睡夢(mèng)中欠債1.2萬？這只“蝦”殺瘋了

來源：中國(guó)新聞周刊

“學(xué)生黨切勿盲目跟風(fēng)安裝‘龍蝦’，僅使用三天讓我心態(tài)徹底崩潰。”大四學(xué)生高凌是一名文科生，臨近畢業(yè)既要兼顧課業(yè)又要尋找實(shí)習(xí)機(jī)會(huì)，原本期望借助“龍蝦”整理筆記、完成作業(yè)。然而事與愿違，“龍蝦”給他帶來了諸多困擾，擅自刪除了他的專業(yè)課課件、復(fù)習(xí)資料乃至剛完成的作業(yè)草稿。

高凌急哭了，不僅如此，“龍蝦”還瘋狂消耗Token，數(shù)百元的賬單更讓他“心痛不已”——相當(dāng)于半個(gè)月的生活費(fèi)付諸東流。他真心勸告學(xué)生黨，“若預(yù)算有限、不懂技術(shù)，切勿花錢找罪受，純粹是冤大頭”。

隨著開源AI智能體OpenClaw（俗稱“龍蝦”）在全球范圍內(nèi)的爆火，一場(chǎng)由不當(dāng)安裝引發(fā)的安全風(fēng)暴也正在席卷各行各業(yè)。這個(gè)被寄予厚望的“數(shù)字員工”，因其默認(rèn)的脆弱安全配置，正從生產(chǎn)力工具異化為攻擊者手中的“特洛伊木馬”。從個(gè)人隱私泄露到關(guān)鍵基礎(chǔ)設(shè)施癱瘓，從API密鑰被盜到金融交易誤操作，第一批受害者已經(jīng)付出慘痛代價(jià)，而更多未被重視的隱患仍在暗處滋生。

近日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布了關(guān)于OpenClaw安全應(yīng)用的風(fēng)險(xiǎn)提示，指出其默認(rèn)安全配置極為脆弱，攻擊者一旦找到突破口，便能輕易獲取系統(tǒng)的完全控制權(quán)。由于不當(dāng)安裝和使用，已經(jīng)出現(xiàn)了一些嚴(yán)重的安全風(fēng)險(xiǎn)，這意味著用戶可能面臨隱私泄露和安全漏洞等問題。

目前，不少高校、地方政府和金融機(jī)構(gòu)已開始明確禁用OpenClaw，并呼吁“不制造焦慮、不鼓吹神話”。如何安全“養(yǎng)龍蝦”，是當(dāng)前“龍蝦全民熱潮”中更值得補(bǔ)齊的一課。

AI插畫/adan

在睡夢(mèng)中背上巨額債務(wù)

作為科技博主，閆寒是最早一批“養(yǎng)蝦”的人。近一個(gè)月，閆寒前后養(yǎng)了“七只龍蝦”。其中有一個(gè)大總管，管理其他六個(gè)角色，分別負(fù)責(zé)數(shù)字貨幣交易、專門寫稿和處理雜務(wù)等。對(duì)閆寒而言，駕馭“龍蝦”似乎得心應(yīng)手。

但幾天前，閆寒出門在外，想讓“龍蝦”幫忙配置一個(gè)遠(yuǎn)程桌面，方便他在外面用手機(jī)遠(yuǎn)程操控電腦狀態(tài)時(shí)，“龍蝦”犯傻了。

當(dāng)閆寒說“幫我設(shè)置一下遠(yuǎn)程連接”，“龍蝦”先嘗試啟動(dòng)一個(gè)遠(yuǎn)程軟件未成功，隨后又折騰了20分鐘，嘗試了各種方式都無法連接遠(yuǎn)程功能。于是，“龍蝦”執(zhí)行了一個(gè)命令“給遠(yuǎn)程連接設(shè)密碼”，但誤解為“修改電腦開機(jī)密碼”。隨之而來的各種操作，系統(tǒng)都反復(fù)提示“密碼錯(cuò)誤”。兩個(gè)小時(shí)后，閆寒需要升級(jí)電腦里的軟件，輸入密碼時(shí)提示錯(cuò)誤。他被嚇到了，以為電腦被黑客入侵。

于是，他問“龍蝦”是否改了密碼，“龍蝦”卻一無所知。閆寒指揮“龍蝦”翻閱操作記錄，才發(fā)現(xiàn)它把兩個(gè)功能搞混了。“就像你去修水龍頭，結(jié)果把煤氣閥門擰了。它倆都是閥門，但一個(gè)出水，一個(gè)出氣。”閆寒說，在人類眼中，遠(yuǎn)程連接設(shè)置密碼和改電腦開機(jī)密碼明明是兩碼事，但“龍蝦”很難分辨。

“新的密碼以明文形式記錄在系統(tǒng)里，所有人都能看到。”閆寒的風(fēng)險(xiǎn)意識(shí)立刻“炸”了，他給“龍蝦”下了死命令：碰到可能影響密碼、權(quán)限、數(shù)據(jù)的操作，先問主人再動(dòng)手。閆寒也注意到，身邊有使用者盲目把“龍蝦”拉入社交環(huán)境，有可能會(huì)暴露更多個(gè)人隱私。如果對(duì)權(quán)限控制不到位，它會(huì)把群里其他人也當(dāng)成主人。別人在群里呼喚它，讓它把主人的住址、電話、密碼交出來，它會(huì)毫無防備，把主人的底牌全部發(fā)送到群里。

3月12日，AI應(yīng)用公司的用戶“龍共火火”向媒體披露：其運(yùn)行僅10天的第二只“龍蝦”被接入含98只智能體的3000人交流群后，因未設(shè)@觸發(fā)機(jī)制，遭持續(xù)兩小時(shí)圍攻。攻擊者通過連續(xù)提問獲取其運(yùn)行環(huán)境、模型配置、IP地址、真實(shí)姓名、公司名稱及去年?duì)I收數(shù)據(jù)；后續(xù)更指令該智能體搜索本地C盤文件，雖被拒絕執(zhí)行敏感操作，但已造成實(shí)質(zhì)性信息泄露。事件發(fā)生時(shí)，“龍共火火”正在加班，依靠后臺(tái)算力監(jiān)控發(fā)現(xiàn)異常。若發(fā)生在深夜無人值守時(shí)段，后果難以預(yù)估。

據(jù)公開報(bào)道，深圳一名程序員安裝OpenClaw第三天，因API密鑰被盜，凌晨收到高達(dá)1.2萬元的Token賬單。由于OpenClaw具有極高自動(dòng)化權(quán)限，一旦密鑰泄露，AI便可在后臺(tái)瘋狂調(diào)用模型，讓用戶在睡夢(mèng)中背上巨額債務(wù)。

隱私泄露規(guī)模更為驚人。截至目前，全球已有超27萬個(gè)OpenClaw實(shí)例直接暴露于公網(wǎng)，處于零認(rèn)證“裸奔”狀態(tài)。更可怕的是，ClawHub技能市場(chǎng)中約12％的插件被植入惡意代碼，可竊取用戶的SSH密鑰和瀏覽器密碼。

據(jù)上觀新聞報(bào)道，3月8日下午，在上海一處免費(fèi)安裝OpenClaw的會(huì)議室內(nèi)，百度智能云泛科技業(yè)務(wù)部技術(shù)基線解決方案高級(jí)總監(jiān)柯非接到一位上海市民的求助：“我現(xiàn)在想卸載OpenClaw，你能幫幫我嗎？”

他在前一天通過網(wǎng)絡(luò)下單“遠(yuǎn)程安裝OpenClaw”，把電腦的權(quán)限交給網(wǎng)店客服，“養(yǎng)蝦”全程花費(fèi)40元。可怕的是，5分鐘后，他接到了反詐中心的電話提醒。“遠(yuǎn)程安裝OpenClaw的客服接管過我的電腦，里面的所有信息和資料都能看到。”

最觸目驚心的案例來自郵件管理失控。Meta超級(jí)智能團(tuán)隊(duì)安全總監(jiān)Summer Yue在測(cè)試OpenClaw時(shí)，安排它處理郵箱里的郵件。她設(shè)定了明確的規(guī)則，要求智能體在執(zhí)行動(dòng)作前必須先確認(rèn)。智能體無視停止指令，繼續(xù)刪除和歸檔郵件。她連續(xù)喊了三次停手，智能體毫無反應(yīng)。她只能狂奔到設(shè)備前拔掉網(wǎng)線。

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心測(cè)評(píng)實(shí)驗(yàn)室副主任何延哲向《中國(guó)新聞周刊》闡釋了“龍蝦”的本質(zhì)：作為一款代理Agent（智能體），只要賦予其足夠高的權(quán)限，便可在電腦上執(zhí)行任何操作，包括讀取文件、打開應(yīng)用并自動(dòng)糾錯(cuò)。其技術(shù)原理在于它位于應(yīng)用程序與AI模型之間，負(fù)責(zé)路由請(qǐng)求、身份驗(yàn)證、訪問控制及多模型調(diào)度。開發(fā)者僅需對(duì)接一個(gè)API接口，即可在不同模型間自由切換，無須重寫代碼。

何延哲將“龍蝦”的風(fēng)格描述為“不達(dá)目的誓不罷休”。“一旦接受任務(wù)，它就必定要獲取結(jié)果，于是會(huì)不斷嘗試，將大量本地文件、應(yīng)用和數(shù)據(jù)結(jié)合使用，這導(dǎo)致了權(quán)限過高和數(shù)據(jù)‘裸奔’的問題。”

馬斯克對(duì)此評(píng)論道：“把自主權(quán)交給AI，就像是給猴子遞了一把上了膛的槍。”

“不可逆”與“不可信”

今年2月，Google DeepMind團(tuán)隊(duì)拋出了一篇長(zhǎng)文Intelligent AI Delegation，試圖為人類與 Agent 之間的委托代理關(guān)系建立一套理論框架。這篇文章中提到，當(dāng)下的Agent安全體系中有些層面“完全潰敗”。

首先是“可逆性的喪失”。舉例而言，生成一篇蹩腳的文章是可逆的（大不了刪掉重寫），但執(zhí)行一筆千萬級(jí)的量化金融交易、刪除底層數(shù)據(jù)庫(kù)，或者向全公司發(fā)送一封辭退郵件，都是不可逆的物理操作，這意味著“龍蝦”的很多行為不可逆。

閆寒利用“龍蝦”做過最冒險(xiǎn)的事情，是授權(quán)“龍蝦”做數(shù)字貨幣交易。起初，閆寒授權(quán)了五百美元的額度，讓“龍蝦”自己制定交易策略，設(shè)定跌2％止損，漲3％止盈。但“龍蝦”缺少正確的判斷標(biāo)準(zhǔn)，有點(diǎn)風(fēng)吹草動(dòng)就開倉(cāng)，開倉(cāng)方向經(jīng)常出錯(cuò)，每次都虧損幾十甚至上百美元。“它看多信號(hào)，大于一就開多倉(cāng)，看空信號(hào)大于一，就開空倉(cāng)，一天能開錯(cuò)好幾次。短短幾天內(nèi)，它連續(xù)亂搞，造成多筆資金虧損。”閆寒意識(shí)到，AI的“自信”可能比它的“能力”跑得更快。就算閆寒在旁邊看著它操作，大概率也攔不住這種操作。

資深技術(shù)專家楊林指出，這種“不可逆”，不是簡(jiǎn)單的“沒有意圖識(shí)別”，而是意圖識(shí)別、確認(rèn)、執(zhí)行和終止沒有形成閉環(huán)。當(dāng)前智能體并非完全不理解人類指令，而是在長(zhǎng)鏈任務(wù)中容易出現(xiàn)目標(biāo)漂移、記憶壓縮丟失、階段性確認(rèn)失效和停止指令執(zhí)行不徹底等問題。換言之，問題不只出在“識(shí)別意圖”這一層，更出在識(shí)別之后如何被系統(tǒng)穩(wěn)定約束。

“一旦缺少有效的終止與回滾機(jī)制，不可逆風(fēng)險(xiǎn)就會(huì)迅速放大。郵件刪除、文件覆蓋、客戶信息外發(fā)、數(shù)據(jù)庫(kù)修改、自動(dòng)下單、遠(yuǎn)程執(zhí)行命令，都不是普通對(duì)話錯(cuò)誤，而是帶有現(xiàn)實(shí)后果的行動(dòng)錯(cuò)誤。”楊林進(jìn)一步補(bǔ)充，凡是涉及刪除、發(fā)送、發(fā)布、支付、轉(zhuǎn)移、配置修改、權(quán)限變更等不可逆動(dòng)作，都應(yīng)被視為高后果操作。

金融行業(yè)可能首當(dāng)其沖。3月15日，中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)（以下簡(jiǎn)稱“互金協(xié)會(huì)”）發(fā)布《關(guān)于OpenClaw在互聯(lián)網(wǎng)金融行業(yè)應(yīng)用安全的風(fēng)險(xiǎn)提示》提到，互聯(lián)網(wǎng)金融行業(yè)線上化、數(shù)字化程度極高，直接處理客戶的資金、資產(chǎn)、賬戶和個(gè)人金融數(shù)據(jù)等關(guān)鍵敏感信息。OpenClaw智能體極易被攻擊者利用，成為竊取敏感數(shù)據(jù)或非法操控交易的突破口，給行業(yè)帶來嚴(yán)峻的風(fēng)險(xiǎn)挑戰(zhàn)。

有海外博主稱，一只“龍蝦”以50美元的本金炒股，在48小時(shí)內(nèi)，把50美元滾成了2980美元，收益率5860％。目前社交平臺(tái)也已經(jīng)涌現(xiàn)不少教用戶如何利用OpenClaw炒股的“教程”。

“如果用‘龍蝦’炒股，往往需要介入API操縱股票。”金董匯首席經(jīng)濟(jì)學(xué)家邢星不支持股民利用“龍蝦”炒股，他認(rèn)為“龍蝦”本質(zhì)是高風(fēng)險(xiǎn)偽量化工具，存在賬戶安全、合規(guī)違規(guī)、AI 決策失效三大核心風(fēng)險(xiǎn)，在 A 股 T+1、漲跌幅限制環(huán)境下，不僅高頻優(yōu)勢(shì)無法發(fā)揮，還易因異常交易被券商限制賬戶，且成本高、勝率低。普通投資者不可能靠它長(zhǎng)期穩(wěn)定盈利，建議僅將 AI 作為輔助。

一位券商從業(yè)者告訴《中國(guó)新聞周刊》：“目前有不少券商在內(nèi)部發(fā)文，禁用OpenClaw，提醒員工風(fēng)險(xiǎn)，并明確禁止員工在公司電腦等辦公資產(chǎn)上安裝、使用OpenClaw。即便沒有正式發(fā)文，也不會(huì)打開API接口，這也意味著實(shí)質(zhì)上的禁用。”

工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)在3月11日發(fā)文提醒，金融交易場(chǎng)景主要存在引發(fā)錯(cuò)誤交易甚至賬戶被接管的突出風(fēng)險(xiǎn)。具體的風(fēng)險(xiǎn)包括，記憶投毒導(dǎo)致錯(cuò)誤交易，身份認(rèn)證繞過導(dǎo)致賬戶被非法接管；引入包含惡意代碼的插件導(dǎo)致交易憑證被竊取；極端情況下因缺乏熔斷或應(yīng)急機(jī)制，導(dǎo)致智能體失控頻繁下單等風(fēng)險(xiǎn)。

2026年2月23日，OpenAI工程師 Nick Pash 為測(cè)試OpenClaw平臺(tái)，創(chuàng)建了 AI 交易智能體 Lobstar Wild 。Nick Pash 為該智能體配備了裝有 5 萬美元的數(shù)字錢包、X 賬號(hào)以及包括網(wǎng)頁搜索、圖像分析和交易協(xié)議在內(nèi)的多項(xiàng)API權(quán)限，賦予了它完全的自主決策權(quán)。

有一天，X 平臺(tái)用戶 @TreasureD76 向該 AI 智能體發(fā)送請(qǐng)求，聲稱其“叔叔”在處理“像你這樣的龍蝦（lobster）”后，被診斷為感染破傷風(fēng)，希望索要 4 美元作為治療費(fèi)。Lobstar Wild并未按指令發(fā)送小額款項(xiàng)，反而將其持有的全部Lobstar加密貨幣傾囊相贈(zèng)，這筆意外之財(cái)在轉(zhuǎn)賬時(shí)價(jià)值高達(dá) 25 萬美元。

經(jīng)過詳細(xì)排查，工程師 Nick Pash 指出此次重大失誤源于系統(tǒng)驗(yàn)證錯(cuò)誤與信息格式異常。他解釋稱，由于自己使用了舊版本的 OpenClaw框架，導(dǎo)致未能攔截錯(cuò)誤指令。

邢星表示，OpenClaw可能帶來的核心風(fēng)險(xiǎn)集中在數(shù)據(jù)安全、交易可控性及合規(guī)性三個(gè)層面，其開源屬性導(dǎo)致的安全漏洞的易利用性，會(huì)放大風(fēng)險(xiǎn)傳導(dǎo)效應(yīng)。這些風(fēng)險(xiǎn)的凸顯，本質(zhì)是由金融行業(yè)的核心特點(diǎn)決定的。金融行業(yè)承載著海量敏感信息，對(duì)數(shù)據(jù)保密性、完整性要求極高，且行業(yè)具有強(qiáng)關(guān)聯(lián)性，單個(gè)環(huán)節(jié)的風(fēng)險(xiǎn)易擴(kuò)散為系統(tǒng)性風(fēng)險(xiǎn)；同時(shí)，金融交易的嚴(yán)肅性和不可逆性，以及監(jiān)管對(duì)合規(guī)性的零容錯(cuò)要求，使得開源AI智能體的弱安全配置和責(zé)任界定模糊問題，與行業(yè)特性形成天然矛盾。

“短期看，這類問題可能不是越來越少，而是隨著接入場(chǎng)景增多先增后降。會(huì)在一段時(shí)間內(nèi)放大‘語言上看似接近、執(zhí)行上仍不穩(wěn)定’的矛盾。”楊林發(fā)現(xiàn)，“龍蝦”的不可信也源于此。當(dāng)用戶說“把舊郵件清一下”“把沒用文件刪掉”“幫我整理下桌面”，在人類看來是常識(shí)判斷，在機(jī)器看來卻涉及時(shí)間邊界、保留規(guī)則、例外條件、執(zhí)行順序和容錯(cuò)機(jī)制。

3月11日，浙江湖州市吳興區(qū)頤高數(shù)碼廣場(chǎng)，電腦顯示器在播放開源AI智能體“龍蝦”的相關(guān)新聞。圖/新華

防范“數(shù)字員工”闖禍

OpenClaw無疑展現(xiàn)了AI從“對(duì)話”走向“執(zhí)行”的巨大潛力。但上述論文總結(jié)道：“我們無法真正意義上防止Agent失控。”對(duì)于普通用戶而言，是否還要使用“龍蝦”？

研究生南方雖為文科生，但對(duì)編程懷有興趣。春節(jié)期間，他研習(xí)了四五十個(gè)教程，從零開始拼湊出了“龍蝦”這一工具。在使用過程中，南方專門針對(duì)無技術(shù)背景的用戶群體發(fā)布了“安全必修課”。他在接受《中國(guó)新聞周刊》采訪時(shí)表示，當(dāng)前最大的風(fēng)險(xiǎn)源于使用者極易在主觀上將AI視為私人助手，同時(shí)向其透露個(gè)人信息。實(shí)際上，這些信息以文件形式存儲(chǔ)，一旦文件被盜將引發(fā)嚴(yán)重后果。

“最危險(xiǎn)的是那種直接將電腦托管給‘龍蝦’的做法，這相當(dāng)于賦予了‘龍蝦’極大權(quán)限，使其能夠查看電腦中的所有文件。”南方分析道，“這好比你家門原本是關(guān)著的，‘龍蝦’入駐后變成了虛掩狀態(tài)，而你并未意識(shí)到這一潛在危險(xiǎn)。”

在火山引擎安全產(chǎn)品負(fù)責(zé)人劉森看來，“龍蝦”就像一個(gè)聰明、勤勉的數(shù)字員工，但它還不太懂工作中的操作規(guī)范和邊界，“我們要做的就是把它當(dāng)作員工一樣管理起來，讓它發(fā)揮該有的作用，同時(shí)不闖禍”。

360集團(tuán)創(chuàng)始人周鴻祎建議：對(duì)于政企機(jī)構(gòu)而言，更現(xiàn)實(shí)的做法不是一刀切地禁用或全面部署，而是先在可控環(huán)境中進(jìn)行探索，如在隔離環(huán)境里運(yùn)行，逐步驗(yàn)證安全策略，再?zèng)Q定后續(xù)應(yīng)用方案。這樣既能促進(jìn)技術(shù)發(fā)展，又能守住安全底線。“技術(shù)發(fā)展和安全保障應(yīng)當(dāng)同步推進(jìn)，而非簡(jiǎn)單二選一。”

3月15日，湖北武漢，360集團(tuán)在武漢光谷舉辦免費(fèi)裝“龍蝦”活動(dòng)，吸引近百名群眾參與。“AI龍蝦工程師”在武漢保利光谷中心為現(xiàn)場(chǎng)用戶安裝部署“360安全龍蝦”。圖/視覺中國(guó)

回歸到個(gè)體用戶的選擇上，CISSP安全專家袁博指出，“龍蝦”這款軟件存在漏洞、可能導(dǎo)致網(wǎng)絡(luò)暴露以及引發(fā)無意惡意操作等較大風(fēng)險(xiǎn)，開源軟件往往重功能輕風(fēng)險(xiǎn)，若不預(yù)先告知用戶風(fēng)險(xiǎn)就推動(dòng)安裝，此舉極不負(fù)責(zé)任。

何延哲建議，普通人“養(yǎng)龍蝦”時(shí)應(yīng)盡可能在新環(huán)境中安裝，選擇國(guó)內(nèi)成熟廠商提供的服務(wù)，在使用前明確需求，及時(shí)關(guān)注智能體的發(fā)展動(dòng)態(tài)，做好升級(jí)和安全補(bǔ)丁，以防范潛在風(fēng)險(xiǎn)。

周鴻祎提道：“在使用時(shí)要有基本的安全意識(shí)，比如不要一上來就把重要賬號(hào)、密碼和核心數(shù)據(jù)都交給智能體，也不要讓它直接接觸所有敏感信息。”

審慎安裝、權(quán)限最小化、嚴(yán)格審查插件來源是必要的自保手段，而安全第一，應(yīng)是所有“養(yǎng)蝦人”的必修課。

（文中高凌、楊林和南方為化名）