整理｜華衛(wèi)

“真不敢相信舊金山灣區(qū)居然有人要花 6000 美元請人上門安裝 OpenClaw?！苯袢眨琗 上一條這樣的帖子引發(fā)熱議。

這是海外代裝平臺 SetupClaw 給出的明碼標價：托管安裝 OpenClaw3000 美元，含 Mac mini 硬件的遠程配置 5000 美元，含 Mac mini 硬件的現(xiàn)場配置 6000 美元。有人評價道，“價格確實離譜，但市場需求是真實存在的?！?/p>

短短兩月，OpenClaw 以一個個人智能體的身份在全球掀起現(xiàn)象級安裝熱潮，遠超此前任何一款 Agent 產(chǎn)品的公眾影響力和普及程度。在國內(nèi)平臺，“OpenClaw 上門安裝”的帖子也不斷刷屏，服務(wù)提供者的 IP 蔓延到全國各地，報價普遍在幾百到一千不等，還有人為了接單不僅上門部署還送“做飯服務(wù)”。

與此同時，已經(jīng)有人靠這波安裝熱潮賺翻了。SetupClaw 創(chuàng)始人 Michael 更是號稱靠這門手藝，有望年入百萬美元。小米則是直接把“龍蝦”搬到了手機上，小米手機版 AI Agent“Xiaomi miclaw”在昨日開啟封測。

面對如此熱潮，昨天，騰訊云團隊也下場為大眾提供了幫助大家安裝 OpenClaw 的服務(wù)：“你帶著筆記本電腦去現(xiàn)場，就能把小龍蝦帶回家”。

據(jù)悉，騰訊云這次一共派出了 20 位工程師到場擺攤講解。在深圳騰訊大廈樓下，排起了長隊，其中還不乏小學(xué)生和滿頭白發(fā)的老人。3 小時內(nèi)，數(shù)百臺 OpenClaw 成功上線。

這場頗具話題性的“線下養(yǎng)蝦”活動，甚至還獲得了 OpenClaw 創(chuàng)始人的轉(zhuǎn)發(fā)。

1 昨天剛裝上，今天就“裸奔”了？！

然而巧合的是，騰訊云昨天還在線下大規(guī)模推廣、現(xiàn)場幫用戶裝機；今天，“OpenClaw Exposure Watchboard”的公開監(jiān)控頁面上，就已經(jīng)新增了好幾例來自騰訊云服務(wù)器的暴露實例。

在“OpenClaw Exposure Watchboard”的全部網(wǎng)頁上，列出了超 25.8 萬個暴露在公網(wǎng)的 OpenClaw 實例，覆蓋美國、新加坡、中國大陸等多個地區(qū)。

而除了安全暴露，費用問題也開始浮出水面。

今天，一位用戶公開喊話：不要讓騰訊碰你的電腦！騰訊云，被你狠狠上了一課。事情是這樣的，他在安裝完后，回去就發(fā)現(xiàn)“騰訊云在無任何提示的情況下一直快速高頻地進行小額扣費，目前扣了 200 多”。

但也有人分析認為，截圖顯示的為輕量服務(wù)器自定義鏡像費用，而非 OpenClaw 的 Token 消耗。需刪除自定義鏡像方可停止計費。同時仍需留意 Token 相關(guān)問題，額度耗盡后，將按實際使用量扣費。

“OpenClaw 很有趣，但如果不小心，它也會耗盡你的錢包?！贝饲?，就有開發(fā)者指出，OpenClaw 必須接入外部模型才能讓它運轉(zhuǎn)，其在模擬全天候助理的待命狀態(tài)過程中內(nèi)置了一套心跳（Heartbeat）機制，每隔 30 分鐘自動醒來檢查事項，而每次的喚醒都會消耗 token，算下來一個月即使沒有實際產(chǎn)出、僅靠心跳機制也要燒掉近 750 美元。

2 信用卡刷爆、CEO 電腦被黑產(chǎn)出售 Root 權(quán)限

事實上，OpenClaw 的各種安全事故絕不在少數(shù)。

幾天前，一位開發(fā)者在使用 OpenClaw 時突然收到銀行短信：他的信用卡額度被刷爆了！查看日志后，他發(fā)現(xiàn)罪魁禍首是幾天前剛剛部署的 OpenClaw 實例。

他用 OpenClaw 編寫了自動化腳本，通過 noVNC 將 Chrome 瀏覽器直接暴露在公網(wǎng)（端口直連映射），本意是遠程調(diào)試瀏覽器自動化流程。結(jié)果，Chrome 里保存的支付方式、Cookie、自動填充的信用卡信息，直接變成了公開的“自助 ATM 機”。攻擊者發(fā)現(xiàn)了這個暴露的 VNC 實例，短短幾分鐘就將信用卡刷爆。

簡單來說，因為其 OpenClaw 服務(wù)暴露在公共互聯(lián)網(wǎng)上，攻擊者訪問后竊取了保存在 Chrome 瀏覽器中的信用卡信息。

值得注意的是，這些并非個例，而是一場系統(tǒng)性安全災(zāi)難。OpenClaw（含沙箱瀏覽器入口）默認將服務(wù)綁定至 0.0.0.0 （全網(wǎng)卡監(jiān)聽），早期版本 x11vnc 甚至啟用 -nopw （無密碼認證）。這意味著，運行 Docker 時若未添加 --network host 或顯式限制端口發(fā)布，等同于將整個瀏覽器桌面直接丟進公網(wǎng)。

“這些 Agent 就像以前的共享軟件，存在大量安全漏洞?！庇腥苏f道。

前不久，Cato CTRL 的高級安全研究員 Vitaly Simonovich 也披露了一起讓 Agent 圈警醒的案例：攻擊者通過一臺遭入侵的、基于 OpenClaw 的 AI 個人智能體，拿到并出售英國一家自動化公司 CEO 電腦的 root shell 訪問權(quán)限，甚至還把這項權(quán)限直接掛上暗網(wǎng)出售，開價 2.5 萬美元。

但真正值錢的，甚至不是 root 權(quán)限本身，而是這位 CEO 背后的 OpenClaw 實例。因為這款 AI 私人助理，早已在悄無聲息地替攻擊者“攢情報”：關(guān)于家庭、愛好和財務(wù)的私人對話、公司完整生產(chǎn)數(shù)據(jù)庫、Telegram 機器人賬號信息，甚至還有 CEO 正在開發(fā)的 Trading 212 交易機器人可用 API 密鑰。

賣家“fluffyduck”將目標公司描述為一家擁有 11–50 名員工的英國小型自動化公司。該公司主要開發(fā)可編程邏輯控制器（PLC）、安裝工業(yè)機器人、制造定制裝配機和自動導(dǎo)引車（AGV），同時還是西門子的合作伙伴，公司資產(chǎn)規(guī)模約為 80 萬英鎊。

他甚至還特意強調(diào)，這位 CEO 直到當時還在持續(xù)與這個 AI 助手聊天，“邊聊邊泄露”，因此是一個“近乎完美的目標”。

具體來看，這個被掛到暗網(wǎng)出售的 OpenClaw 實例，幾乎等于把一個 CEO 的數(shù)字生活和一家公司的運營底牌一起交到了攻擊者手里，包括：

• OpenClaw AI 助手的完整訪問權(quán)限（包括全部對話、上下文和長期記憶）

• OpenClaw 控制臺賬號憑證

• CEO 的 Telegram 機器人 token 和 chat ID

• Trading 212 交易 API 密鑰（CEO 正在開發(fā)交易機器人）

• CEO 向 AI 透露的大量個人信息，包括家庭情況、妻子、孩子、興趣愛好以及家庭聯(lián)系人

更夸張的是，數(shù)據(jù)庫層面的暴露也不是零散信息，而是高度完整的企業(yè)運營數(shù)據(jù)，涵蓋客戶聯(lián)系人、現(xiàn)金流預(yù)測、人工成本、采購訂單、項目進度、資源可用性、排班模式、通知偏好等幾十張業(yè)務(wù)數(shù)據(jù)表。也就是說，黑客盯上的，已經(jīng)不只是你的電腦，而是你身邊那個最懂你、也替你記住一切的 OpenClaw 個人助理。

3 為什么這類 Agent 天生不安全

“2026 年最大的安全風(fēng)險，不在于 AI 有多智能，而在于開發(fā)者把本地等同于安全。OpenClaw 再強大，也擋不住一次 0.0.0.0 的疏忽?！碑斍?，所有 OpenClaw 用戶們都需要警惕其風(fēng)險了。

事實上，OpenClaw 創(chuàng)始人 Peter 早就提醒過，這個項目最初并不是為了公網(wǎng)環(huán)境設(shè)計的，但阻止不了大家把它直接放公網(wǎng)上。Peter 表示，Openclaw 的 Web 服務(wù)最早只是一個本地調(diào)試工具，默認使用場景是本地可信網(wǎng)絡(luò)，所以沒有公網(wǎng)必需的安全機制。

最近，OpenClaw 也開始嘗試通過權(quán)限收緊來降低風(fēng)險。例如，在 2026.3.2 的新版本中，默認工具權(quán)限被大幅限制，只保留了 messaging（消息）權(quán)限，像 coding、system 等涉及系統(tǒng)操作的能力都被默認關(guān)閉。

但從開發(fā)者社區(qū)的反饋來看，這種限制也并非不可繞過。有開發(fā)者在 X 上調(diào)侃道：

“新安裝的 2026.3.2 版本默認只有 messaging 權(quán)限，其它 coding、system 權(quán)限全沒了……你的龍蝦只能陪你聊天了?！? 不過，如果直接修改 openclaw.json 配置文件，把 messaging 改為 full 或刪除限制，再重啟服務(wù)，“一只活蹦亂跳的龍蝦就回來了”。

換句話說，雖然官方已經(jīng)開始收緊默認權(quán)限，但對于熟悉部署流程的用戶來說，這些限制并不難被修改。而在越來越多人把 OpenClaw 部署到公網(wǎng)服務(wù)器的情況下，這種“默認安全 + 手動放開權(quán)限”的模式，究竟能在多大程度上降低風(fēng)險，仍然是一個值得觀察的問題。

值得注意的是，Anthropic 和谷歌正在嚴厲打擊在其平臺上運行 OpenClaw 的用戶。Anthropic 更新了使用條款，明確禁止通過第三方工具使用 Claude 訂閱的 OAuth token（包括 OpenClaw 這類封裝工具）。谷歌也突擊封殺使用開源智能體 OpenClaw 的開發(fā)者賬號，并指控他們存在“惡意使用”行為。

CNBC Deirdre Bosa：如今，OpenClaw 在中國的熱度，甚至可能已經(jīng)超過了硅谷。 字節(jié)跳動、阿里巴巴、騰訊都在圍繞它打造云服務(wù)；線下聚會動輒三百人規(guī)模；甚至連“上門安裝 OpenClaw”，都開始變成一門火爆的副業(yè)。 而在美國這邊，卻是另一番景象：Anthropic 和 Google 正在加強限制，打擊用戶通過它們的平臺運行 OpenClaw。

上月，中國工業(yè)和信息化部也發(fā)布安全警報，警告 OpenClaw 存在相關(guān)風(fēng)險。警報指出，監(jiān)控發(fā)現(xiàn)某些 OpenClaw 部署在默認或不當配置下會引發(fā)較高的安全風(fēng)險，使其極易受到網(wǎng)絡(luò)攻擊和信息泄露。

“這就像讓?個握有你全部秘密（API Key、 密碼） 的笨小孩出?辦事， 路上隨時可能被幾塊糖（Prompt Injection） 騙?你家地址?！睂τ跓衢T的 OpenClaw，前 Meta AI 研究總監(jiān)?淵棟在近日的一場對話中這樣評價。據(jù)稱，他在試用 OpenClaw 兩小時后選擇了卸載，核心擔(dān)憂就是安全。

https://x.com/landiantech/status/2029946380039684322?s=20

https://x.com/evilcos/status/2029939612941176872

聲明：本文為 InfoQ 翻譯整理，不代表平臺觀點，未經(jīng)許可禁止轉(zhuǎn)載。

會議推薦

2026，AI 正在以更工程化的方式深度融入軟件生產(chǎn)，Agentic AI 的探索也將從局部試點邁向體系化工程建設(shè)！

QCon 北京 2026 已正式啟動，本屆大會以“Agentic AI 時代的軟件工程重塑”為核心主線，推動技術(shù)探索從「AI For What」真正落地到可持續(xù)的「Value From AI」。從前沿技術(shù)雷達、架構(gòu)設(shè)計與數(shù)據(jù)底座、效能與成本、產(chǎn)品與交互、可信落地、研發(fā)組織進化六大維度，系統(tǒng)性展開深度探索。開往 2026 的 Agentic AI 專列即將啟程！匯聚頂尖專家實戰(zhàn)分享，把 AI 能力一次夯到位！