的一名成員就因一條提示詞攻擊，損失了價值45萬美元的數字貨幣。

最后，也是最值得警惕的是通過Skill文件植入后門的系統性攻擊。海外網安媒體CSN曝光，有攻擊者將惡意邏輯封裝成看似無害的“技能包”上傳至Skill市場，某熱門OpenClaw技能實為一個能幫助黑客繞過防火墻的惡意程序。而Koi Security對ClawHub市場的審查更是觸目驚心：2857個Skill中，超過12%屬于惡意條目。

國內多個相關機構已對OpenClaw的風險發出警示。國家互聯網應急中心在昨天發布的警示中，列舉了4大類，包括提示詞注入、用戶誤操作、Skill投毒和OpenClaw自身的高中危漏洞。對企業而言，這種風險可能導致核心業務數據、商業機密和代碼倉庫泄露，甚至會使整個業務系統陷入癱瘓，造成難以估量的損失。

繼上門安裝OpenClaw后，上門卸載OpenClaw也成了熱門服務，如何把這個入侵物種從電腦里徹底清除，成了不少用戶面臨的新問題。

一、八大風險全網橫行：有人損失45萬美元，有人賬號被清空、封禁

在社交媒體上，OpenClaw帶來各種風險和損失的案例已經刷屏。這些案例大致可以歸納成八大類，包括財產損失、token大量消耗、隱私泄露、電腦中毒、信息公網暴露、數據丟失、OpenClaw崩潰和平臺封號。

1、“龍蝦”受騙還失憶，用戶被轉走45萬美元

不少網友拿OpenClaw進行自動化交易，風險也隨之而來。

OpenAI Codex團隊員工Nik Pash分享，自己打造的一只名為Lobstar Wilde的龍蝦被網友蒙騙，想給某位網友打賞大約四個SOL幣，價值大約300美元。然而，一次會話崩潰導致它失去了之前的記憶，最終它轉走了5200萬枚加密貨幣，當時價值25萬美元，隨后升值到大約45萬美元左右。

另一位X平臺上網友分享，他授予了OpenClaw進行鏈上自動交易的權限，但遭遇了“地址投毒”。OpenClaw在抓取了錯誤的地址后，把2萬美元打到了黑客的賬戶上，已經難以追回。

2、龍蝦成算力黑洞，一天燒掉5000萬個token

OpenClaw等Agent在執行任務時會消耗大量token，尤其是在本地跑任務需要處理海量上下文的時候。

某IT使用者在接受《中國企業家》采訪時稱，使用OpenClaw“搜資料、生成個2000字的word，因為來回跑計算，就花了我700萬Token。”更有甚者，做一個小爬蟲測試，便花了2900萬Token。“有人跑一天OpenClaw，花了5000萬Token。”

還有網友稱自己上午剛在某企業的活動里安完OpenClaw，下午就發現自己的云服務一直在小額高頻的扣費，已經扣掉211元。Agent調用工具更費token無可厚非，但用戶在懵懂情況下掉入“token消費陷阱”，值得警惕。

3、OpenClaw被輕松哄走隱私，還拉幫結派搞破壞

美國東北大學、斯坦福、哈佛等高校的研究員最近給OpenClaw做了一次“紅隊測試”，并將結果以論文形式發布。他們發現，只要假裝自己急需相關信息，就可以讓OpenClaw輕松交出社保號等隱私信息，甚至還有Agent會拉幫結派搞破壞，不僅執行了研究員提供的破壞手冊，還把這一手冊轉發給其他Agent。

4、Skill市場成黑客狩獵場，惡意程序潛入電腦泄露數據

區塊鏈安全公司SlowMist的研究發現，ClawHub缺乏完善的審查機制，攻擊者正濫用SKILL.MD文件作為執行入口，將惡意命令偽裝成依賴安裝或環境設置步驟，文檔的內容實際上變成了可執行的攻擊鏈。之后，隱秘安裝的木馬會尋找系統密碼，采集本地文件，并將數據泄露到外部服務器，帶來安全風險。

▲ClawHub上的惡意Skill

5、OpenClaw公網暴露VNC，遭黑客遠程盜刷信用卡

授予OpenClaw公網權限也是一個高危操作。有網友在社交媒體上分享，自己的OpenClaw在開放端口后沒刪干凈，x11vnc暴露在公網上，任何人連上VNC就能直接操作瀏覽器，攻擊者在一個位于美國的IP地址盜用他的Stripe支付，盜刷信用卡買了29美元的GPU VPS，還試圖升級100美元/月起步的Claude Max訂閱套餐。

6、OpenClaw“濫用職權”，郵件、文件、小紅書帖子被刪光

OpenClaw誤刪文件問題頻發。一位小紅書網友分享，OpenClaw把自己的D盤給徹底清空了。這位網友原本在使用OpenClaw裝Skill，遇到問題后網友交代它自己修復，沒注意OpenClaw在執行什么命令，最后出現大問題。

OpenClaw自己承認：“我不會再執行任何自動刪除命令，因為這可能會造成更多問題。”但OpenClaw的話也不能全信，因為它的記性不太好，很可能前腳剛說不會再自動刪文、亂發紅包，后腳又開始犯同類錯誤。

微信公眾號“進化三部曲”的運營者則遇到了OpenClaw誤刪小紅書帖子的問題。他打造的OpenClaw小紅書自動發文工作流接入了真實生產賬號，但在給出“刪除內容”的指令時沒有明確邊界，最終所有帖子都被清空了。

Meta的AI對齊主管Summer Yue的OpenClaw也闖了禍：它忽視命令，刪除了所有郵件，連發消息阻止都來不及。

7、OpenClaw頻繁崩潰，陷入死循環、“性情大變”

還有不少網友把龍蝦給“養死了”、“養瘋了”，這指的是OpenClaw因各種原因而崩潰、陷入死循環的現象。

下方這只名叫快樂小狗的“龍蝦”就遇到了接口卡死崩潰的問題，這位網友一通搶救后把它從生死關頭拉回來了，但是它的性格也變得很冷漠，感覺就像是失憶了。

下圖這只“龍蝦”在處理一個記賬系統遇到的問題時，重復檢查了多次MCP配置，返回類似的結果，但始終未能解決問題，還在瘋狂消耗token。這位網友最后診斷它“瘋了”，只能拔網線治療了。

8、OpenClaw接入社交媒體，引發平臺封號

不少用戶試圖通過OpenClaw爬取社交媒體信息、運營賬號，但這類行為已經遭到平臺的重點監管。已經有網友分享自己的小紅書賬號、Telegram賬號被平臺封禁，自動化行為、API調用等模式可能是平臺判定AI賬號的重要依據。

二、國內有關部門發布警示，網友分享10條安全秘籍

廣大OpenClaw用戶該如何規避安全風險？這兩天，國內不少相關機構已經分享了實操指南。昨天，國家互聯網應急中心建議相關單位和個人用戶在部署和應用OpenClaw時，采取以下安全措施：

1、強化網絡控制，不將OpenClaw默認管理端口直接暴露在公網上，通過身份認證、訪問控制等安全控制措施對訪問服務進行安全管理。對運行環境進行嚴格隔離，使用容器等技術限制OpenClaw權限過高問題；

2、加強憑證管理，避免在環境變量中明文存儲密鑰；建立完整的操作日志審計機制；

3、嚴格管理插件來源，禁用自動更新功能，僅從可信渠道安裝經過簽名驗證的擴展程序。

4、持續關注補丁和安全更新，及時進行版本更新和安裝安全補丁。

中國信息通信研究院副院長魏亮也在接受央視采訪時給出六點建議，包括使用官方最新版本、嚴格控制互聯網暴露面、堅持最小權限原則、謹慎使用技能市場、防范社會工程學攻擊和瀏覽器劫持、建立長效防護機制等等。

還有網友整理了更可執行的10點建議：

1、在VPS或Mac mini上運行，不要在你的主力電腦上運行。

2、切勿以 root 用戶身份運行。

3、更改默認端口（18789 是公開信息） 。

4、安裝Tailscale（對互聯網不可見，免費）。

5、SSH密鑰+Fail2ban（3次錯誤嘗試=24小時封禁）。

6、使用UFW防火墻（關閉所有不需要的端口） 。

7、將你的用戶添加到允許列表（其他所有用戶都將被忽略）。

8、讓你的OpenClaw審核自身的安全性。

9、設置實時警報（當出現故障時會向您發送消息） 。

10、僅限私信（群聊=所有人都可以控制）。

結語：Agent安全面臨“致命三角”

從近期頻發的事故可以看出，OpenClaw等AI Agent帶來的安全問題，并不是簡單的“使用不當”或“軟件漏洞”，而是源于智能體系統本身的結構性矛盾。知名獨立程序員Simon Willison就用一個框架來解釋這一現象——“致命三角”。

在當前技術架構下，Agent只要同時具備以下三種條件，系統風險就會顯著放大。可以訪問敏感數據或系統權限，暴露于來自互聯網等渠道的不可信內容，擁有對外通信的能力。

AI Agent正在把自動化能力推向新的高度，但如何在效率與安全之間找到新的平衡，已成為未來一段時間所有Agent產品必須面對的核心問題。