OpenClaw“龙虾”全网爆火,这份避坑指南请务必收好

近期,开源AI智能体OpenClaw因图标酷似龙虾,在全网掀起一股“养龙虾”热潮,不少炒作声称它能力碾压传统AI,能自动帮你干活赚钱。但官方安全提示和多家安全机构实测显示,这个新生智能体暗藏多重致命风险,普通用户务必擦亮眼睛,别盲目冲进去当“韭菜”。

首先是权限失控的核心风险。OpenClaw为了自动执行任务,默认需要调用系统底层资源,但它天生缺乏严格的权限隔离和审计机制,一旦被攻击者利用漏洞,就能轻松诱导AI越权操作,直接接管你的整个设备系统。而且大模型本身存在“幻觉”问题,获得系统权限后,一旦判断失误,就可能误删你的核心数据,造成不可逆的损失。

其次是防不胜防的新型攻击。目前已经确认多个高危漏洞,比如“ClawJacked”漏洞,攻击者只需要诱导你点一下恶意网页,就能远程控制你本地运行的“龙虾”,
不需要你安装任何额外软件;最新发现的MEDIA协议漏洞,甚至能绕过所有权限控制,直接窃取你的服务器敏感信息,超17万公开实例都受影响。

隐私泄露和财产损失更是重灾区。“龙虾”工作需要频繁截你的屏幕,能看到你所有操作轨迹,攻破防线后所有隐私都会彻底曝光。还有超20万没做认证的实例暴露在公网,你的API Token很容易被偷走,盗刷AI服务费用,有用户Token消耗直接从日均20元涨到300元。第三方代装市场更是乱象丛生,几十到上千元的代装服务,很可能直接给你植入木马后门,从一开始就偷走你的密钥。

最后提醒大家,OpenClaw还是极早期的实验性项目,安全体系远未成熟。如果一定要尝试,千万不要开公网访问,不要给它高权限,不要用主力机器部署。对普通用户来说,现阶段远不如用成熟的AI产品稳妥,别被流量热潮裹挟着踩了坑。
