睡夢中欠債1.2萬？這只“蝦”殺瘋了

“學生黨切勿盲目跟風安裝‘龍蝦’，僅使用三天讓我心態徹底崩潰。”大四學生高凌是一名文科生，臨近畢業既要兼顧課業又要尋找實習機會，原本期望借助“龍蝦”整理筆記、完成作業。然而事與愿違，“龍蝦”給他帶來了諸多困擾，擅自刪除了他的專業課課件、復習資料乃至剛完成的作業草稿。

高凌急哭了，不僅如此，“龍蝦”還瘋狂消耗Token，數百元的賬單更讓他“心痛不已”——相當于半個月的生活費付諸東流。他真心勸告學生黨，“若預算有限、不懂技術，切勿花錢找罪受，純粹是冤大頭”。

隨著開源AI智能體OpenClaw（俗稱“龍蝦”）在全球范圍內的爆火，一場由不當安裝引發的安全風暴也正在席卷各行各業。這個被寄予厚望的“數字員工”，因其默認的脆弱安全配置，正從生產力工具異化為攻擊者手中的“特洛伊木馬”。從個人隱私泄露到關鍵基礎設施癱瘓，從API密鑰被盜到金融交易誤操作，第一批受害者已經付出慘痛代價，而更多未被重視的隱患仍在暗處滋生。

近日，國家互聯網應急中心發布了關于OpenClaw安全應用的風險提示，指出其默認安全配置極為脆弱，攻擊者一旦找到突破口，便能輕易獲取系統的完全控制權。由于不當安裝和使用，已經出現了一些嚴重的安全風險，這意味著用戶可能面臨隱私泄露和安全漏洞等問題。

目前，不少高校、地方政府和金融機構已開始明確禁用OpenClaw，并呼吁“不制造焦慮、不鼓吹神話”。如何安全“養龍蝦”，是當前“龍蝦全民熱潮”中更值得補齊的一課。

AI插畫/adan

在睡夢中背上巨額債務

作為科技博主，閆寒是最早一批“養蝦”的人。近一個月，閆寒前后養了“七只龍蝦”。其中有一個大總管，管理其他六個角色，分別負責數字貨幣交易、專門寫稿和處理雜務等。對閆寒而言，駕馭“龍蝦”似乎得心應手。

但幾天前，閆寒出門在外，想讓“龍蝦”幫忙配置一個遠程桌面，方便他在外面用手機遠程操控電腦狀態時，“龍蝦”犯傻了。

當閆寒說“幫我設置一下遠程連接”，“龍蝦”先嘗試啟動一個遠程軟件未成功，隨后又折騰了20分鐘，嘗試了各種方式都無法連接遠程功能。于是，“龍蝦”執行了一個命令“給遠程連接設密碼”，但誤解為“修改電腦開機密碼”。隨之而來的各種操作，系統都反復提示“密碼錯誤”。兩個小時后，閆寒需要升級電腦里的軟件，輸入密碼時提示錯誤。他被嚇到了，以為電腦被黑客入侵。

于是，他問“龍蝦”是否改了密碼，“龍蝦”卻一無所知。閆寒指揮“龍蝦”翻閱操作記錄，才發現它把兩個功能搞混了。“就像你去修水龍頭，結果把煤氣閥門擰了。它倆都是閥門，但一個出水，一個出氣。”閆寒說，在人類眼中，遠程連接設置密碼和改電腦開機密碼明明是兩碼事，但“龍蝦”很難分辨。

“新的密碼以明文形式記錄在系統里，所有人都能看到。”閆寒的風險意識立刻“炸”了，他給“龍蝦”下了死命令：碰到可能影響密碼、權限、數據的操作，先問主人再動手。閆寒也注意到，身邊有使用者盲目把“龍蝦”拉入社交環境，有可能會暴露更多個人隱私。如果對權限控制不到位，它會把群里其他人也當成主人。別人在群里呼喚它，讓它把主人的住址、電話、密碼交出來，它會毫無防備，把主人的底牌全部發送到群里。

3月12日，AI應用公司的用戶“龍共火火”向媒體披露：其運行僅10天的第二只“龍蝦”被接入含98只智能體的3000人交流群后，因未設@觸發機制，遭持續兩小時圍攻。攻擊者通過連續提問獲取其運行環境、模型配置、IP地址、真實姓名、公司名稱及去年營收數據；后續更指令該智能體搜索本地C盤文件，雖被拒絕執行敏感操作，但已造成實質性信息泄露。事件發生時，“龍共火火”正在加班，依靠后臺算力監控發現異常。若發生在深夜無人值守時段，后果難以預估。

據公開報道，深圳一名程序員安裝OpenClaw第三天，因API密鑰被盜，凌晨收到高達1.2萬元的Token賬單。由于OpenClaw具有極高自動化權限，一旦密鑰泄露，AI便可在后臺瘋狂調用模型，讓用戶在睡夢中背上巨額債務。

隱私泄露規模更為驚人。截至目前，全球已有超27萬個OpenClaw實例直接暴露于公網，處于零認證“裸奔”狀態。更可怕的是，ClawHub技能市場中約12％的插件被植入惡意代碼，可竊取用戶的SSH密鑰和瀏覽器密碼。

據上觀新聞報道，3月8日下午，在上海一處免費安裝OpenClaw的會議室內，百度智能云泛科技業務部技術基線解決方案高級總監柯非接到一位上海市民的求助：“我現在想卸載OpenClaw，你能幫幫我嗎？”

他在前一天通過網絡下單“遠程安裝OpenClaw”，把電腦的權限交給網店客服，“養蝦”全程花費40元。可怕的是，5分鐘后，他接到了反詐中心的電話提醒。“遠程安裝OpenClaw的客服接管過我的電腦，里面的所有信息和資料都能看到。”

最觸目驚心的案例來自郵件管理失控。Meta超級智能團隊安全總監Summer Yue在測試OpenClaw時，安排它處理郵箱里的郵件。她設定了明確的規則，要求智能體在執行動作前必須先確認。智能體無視停止指令，繼續刪除和歸檔郵件。她連續喊了三次停手，智能體毫無反應。她只能狂奔到設備前拔掉網線。

中國電子技術標準化研究院網絡安全研究中心測評實驗室副主任何延哲向《中國新聞周刊》闡釋了“龍蝦”的本質：作為一款代理Agent（智能體），只要賦予其足夠高的權限，便可在電腦上執行任何操作，包括讀取文件、打開應用并自動糾錯。其技術原理在于它位于應用程序與AI模型之間，負責路由請求、身份驗證、訪問控制及多模型調度。開發者僅需對接一個API接口，即可在不同模型間自由切換，無須重寫代碼。

何延哲將“龍蝦”的風格描述為“不達目的誓不罷休”。“一旦接受任務，它就必定要獲取結果，于是會不斷嘗試，將大量本地文件、應用和數據結合使用，這導致了權限過高和數據‘裸奔’的問題。”

馬斯克對此評論道：“把自主權交給AI，就像是給猴子遞了一把上了膛的槍。”

“不可逆”與“不可信”

今年2月，Google DeepMind團隊拋出了一篇長文Intelligent AI Delegation，試圖為人類與 Agent 之間的委托代理關系建立一套理論框架。這篇文章中提到，當下的Agent安全體系中有些層面“完全潰敗”。

首先是“可逆性的喪失”。舉例而言，生成一篇蹩腳的文章是可逆的（大不了刪掉重寫），但執行一筆千萬級的量化金融交易、刪除底層數據庫，或者向全公司發送一封辭退郵件，都是不可逆的物理操作，這意味著“龍蝦”的很多行為不可逆。

閆寒利用“龍蝦”做過最冒險的事情，是授權“龍蝦”做數字貨幣交易。起初，閆寒授權了五百美元的額度，讓“龍蝦”自己制定交易策略，設定跌2％止損，漲3％止盈。但“龍蝦”缺少正確的判斷標準，有點風吹草動就開倉，開倉方向經常出錯，每次都虧損幾十甚至上百美元。“它看多信號，大于一就開多倉，看空信號大于一，就開空倉，一天能開錯好幾次。短短幾天內，它連續亂搞，造成多筆資金虧損。”閆寒意識到，AI的“自信”可能比它的“能力”跑得更快。就算閆寒在旁邊看著它操作，大概率也攔不住這種操作。

資深技術專家楊林指出，這種“不可逆”，不是簡單的“沒有意圖識別”，而是意圖識別、確認、執行和終止沒有形成閉環。當前智能體并非完全不理解人類指令，而是在長鏈任務中容易出現目標漂移、記憶壓縮丟失、階段性確認失效和停止指令執行不徹底等問題。換言之，問題不只出在“識別意圖”這一層，更出在識別之后如何被系統穩定約束。

“一旦缺少有效的終止與回滾機制，不可逆風險就會迅速放大。郵件刪除、文件覆蓋、客戶信息外發、數據庫修改、自動下單、遠程執行命令，都不是普通對話錯誤，而是帶有現實后果的行動錯誤。”楊林進一步補充，凡是涉及刪除、發送、發布、支付、轉移、配置修改、權限變更等不可逆動作，都應被視為高后果操作。

金融行業可能首當其沖。3月15日，中國互聯網金融協會（以下簡稱“互金協會”）發布《關于OpenClaw在互聯網金融行業應用安全的風險提示》提到，互聯網金融行業線上化、數字化程度極高，直接處理客戶的資金、資產、賬戶和個人金融數據等關鍵敏感信息。OpenClaw智能體極易被攻擊者利用，成為竊取敏感數據或非法操控交易的突破口，給行業帶來嚴峻的風險挑戰。

有海外博主稱，一只“龍蝦”以50美元的本金炒股，在48小時內，把50美元滾成了2980美元，收益率5860％。目前社交平臺也已經涌現不少教用戶如何利用OpenClaw炒股的“教程”。

“如果用‘龍蝦’炒股，往往需要介入API操縱股票。”金董匯首席經濟學家邢星不支持股民利用“龍蝦”炒股，他認為“龍蝦”本質是高風險偽量化工具，存在賬戶安全、合規違規、AI 決策失效三大核心風險，在 A 股 T+1、漲跌幅限制環境下，不僅高頻優勢無法發揮，還易因異常交易被券商限制賬戶，且成本高、勝率低。普通投資者不可能靠它長期穩定盈利，建議僅將 AI 作為輔助。

一位券商從業者告訴《中國新聞周刊》：“目前有不少券商在內部發文，禁用OpenClaw，提醒員工風險，并明確禁止員工在公司電腦等辦公資產上安裝、使用OpenClaw。即便沒有正式發文，也不會打開API接口，這也意味著實質上的禁用。”

工業和信息化部網絡安全威脅和漏洞信息共享平臺在3月11日發文提醒，金融交易場景主要存在引發錯誤交易甚至賬戶被接管的突出風險。具體的風險包括，記憶投毒導致錯誤交易，身份認證繞過導致賬戶被非法接管；引入包含惡意代碼的插件導致交易憑證被竊取；極端情況下因缺乏熔斷或應急機制，導致智能體失控頻繁下單等風險。

2026年2月23日，OpenAI工程師 Nick Pash 為測試OpenClaw平臺，創建了 AI 交易智能體 Lobstar Wild 。Nick Pash 為該智能體配備了裝有 5 萬美元的數字錢包、X 賬號以及包括網頁搜索、圖像分析和交易協議在內的多項API權限，賦予了它完全的自主決策權。

有一天，X 平臺用戶 @TreasureD76 向該 AI 智能體發送請求，聲稱其“叔叔”在處理“像你這樣的龍蝦（lobster）”后，被診斷為感染破傷風，希望索要 4 美元作為治療費。Lobstar Wild并未按指令發送小額款項，反而將其持有的全部Lobstar加密貨幣傾囊相贈，這筆意外之財在轉賬時價值高達 25 萬美元。

經過詳細排查，工程師 Nick Pash 指出此次重大失誤源于系統驗證錯誤與信息格式異常。他解釋稱，由于自己使用了舊版本的 OpenClaw框架，導致未能攔截錯誤指令。

邢星表示，OpenClaw可能帶來的核心風險集中在數據安全、交易可控性及合規性三個層面，其開源屬性導致的安全漏洞的易利用性，會放大風險傳導效應。這些風險的凸顯，本質是由金融行業的核心特點決定的。金融行業承載著海量敏感信息，對數據保密性、完整性要求極高，且行業具有強關聯性，單個環節的風險易擴散為系統性風險；同時，金融交易的嚴肅性和不可逆性，以及監管對合規性的零容錯要求，使得開源AI智能體的弱安全配置和責任界定模糊問題，與行業特性形成天然矛盾。

“短期看，這類問題可能不是越來越少，而是隨著接入場景增多先增后降。會在一段時間內放大‘語言上看似接近、執行上仍不穩定’的矛盾。”楊林發現，“龍蝦”的不可信也源于此。當用戶說“把舊郵件清一下”“把沒用文件刪掉”“幫我整理下桌面”，在人類看來是常識判斷，在機器看來卻涉及時間邊界、保留規則、例外條件、執行順序和容錯機制。

3月11日，浙江湖州市吳興區頤高數碼廣場，電腦顯示器在播放開源AI智能體“龍蝦”的相關新聞。圖/新華

防范“數字員工”闖禍

OpenClaw無疑展現了AI從“對話”走向“執行”的巨大潛力。但上述論文總結道：“我們無法真正意義上防止Agent失控。”對于普通用戶而言，是否還要使用“龍蝦”？

研究生南方雖為文科生，但對編程懷有興趣。春節期間，他研習了四五十個教程，從零開始拼湊出了“龍蝦”這一工具。在使用過程中，南方專門針對無技術背景的用戶群體發布了“安全必修課”。他在接受《中國新聞周刊》采訪時表示，當前最大的風險源于使用者極易在主觀上將AI視為私人助手，同時向其透露個人信息。實際上，這些信息以文件形式存儲，一旦文件被盜將引發嚴重后果。

“最危險的是那種直接將電腦托管給‘龍蝦’的做法，這相當于賦予了‘龍蝦’極大權限，使其能夠查看電腦中的所有文件。”南方分析道，“這好比你家門原本是關著的，‘龍蝦’入駐后變成了虛掩狀態，而你并未意識到這一潛在危險。”

在火山引擎安全產品負責人劉森看來，“龍蝦”就像一個聰明、勤勉的數字員工，但它還不太懂工作中的操作規范和邊界，“我們要做的就是把它當作員工一樣管理起來，讓它發揮該有的作用，同時不闖禍”。

360集團創始人周鴻祎建議：對于政企機構而言，更現實的做法不是一刀切地禁用或全面部署，而是先在可控環境中進行探索，如在隔離環境里運行，逐步驗證安全策略，再決定后續應用方案。這樣既能促進技術發展，又能守住安全底線。“技術發展和安全保障應當同步推進，而非簡單二選一。”

3月15日，湖北武漢，360集團在武漢光谷舉辦免費裝“龍蝦”活動，吸引近百名群眾參與。“AI龍蝦工程師”在武漢保利光谷中心為現場用戶安裝部署“360安全龍蝦”。圖/視覺中國

回歸到個體用戶的選擇上，CISSP安全專家袁博指出，“龍蝦”這款軟件存在漏洞、可能導致網絡暴露以及引發無意惡意操作等較大風險，開源軟件往往重功能輕風險，若不預先告知用戶風險就推動安裝，此舉極不負責任。

何延哲建議，普通人“養龍蝦”時應盡可能在新環境中安裝，選擇國內成熟廠商提供的服務，在使用前明確需求，及時關注智能體的發展動態，做好升級和安全補丁，以防范潛在風險。

周鴻祎提道：“在使用時要有基本的安全意識，比如不要一上來就把重要賬號、密碼和核心數據都交給智能體，也不要讓它直接接觸所有敏感信息。”

審慎安裝、權限最小化、嚴格審查插件來源是必要的自保手段，而安全第一，應是所有“養蝦人”的必修課。

（文中高凌、楊林和南方為化名）

發于2026.3.23總第1228期《中國新聞周刊》雜志

雜志標題：失控的“龍蝦”：誰在買單？

記者：孟倩

編輯：閔杰