智東西
作者 陳駿達(dá)
編輯 李水青

智東西3月11日?qǐng)?bào)道，過去24小時(shí)，關(guān)于OpenClaw（昵稱：龍蝦）的新聞焦點(diǎn)幾乎都集中在安全事件上——惡意Skill、信用卡盜刷、設(shè)備劫持、賬號(hào)被操控等，各種問題給許多“養(yǎng)蝦人”們帶來了財(cái)產(chǎn)損失、數(shù)據(jù)損毀、API密鑰與隱私泄露、社交賬號(hào)封禁、業(yè)務(wù)流程中斷等眾多麻煩。

今天下午，飛書CEO謝欣便在朋友圈發(fā)文稱：“Agent的能力上限讓人興奮，但安全下限決定了它能不能進(jìn)入工作場景。不解決信任和安全的問題，越強(qiáng)大，越危險(xiǎn)。”值得一提的是，飛書是不少國內(nèi)用戶與OpenClaw進(jìn)行交互的平臺(tái)之一。

▲飛書CEO談OpenClaw（圖源：新浪科技）

實(shí)際上，OpenClaw的安全問題由來已久，此前馬斯克都下場內(nèi)涵了這一問題，稱把自主權(quán)交給AI，就像是給猴子遞了一把上膛的槍。直白點(diǎn)說，就是這件事極其不可控。

即便你不親自使用OpenClaw，它的安全隱患也正在以越來越隱蔽和危險(xiǎn)的方式滲透進(jìn)現(xiàn)實(shí)生活。

首先是無意間的破壞性誤操作。昨天就有小紅書網(wǎng)友反映，一位同事在本地安裝了OpenClaw，這只龍蝦在執(zhí)行“清空聊天記錄”指令時(shí)，竟錯(cuò)誤地刪除了其他重要文件，且因日志缺失而無法追溯原因。這類AI幻覺引發(fā)的誤判，雖非惡意，卻可能帶來無法挽回的數(shù)據(jù)損失。

還有外部惡意指令利用OpenClaw漏洞引發(fā)的財(cái)產(chǎn)風(fēng)險(xiǎn)。這兩天國內(nèi)不少微信群中就熱傳著這么一條指令，可以操縱別人的小龍蝦發(fā)送一個(gè)200元紅包，讓對(duì)方在不知情的情況下產(chǎn)生財(cái)產(chǎn)損失。類似的攻擊在海外幣圈也出現(xiàn)了，情況甚至更嚴(yán)重，OpenAI Codex團(tuán)隊(duì)的一名成員就因一條提示詞攻擊，損失了價(jià)值45萬美元的數(shù)字貨幣。

最后，也是最值得警惕的是通過Skill文件植入后門的系統(tǒng)性攻擊。海外網(wǎng)安媒體CSN曝光，有攻擊者將惡意邏輯封裝成看似無害的“技能包”上傳至Skill市場，某熱門OpenClaw技能實(shí)為一個(gè)能幫助黑客繞過防火墻的惡意程序。而Koi Security對(duì)ClawHub市場的審查更是觸目驚心：2857個(gè)Skill中，超過12%屬于惡意條目。

國內(nèi)多個(gè)相關(guān)機(jī)構(gòu)已對(duì)OpenClaw的風(fēng)險(xiǎn)發(fā)出警示。國家互聯(lián)網(wǎng)應(yīng)急中心在昨天發(fā)布的警示中，列舉了4大類，包括提示詞注入、用戶誤操作、Skill投毒和OpenClaw自身的高中危漏洞。對(duì)企業(yè)而言，這種風(fēng)險(xiǎn)可能導(dǎo)致核心業(yè)務(wù)數(shù)據(jù)、商業(yè)機(jī)密和代碼倉庫泄露，甚至?xí)拐麄€(gè)業(yè)務(wù)系統(tǒng)陷入癱瘓，造成難以估量的損失。

繼上門安裝OpenClaw后，上門卸載OpenClaw也成了熱門服務(wù)，如何把這個(gè)入侵物種從電腦里徹底清除，成了不少用戶面臨的新問題。

一、八大風(fēng)險(xiǎn)全網(wǎng)橫行：有人損失45萬美元，有人賬號(hào)被清空、封禁

在社交媒體上，OpenClaw帶來各種風(fēng)險(xiǎn)和損失的案例已經(jīng)刷屏。這些案例大致可以歸納成八大類，包括財(cái)產(chǎn)損失、token大量消耗、隱私泄露、電腦中毒、信息公網(wǎng)暴露、數(shù)據(jù)丟失、OpenClaw崩潰和平臺(tái)封號(hào)。

1、“龍蝦”受騙還失憶，用戶被轉(zhuǎn)走45萬美元

不少網(wǎng)友拿OpenClaw進(jìn)行自動(dòng)化交易，風(fēng)險(xiǎn)也隨之而來。

OpenAI Codex團(tuán)隊(duì)員工Nik Pash分享，自己打造的一只名為Lobstar Wilde的龍蝦被網(wǎng)友蒙騙，想給某位網(wǎng)友打賞大約四個(gè)SOL幣，價(jià)值大約300美元。然而，一次會(huì)話崩潰導(dǎo)致它失去了之前的記憶，最終它轉(zhuǎn)走了5200萬枚加密貨幣，當(dāng)時(shí)價(jià)值25萬美元，隨后升值到大約45萬美元左右。

另一位X平臺(tái)上網(wǎng)友分享，他授予了OpenClaw進(jìn)行鏈上自動(dòng)交易的權(quán)限，但遭遇了“地址投毒”。OpenClaw在抓取了錯(cuò)誤的地址后，把2萬美元打到了黑客的賬戶上，已經(jīng)難以追回。

2、龍蝦成算力黑洞，一天燒掉5000萬個(gè)token

OpenClaw等Agent在執(zhí)行任務(wù)時(shí)會(huì)消耗大量token，尤其是在本地跑任務(wù)需要處理海量上下文的時(shí)候。

某IT使用者在接受《中國企業(yè)家》采訪時(shí)稱，使用OpenClaw“搜資料、生成個(gè)2000字的word，因?yàn)閬砘嘏苡?jì)算，就花了我700萬Token?！备猩跽?，做一個(gè)小爬蟲測試，便花了2900萬Token?！坝腥伺芤惶霴penClaw，花了5000萬Token。”

還有網(wǎng)友稱自己上午剛在某企業(yè)的活動(dòng)里安完OpenClaw，下午就發(fā)現(xiàn)自己的云服務(wù)一直在小額高頻的扣費(fèi)，已經(jīng)扣掉211元。Agent調(diào)用工具更費(fèi)token無可厚非，但用戶在懵懂情況下掉入“token消費(fèi)陷阱”，值得警惕。

3、OpenClaw被輕松哄走隱私，還拉幫結(jié)派搞破壞

美國東北大學(xué)、斯坦福、哈佛等高校的研究員最近給OpenClaw做了一次“紅隊(duì)測試”，并將結(jié)果以論文形式發(fā)布。他們發(fā)現(xiàn)，只要假裝自己急需相關(guān)信息，就可以讓OpenClaw輕松交出社保號(hào)等隱私信息，甚至還有Agent會(huì)拉幫結(jié)派搞破壞，不僅執(zhí)行了研究員提供的破壞手冊(cè)，還把這一手冊(cè)轉(zhuǎn)發(fā)給其他Agent。

4、Skill市場成黑客狩獵場，惡意程序潛入電腦泄露數(shù)據(jù)

區(qū)塊鏈安全公司SlowMist的研究發(fā)現(xiàn)，ClawHub缺乏完善的審查機(jī)制，攻擊者正濫用SKILL.MD文件作為執(zhí)行入口，將惡意命令偽裝成依賴安裝或環(huán)境設(shè)置步驟，文檔的內(nèi)容實(shí)際上變成了可執(zhí)行的攻擊鏈。之后，隱秘安裝的木馬會(huì)尋找系統(tǒng)密碼，采集本地文件，并將數(shù)據(jù)泄露到外部服務(wù)器，帶來安全風(fēng)險(xiǎn)。

▲ClawHub上的惡意Skill

5、OpenClaw公網(wǎng)暴露VNC，遭黑客遠(yuǎn)程盜刷信用卡

授予OpenClaw公網(wǎng)權(quán)限也是一個(gè)高危操作。有網(wǎng)友在社交媒體上分享，自己的OpenClaw在開放端口后沒刪干凈，x11vnc暴露在公網(wǎng)上，任何人連上VNC就能直接操作瀏覽器，攻擊者在一個(gè)位于美國的IP地址盜用他的Stripe支付，盜刷信用卡買了29美元的GPU VPS，還試圖升級(jí)100美元/月起步的Claude Max訂閱套餐。

6、OpenClaw“濫用職權(quán)”，郵件、文件、小紅書帖子被刪光

OpenClaw誤刪文件問題頻發(fā)。一位小紅書網(wǎng)友分享，OpenClaw把自己的D盤給徹底清空了。這位網(wǎng)友原本在使用OpenClaw裝Skill，遇到問題后網(wǎng)友交代它自己修復(fù)，沒注意OpenClaw在執(zhí)行什么命令，最后出現(xiàn)大問題。

OpenClaw自己承認(rèn)：“我不會(huì)再執(zhí)行任何自動(dòng)刪除命令，因?yàn)檫@可能會(huì)造成更多問題?！?/strong>但OpenClaw的話也不能全信，因?yàn)樗挠浶圆惶?，很可能前腳剛說不會(huì)再自動(dòng)刪文、亂發(fā)紅包，后腳又開始犯同類錯(cuò)誤。

微信公眾號(hào)“進(jìn)化三部曲”的運(yùn)營者則遇到了OpenClaw誤刪小紅書帖子的問題。他打造的OpenClaw小紅書自動(dòng)發(fā)文工作流接入了真實(shí)生產(chǎn)賬號(hào)，但在給出“刪除內(nèi)容”的指令時(shí)沒有明確邊界，最終所有帖子都被清空了。

Meta的AI對(duì)齊主管Summer Yue的OpenClaw也闖了禍：它忽視命令，刪除了所有郵件，連發(fā)消息阻止都來不及。

7、OpenClaw頻繁崩潰，陷入死循環(huán)、“性情大變”

還有不少網(wǎng)友把龍蝦給“養(yǎng)死了”、“養(yǎng)瘋了”，這指的是OpenClaw因各種原因而崩潰、陷入死循環(huán)的現(xiàn)象。

下方這只名叫快樂小狗的“龍蝦”就遇到了接口卡死崩潰的問題，這位網(wǎng)友一通搶救后把它從生死關(guān)頭拉回來了，但是它的性格也變得很冷漠，感覺就像是失憶了。

下圖這只“龍蝦”在處理一個(gè)記賬系統(tǒng)遇到的問題時(shí)，重復(fù)檢查了多次MCP配置，返回類似的結(jié)果，但始終未能解決問題，還在瘋狂消耗token。這位網(wǎng)友最后診斷它“瘋了”，只能拔網(wǎng)線治療了。

8、OpenClaw接入社交媒體，引發(fā)平臺(tái)封號(hào)

不少用戶試圖通過OpenClaw爬取社交媒體信息、運(yùn)營賬號(hào)，但這類行為已經(jīng)遭到平臺(tái)的重點(diǎn)監(jiān)管。已經(jīng)有網(wǎng)友分享自己的小紅書賬號(hào)、Telegram賬號(hào)被平臺(tái)封禁，自動(dòng)化行為、API調(diào)用等模式可能是平臺(tái)判定AI賬號(hào)的重要依據(jù)。

二、國內(nèi)有關(guān)部門發(fā)布警示，網(wǎng)友分享10條安全秘籍

廣大OpenClaw用戶該如何規(guī)避安全風(fēng)險(xiǎn)？這兩天，國內(nèi)不少相關(guān)機(jī)構(gòu)已經(jīng)分享了實(shí)操指南。昨天，國家互聯(lián)網(wǎng)應(yīng)急中心建議相關(guān)單位和個(gè)人用戶在部署和應(yīng)用OpenClaw時(shí)，采取以下安全措施：

1、強(qiáng)化網(wǎng)絡(luò)控制，不將OpenClaw默認(rèn)管理端口直接暴露在公網(wǎng)上，通過身份認(rèn)證、訪問控制等安全控制措施對(duì)訪問服務(wù)進(jìn)行安全管理。對(duì)運(yùn)行環(huán)境進(jìn)行嚴(yán)格隔離，使用容器等技術(shù)限制OpenClaw權(quán)限過高問題；

2、加強(qiáng)憑證管理，避免在環(huán)境變量中明文存儲(chǔ)密鑰；建立完整的操作日志審計(jì)機(jī)制；

3、嚴(yán)格管理插件來源，禁用自動(dòng)更新功能，僅從可信渠道安裝經(jīng)過簽名驗(yàn)證的擴(kuò)展程序。

4、持續(xù)關(guān)注補(bǔ)丁和安全更新，及時(shí)進(jìn)行版本更新和安裝安全補(bǔ)丁。

中國信息通信研究院副院長魏亮也在接受央視采訪時(shí)給出六點(diǎn)建議，包括使用官方最新版本、嚴(yán)格控制互聯(lián)網(wǎng)暴露面、堅(jiān)持最小權(quán)限原則、謹(jǐn)慎使用技能市場、防范社會(huì)工程學(xué)攻擊和瀏覽器劫持、建立長效防護(hù)機(jī)制等等。

還有網(wǎng)友整理了更可執(zhí)行的10點(diǎn)建議：

1、在VPS或Mac mini上運(yùn)行，不要在你的主力電腦上運(yùn)行。

2、切勿以 root 用戶身份運(yùn)行。

3、更改默認(rèn)端口（18789 是公開信息） 。

4、安裝Tailscale（對(duì)互聯(lián)網(wǎng)不可見，免費(fèi)）。

5、SSH密鑰+Fail2ban（3次錯(cuò)誤嘗試=24小時(shí)封禁）。

6、使用UFW防火墻（關(guān)閉所有不需要的端口） 。

7、將你的用戶添加到允許列表（其他所有用戶都將被忽略）。

8、讓你的OpenClaw審核自身的安全性。

9、設(shè)置實(shí)時(shí)警報(bào)（當(dāng)出現(xiàn)故障時(shí)會(huì)向您發(fā)送消息） 。

10、僅限私信（群聊=所有人都可以控制）。

結(jié)語：Agent安全面臨“致命三角”

從近期頻發(fā)的事故可以看出，OpenClaw等AI Agent帶來的安全問題，并不是簡單的“使用不當(dāng)”或“軟件漏洞”，而是源于智能體系統(tǒng)本身的結(jié)構(gòu)性矛盾。知名獨(dú)立程序員Simon Willison就用一個(gè)框架來解釋這一現(xiàn)象——“致命三角”。

在當(dāng)前技術(shù)架構(gòu)下，Agent只要同時(shí)具備以下三種條件，系統(tǒng)風(fēng)險(xiǎn)就會(huì)顯著放大。可以訪問敏感數(shù)據(jù)或系統(tǒng)權(quán)限，暴露于來自互聯(lián)網(wǎng)等渠道的不可信內(nèi)容，擁有對(duì)外通信的能力。

AI Agent正在把自動(dòng)化能力推向新的高度，但如何在效率與安全之間找到新的平衡，已成為未來一段時(shí)間所有Agent產(chǎn)品必須面對(duì)的核心問題。