近日，OpenClaw（俗称“龙虾”）开源AI智能体持续掀起使用热潮。3月10日，资深互联网AI项目从业人员方先生告诉南都N视频记者，他从今年1月开始体验“养虾”，目前已在Mac系统、Windows系统和云服务器上部署了三个“龙虾”，帮他执行了写邮件、改代码等任务。他也坦言，对于没有任何技术背景的人来说，“养虾”门槛太高，而且给了权限后，模型也会因为有幻觉问题而出错。

“养龙虾”潜在的网络安全风险不容忽视，社交平台上也有大量网友发帖求助“如何彻底卸载OpenClaw”。清华大学新闻学院、人工智能学院双聘教授沈阳在接受南都记者采访时指出，OpenClaw有明显的安全风险，其问题在于，要让其充分发挥作用，就要给充分的授权；而授权越高，发生网络安全问题的概率也就越大。

3月10日晚，国家互联网应急中心发文《关于OpenClaw安全应用的风险提示》，建议相关单位和个人用户在部署和应用OpenClaw时，采取安全措施。

“龙虾”按照用户指令给酒店发送邮件。受访者供图

训练AI助理发邮件、订球场

今年1月，资深互联网AI项目从业人员方先生开始在互联网接触到OpenClaw。作为较早接触这款开源AI智能体的玩家，他抱着尝鲜的心态开启了自己的“养虾”之旅，至今已在Mac系统、Windows系统和云服务器上部署了三个“龙虾”。

他介绍道，安装过程其实并不复杂，本地部署只需一行命令，配置好模型和API密钥就行。“我用的是MiniMax的模型，再配置飞书、微信这些渠道，就能通过手机跟它对话了。云端部署更简单，支付费用在云端买一年的服务器，平台会自动安装好，相当于7×24小时在线的AI助理。”

谈到实际应用场景，方先生最近刚完成一个典型的“养虾”任务。他刚订好月底将入住的巴厘岛酒店，随后他给“龙虾”发出指令，要求它发邮件给酒店，沟通安排接机和房间要求。“本来要自己写邮件，现在直接告诉OpenClaw相关要求，它帮我发送，有点像私人助理。”

方先生接下来准备给“龙虾”升级一下指令。“我最近想打网球，总是订不到场。我打算给它设置一个定时任务，隔段时间就帮我去小程序看看有没有场地，有了就通知我。”

他向南都记者解释称，这就像给大模型加上了“插件”，“其实用GPT配置也能实现发邮件功能，但OpenClaw的优势在于，我不用打开电脑，通过手机就能让它操控电脑完成任务。”方先生还强调，OpenClaw的上下文可以无限保存在本地，这让它真正像一个了解你习惯的私人助理。

不过他也坦言，对于没有任何技术背景的人来说，“养虾”门槛太高。“需要安装、配置、调教，还要安装各种工具，探索自己需要的场景。很多人装了也是白装，根本用不起来。”

谈及风险，方先生认为关键在于开放什么权限，“不给它开放权限就不会有风险。但你要用它发邮件，就得先登录邮箱获取Access Token（访问令牌）给它。给了权限后，它有一定概率发送的邮件不符合需求，毕竟模型有幻觉问题。如果给它开放更高级的权限，比如银行卡付钱，那就有可能乱花钱。”

专家称风险在于要给充分的授权

方先生的“养虾”体验代表了一批能够驾驭技术的资深玩家，然而，并非所有人都能像他一样顺利。

南都记者注意到，“远程装OpenClaw后接到反诈电话”等案例相关话题在网络引发热议。在一众网友抢着安装使用“龙虾”的同时，社交平台上也有大量网友发帖求助“如何彻底卸载OpenClaw”，甚至出现了“上门卸载OpenClaw一次299元”等生意。

“养龙虾”热潮之下，其隐藏风险不容忽视。此前，工业和信息化部网络安全威胁和漏洞信息共享平台监测发现，由于OpenClaw部署时“信任边界模糊”，且具备自身持续运行、自主决策、调用系统和外部资源等特性，在缺乏有效权限控制、审计机制和安全加固的情况下，可能因指令诱导、配置缺陷或被恶意接管，执行越权操作，造成信息泄露、系统受控等一系列安全风险。

3月10日，中国工程院院士、鹏城实验室主任高文指出，OpenClaw相当于个人助理，可以处理日常邮件或公司技术研发，极大降低了创业门槛，但也需注意防范潜在的网络安全风险，尤其涉及银行支付、家庭信息等要加以小心。提供此类服务的互联网平台企业需压实主体责任，履行安全风险评估等义务。

同日，清华大学新闻学院、人工智能学院双聘教授沈阳在接受南都记者采访时表示，OpenClaw有明显的安全风险，其问题在于，要让其充分发挥作用，就要给充分的授权；而授权越高，发生网络安全问题的概率也就越大。“因此，一方面可以在实验性的环境来进行‘龙虾’的调试与测试，另一方面在职场、企业以及个人主力机等关键场景中，必须确保生产环境安全稳定，比如使用本地开源大模型等。”

OpenClaw。

国家互联网应急中心发风险提示

今晚（10日），国家互联网应急中心发布关于OpenClaw安全应用的风险提示。

近期，OpenClaw（“小龙虾”，曾用名Clawdbot、Moltbot）应用下载与使用情况火爆，国内主流云平台均提供了一键部署服务。此款智能体软件依据自然语言指令直接操控计算机完成相关操作。为实现“自主执行任务”的能力，该应用被授予了较高的系统权限，包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口（API）以及安装扩展功能等。然而，由于其默认的安全配置极为脆弱，攻击者一旦发现突破口，便能轻易获取系统的完全控制权。 

前期，由于OpenClaw智能体的不当安装和使用，已经出现了一些严重的安全风险：

1.“提示词注入”风险。网络攻击者通过在网页中构造隐藏的恶意指令，诱导OpenClaw读取该网页，就可能导致其被诱导将用户系统密钥泄露。

2. “误操作”风险。由于错误的理解用户操作指令和意图，OpenClaw可能会将电子邮件、核心生产数据等重要信息彻底删除。

3.功能插件（skills）投毒风险。多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在的安全风险，安装后可执行窃取密钥、部署木马后门软件等恶意操作，使得设备沦为“肉鸡”。

4.安全漏洞风险。截至目前，OpenClaw已经公开曝出多个高中危漏洞，一旦这些漏洞被网络攻击者恶意利用，则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户，可导致隐私数据（像照片、文档、聊天记录）、支付账户、API密钥等敏感信息遭窃取。对于金融、能源等关键行业，可导致核心业务数据、商业机密和代码仓库泄露，甚至会使整个业务系统陷入瘫痪，造成难以估量的损失。

建议相关单位和个人用户在部署和应用OpenClaw时，采取以下安全措施：

1.强化网络控制，不将OpenClaw默认管理端口直接暴露在公网上，通过身份认证、访问控制等安全控制措施对访问服务进行安全管理。对运行环境进行严格隔离，使用容器等技术限制OpenClaw权限过高问题；

2.加强凭证管理，避免在环境变量中明文存储密钥；建立完整的操作日志审计机制；

3.严格管理插件来源，禁用自动更新功能，仅从可信渠道安装经过签名验证的扩展程序。

4.持续关注补丁和安全更新，及时进行版本更新和安装安全补丁。