OpenClaw（中文俗稱「龍蝦」）有多火，相信已經(jīng)不言自明了，從 GitHub 到社交平臺，再從線上到線下。

不過很多人對于「養(yǎng)龍蝦」還有不少顧慮，一方面是安全風(fēng)險，畢竟工信部此前就提醒大家要「警惕」；另一方面則是 OpenClaw 官方的安裝使用門檻比較高，并不適合大多數(shù)人。

但今天情況已經(jīng)不一樣了，釘釘「悟空」、騰訊「QClaw」、網(wǎng)易有道「LobsterAI」等國內(nèi)廠商推出「龍蝦」產(chǎn)品大幅降低了安裝使用門檻。與此同時，國家互聯(lián)網(wǎng)應(yīng)急中心 CNCERT、中國網(wǎng)絡(luò)空間安全協(xié)會也聯(lián)合發(fā)布了最新的：

《OpenClaw 安全使用實踐指南》（以下簡稱「OpenClaw 指南」）。

圖片來源：CNCERT

「龍蝦」的好，相信大家已經(jīng)看到了太多，簡言之，它讓 AI 真正從「只會動嘴」進(jìn)化到了「開始動手」：只要給它足夠的系統(tǒng)權(quán)限，這只龍蝦就能像真人助理一樣，幫你自動讀寫文件、回郵件、填表格、寫報告，甚至直接寫代碼運行。

不過「龍蝦」雖好，但如果「裸奔」運行，它帶來的破壞力可能遠(yuǎn)超你的想象。

這只「龍蝦」，到底危險在哪？

只是把 OpenClaw 當(dāng)成一個更聰明一點的 AI 助手，那確實很難理解為什么官方會專門出一份《指南》。

問題在于，「龍蝦」從一開始就不是一個「只會聊天」的工具，它更像是一個可以直接「上手操作」的執(zhí)行者。你給它權(quán)限，它就能幫你讀文件、開網(wǎng)頁、登賬號、發(fā)郵件，甚至直接在系統(tǒng)里執(zhí)行一整套操作流程。

聽起來很美好，但正如《OpenClaw 指南》開篇所說的，「（OpenClaw）具備系統(tǒng)指令執(zhí)行、文件讀寫、API 調(diào)用等高權(quán)限能力 ，默認(rèn)配置與不當(dāng)使用極易導(dǎo)致遠(yuǎn)程接管、數(shù)據(jù)泄露、惡意代碼執(zhí)行等嚴(yán)重安全風(fēng)險。」

圖片來源：OpenClaw

和傳統(tǒng)軟件不同，「龍蝦」往往不是做一件事，而是會把一件事拆成一整條鏈路去完成。打開網(wǎng)頁、登錄賬號、獲取數(shù)據(jù)、處理內(nèi)容、再發(fā)出去，這一整套動作在后臺自動完成，中間哪一步出現(xiàn)問題，影響的就不再是「點錯一下」，而是整件事情都可能被放大。

更關(guān)鍵的是，這一切并不總是可見的。很多時候，你只是在對話框里說了一句話，但它已經(jīng)在系統(tǒng)里做了好幾步操作。

風(fēng)險不在于它「會不會做」，而在于它「能做到哪一步」。而決定這一點的，是權(quán)限。

現(xiàn)實情況中，很多人為了讓「龍蝦」更好用，會直接給它較高的系統(tǒng)權(quán)限，甚至默認(rèn)讓它訪問本地文件、調(diào)用瀏覽器登錄狀態(tài)、連接各種已經(jīng)登錄的賬號服務(wù)。這樣做的結(jié)果，其實是把「操作能力」和「個人身份」一起交了出去。

類 OpenClaw 產(chǎn)品的權(quán)限申請，圖片來源：QClaw

一旦出問題，后果也就不再是簡單的功能錯誤，而是文件被讀取、賬號被操作、數(shù)據(jù)被外發(fā)，這些都是現(xiàn)實中已經(jīng)出現(xiàn)過的風(fēng)險場景。

除此之外，還有一個更容易被忽略的變量，是它的「能力來源」。

不少 OpenClaw 的功能，并不是原生自帶的，而是通過各種 Skills 來擴(kuò)展。這些 Skills 本質(zhì)上就是能力模塊，但第三方來源復(fù)雜、質(zhì)量參差，可能帶來信息泄露或被攻擊的風(fēng)險。

這和瀏覽器插件、開源依賴有點類似，但又更進(jìn)一步，因為「龍蝦」不是等你點擊才調(diào)用，而是會在任務(wù)過程中主動使用這些能力。也正因為如此，風(fēng)險更多在于你讓它自己去做了什么。

還有一種情況，是很多人已經(jīng)開始遇到，但不一定說得清楚的——它并沒有做錯，但就是做多了。

你原本只是讓它整理一份內(nèi)容，它卻順手幫你改寫、歸檔，甚至直接發(fā)了出去；你讓它處理一封郵件，它可能把整個郵箱都掃了一遍。問題不在于理解錯誤，而在于執(zhí)行被「擴(kuò)展」了。

換句話說，它開始替你做決定了。這也是為什么，《OpenClaw 指南》沒有把重點放在「AI 準(zhǔn)不準(zhǔn)」上，而是反復(fù)強調(diào)邊界、權(quán)限和控制。

因為當(dāng)一個工具開始替你「動手」，真正需要被解決的，反而不是能力問題，而是邊界問題。

養(yǎng)「龍蝦」要戴「手套」，國家隊給出五步走

既然「龍蝦」的危險在于邊界模糊，那么《OpenClaw 指南》給出的核心藥方其實就是：關(guān)住、管住、看住。

第一步，就是最直觀的「隔離」。就像在家里養(yǎng)猛獸，你不能指望它時刻聽話，最穩(wěn)妥的辦法是先焊好一個足夠結(jié)實的鐵籠子。

圖片來源：Gemini

《OpenClaw 指南》給用戶最直接的建議，就是「物理隔離」。簡單來說，就是別在自己每天辦公、存著全家福和銀行插件的常用電腦上直接跑「龍蝦」。 如果條件允許，找一臺閑置的舊電腦專門用來跑程序；如果沒有多余硬件，至少可以安裝個虛擬機（VMware/VirtualBox）或者沙盒。

這樣做的好處是顯而易見的：即便「龍蝦」因為插件漏洞或者指令理解偏差開始「胡作非為」，它的破壞力也被鎖死在這個獨立的虛擬空間里，跳不出來，也碰不到你的核心數(shù)據(jù)。

第二步就是把它的「手腳」收回來。

很多人為了省事，習(xí)慣用管理員（Root/Admin）賬號運行 OpenClaw，權(quán)限全開，但這相當(dāng)于給了一個實習(xí)生自家所有的鑰匙?！禣penClaw 指南》明確強調(diào)了讀寫目錄的「最小必要權(quán)限原則」，那些涉及隱私的「高危權(quán)限」，比如無障礙服務(wù)、屏幕錄制、麥克風(fēng)調(diào)用，則只在任務(wù)必須時開啟。

說人話就是：不要把整臺電腦都交給它。養(yǎng)「龍蝦」不是為了讓它監(jiān)視你，而是讓它在特定的「電子圍欄」里干活。

但光是「關(guān)起來」還不夠，第三步正如《OpenClaw 指南》的提醒，不要把 OpenClaw 的默認(rèn)端口直接暴露到公網(wǎng)，配置為僅本地訪問（127.0.0.1），關(guān)閉端口映射與公網(wǎng) IP 綁定。

第四步則是很多人已經(jīng)給過的建議：不要亂裝 Skill。

《OpenClaw 指南》也強調(diào)第三方 Skill 存在極大的安全風(fēng)險，尤其是非官方社區(qū)、個人開發(fā)者，或者號稱能「自動賺錢」、「一鍵薅羊毛」的 Skill，往往就是木馬的重災(zāi)區(qū)。

對于普通用戶，最直接的做法就是盡量選用官方倉庫 ClawHub 的 Skill。對于企業(yè)用戶，甚至建議建立內(nèi)部的「Skill 倉庫」，所有的插件在交給「龍蝦」使用前，都得經(jīng)過人工的檢查。

圖片來源：ClawHub

這本質(zhì)上是在為 AI 的能力供應(yīng)鏈上一道鎖。而在 OpenClaw 圈子也有一種說法，會不會用 OpenClaw，很大程度上取決于你會不會裝 Skill，這指的不只是「能力」，也在于對于風(fēng)險的判斷力

第五步，也是最關(guān)鍵的一道防線，是「人工確認(rèn)」。不管「龍蝦」進(jìn)化得有多聰明，在處理資金轉(zhuǎn)賬、大批量刪除文件、更改系統(tǒng)關(guān)鍵配置這些高危操作時，《OpenClaw 指南》的態(tài)度非常堅決：必須人工二次確認(rèn)。 這其實是在否定那種「全自動化」的幻覺。

AI 可以幫你跑腿、幫你起草，但最后的那個「發(fā)送」鍵，必須由你來按。

這不僅僅是為了防錯，更是為了把決定權(quán)重新拿回到人手里。 說到底，這些看起來有些繁瑣的步驟，并不是在限制「龍蝦」的能力，而是在為它的能力尋找一個安全的出口。

寫在最后

「龍蝦」帶來的變化，其實很簡單：AI 不再只是給建議，而是開始替你動手。這一步一旦邁出去，討論的重點也就變了。過去我們關(guān)心的是它夠不夠聰明，現(xiàn)在更重要的是，它有沒有被關(guān)在該待的邊界里。

《OpenClaw 指南》的意義也在這里。它不是要給這項技術(shù)踩剎車，而是告訴所有人，在真正把它當(dāng)成生產(chǎn)力工具之前，哪些底線不能碰。

這有點像很多車企常說的那句話：「安全是最大的豪華」。

當(dāng)「龍蝦」開始接管更多操作時，真正決定它價值的，也不只是效率，而是你是否還能掌控它。說到底，工具越強，邊界就越重要。