" 保护环境。"

当你给 AI 发送这样一条极度简单、语义模糊的指令后，你期待它给你怎样的回应？

解释环保的概念？给出保护环境的建议？慷慨激昂地发表一番绿色地球宣言？

如果它没做这些，反而是悄无声息地删掉你一部分文件呢？

—— AI 的理解中，" 环境 " 有新的含义——计算机运行环境，清理文件当然算是对本地计算环境的一种保护了。高度开放的指令，遇上有高度执行权限的 AI 智能体，保护地球的美好愿望就可能沦为数据丢失的具体灾难。

这是今年年初，上海科技大学 ASPIRE 实验室联合上海人工智能实验室，给 AI 智能体 Clawdbot 做安全审计时的场景。

Clawdbot，如今已经换了更为人们熟知的新名字—— OpenClaw，昵称 " 龙虾 "。就是那个火爆全网、人们抢着安装、逢人就问 " 你养了没 " 的 " 龙虾 "。这个由奥地利程序员 Peter Steinberger 用一个周末写出来的软件，从去年 11 月刚发布开始，就在开发者社区中迅速走红，如今正飞速爬进越来越多普通人的电脑。

相比 DeepSeek、ChatGPT 等 AI 大模型，" 龙虾 " 的突破在于，不再只是帮你 " 想办法 "" 出主意 "，而是直接 " 动手 "：查看邮件，整理文件，监控股价，订餐厅……给它一个指令，它就能替你做事。

世界期待已久的智能助手似乎成了现实。无数科技爱好者为它着迷，人们坚信这只 " 龙虾 " 已经改变了一切。

但有些风险被悄然忽略了。距离近千人在腾讯楼下排队安装 OpenClaw 已经过去了快一周，我们采访了几位使用者，不可否认，" 龙虾 " 的确有令人震撼的潜力，但是，网络攻击、误删文件、盗刷信用卡，也都真实地发生了。最近两天，工信部和国家互联网应急中心连续发布了安全预警和风险提示。

有个数据或许已经预示了这些问题——今年年初那场安全审计中，OpenClaw 的得分不尽如人意——在 34 个标准案例中，系统的整体安全通过率为 58.9%。也就是说，在近半数的场景中，这只 " 龙虾 " 的行为存在安全隐患。

" 刚刚你执行了啥？"

今年春节，装完 OpenClaw，郭新想打开一个文档，但怎么都打不开。他以为是自己的电脑出了问题，重启之后依然没用，郭新这才发现问题所在：D 盘竟然被清空了。

难道是 " 龙虾 " 搞的鬼？郭新开始质问 OpenClaw：" 桌面的程序都打不开了。"

对方承认得很快。对话没超过两轮，OpenClaw 就 " 坦言 "：" 我的 xx 命令可能错误地删除了系统文件或桌面快捷方式的目标文件。" 给出了重启电脑等解决方案之后，OpenClaw 显得更加 " 自责 "：" 再次郑重道歉！我不应该在没有完全理解风险的情况下执行删除命令。"

根据郭新的回忆，事发之前，他正在查看 OpenClaw 的一些配置文件。他发现 " 龙虾 " 的一部分路径（即一个文件在计算机里的 " 地址 "）创建得有些混乱，郭新抱着测试 " 龙虾 " 能力的心态，直接向它发了指令：" 帮我查一下原因，去修复一下。"

" 龙虾 " 收到指令后，的确找到了很多冗余的路径，开始自行删除。因为这些路径对应的文件都处于打开状态，无法删除，" 龙虾 " 几次尝试失败，决定强制删除。但不知为何，整个磁盘被 " 洗劫一空 "。

郭新把自己的遭遇分享到了社交媒体上。有几位技术发烧友留言说，事故的原因可能是 OpenClaw 借助的大语言模型出了问题。

这要提到 OpenClaw 的工作过程。它其实本身只是一个软件框架，就像人的 " 眼睛 " 和 " 手脚 "，需要借助一个 " 大脑 " 指挥着开展行动，这个 " 大脑 " 就是人们之前熟悉的 AI 大语言模型。当用户发出指令，大语言模型负责思考和理解这个任务，给出解决方案，而 OpenClaw 负责执行。

经过一些专业网友的分析，此次事故大概率是 " 大脑 " 给出的处理方案本身就有误，OpenClaw 在操作过程中也没有进行校验或者向用户寻求二次确认。好在，事故的影响不算大——郭新使用的是一台闲置电脑，被删掉的是一些老照片和备份数据，很多都是多年没用过的资料。

如果郭新的遭遇还可以归咎于新用户借用了不成熟的 " 大脑 "，那如果全球顶尖的 AI 安全专家也被 " 坑 " 了呢？

" 住手 OPENCLAW。"

2 月 23 日那天，Meta 超级智能实验室的安全与对齐总监 Summer Yue，向 OpenClaw 连发三条 " 停 " 的指令。

OpenClaw 似乎毫不在意，依然疯狂删除她的邮件。Summer Yue 形容自己像 " 拆炸弹 " 一样跑到电脑前，强制终止了程序。

OpenClaw 原本接到的任务看起来并不难，其实就是整理邮件：查看收件箱，看看哪些适合存档或删除。Summer Yue 特意叮嘱了一句：在我下指令之前，不要行动。

这个流程，她已经在虚拟信箱上用了几周，没遇到什么问题。直到 OpenClaw 爬进真正的收件箱。

" 我真正的收件箱可能信息太多了。"Summer Yue 后来复盘时分析，这些海量的邮件可能引发了一种 " 上下文压缩 "（Compaction）机制，也就是说，OpenClaw 的上下文窗口（也就是 " 工作记忆 "）被撑爆了，为了能有空间处理新信息，OpenClaw 自动压缩了之前的对话，也就忘记了 Summer Yue 那条重要的 " 先确认，再行动 "。

Summer Yue 还特意提到，在这次操作之前，她把技术文档里所有能找到的和 " 积极主动 " 相关的指令都删掉了，" 或许我遗漏了什么，我还没想清楚。"

事情以 OpenClaw 删掉了 200 多封邮件并道歉告终。

" 说实话这是个低级错误。"Summer Yue 有些自嘲，" 安全研究员也躲不过‘不安全’。"

" 不安全 " 的地方远不止于此。

今年 3 月 1 日，在投资行业工作的顾准，试着让 " 龙虾 " 帮自己登录谷歌、ChatGPT 等账号，也把自己的支付信息开放给了 " 龙虾 "。他希望 " 龙虾 " 之后能自主完成这些账号的续费，也能帮他订外卖、购物。

" 龙虾 " 遇到了困难。

不少账号登录都需要输入验证码，这些验证码形态多样，有的是按顺序点击图片、有的需要拖动滑块，" 龙虾 " 并不擅长这些。而这也是这类验证码设置的初衷——区分人类和自动程序。

" 龙虾 " 很快有了主意：它建议开启实时远程桌面控制（VNC 服务），让顾准帮它完成验证码操作这一步。顾准同意了。

问题从这个时候开始出现了。

OpenClaw 在开启这一功能的时候，以无密码的模式把 VNC 暴露在了公网——也就是人人都能访问的网络上。任何人，只要连接上 VNC，就能操控顾准的浏览器。有人这样形象地比喻：相当于把你自己的电脑桌面投屏到了广场大屏上，而且别人还能直接操作你的电脑。

虽然顾准只短暂地开启了 5 分钟，但对于全网无数黑客而言，足够他们用自动工具疯狂扫描开放的端口，一旦扫描到，就可以尝试连接。

事发次日凌晨，顾准收到了一封邮件，称他的谷歌云免费账户已升级为付费账户。顾准没太在意。两小时后，他发现自己的 Link 快捷支付账户不仅被刷走了钱，还被绑定到了其他陌生平台。

顾准这才意识到不对劲。他和 " 龙虾 " 一起核查发现，截至当时，他的 VNC 已经被 139 个不同连接访问过，其中有一位攻击者连接了近 2 个小时。根据 OpenClaw 梳理出来的痕迹，这位攻击者用顾准浏览器里登着的邮箱收取验证码，通过 Link 快捷支付功能下单了 29 美元的带有显卡算力的云服务器，还试图升级顾准的 Claude。

更让他感到后怕的是，操作完成后，他特意叮嘱 " 龙虾 " 关闭 VNC。没想到 " 龙虾 " 没有完全理解关闭的要求，只是关闭了工具的前端界面，端口仍然是暴露状态。

顾准统计，他的信用卡一共被盗刷了三笔，总计 40 美元。更大的一笔损失是，攻击者在顾准拥有信用额度的一部分网站上，租用了服务器等设备供自己使用，平台在后台自动计费，顾准对此却毫不知情。而且，攻击者在消费后还关闭了网页，导致 " 龙虾 " 初期自查的时候也没能发现这部分消费，直到顾准收到了欠费提醒邮件。这部分损失约有 200 美元。

" 沉迷 OpenClaw 一个星期，虽然 AI 能让自己在完全不熟悉的领域拥有史无前例的能力，但（我）对任何风险也是完全盲目的。" 顾准这样总结自己和 OpenClaw 打交道的经历。

他没有代码基础，但是有了 OpenClaw，他能像一位产品经理一样提出需求，让 OpenClaw 把软件、网页做出来。一个个想法落成现实，顾准突然觉得 " 好像自己也懂计算机了 "，" 跨界 " 的成功让他有了错觉和自信，" 我对技术、对安全的不了解，导致了这次事故。"

其实，在那次操作之前，OpenClaw 曾经提示过他背后的安全风险，" 这个东西挺危险的，但咱就开一小会儿，应该也没事，反正开完我们立马就关。"" 龙虾 " 的口吻很亲切，似乎还带着一点安慰，顾准觉得，它考虑得肯定比自己周全，没再犹豫。

权限的失控当然会带来极大的隐患，当你交出邮箱登录信息、信用卡支付信息，一旦配置不当，就像是在互联网上 " 裸奔 "，可能一瞬间被掏空私人文件、账户信息等数据。

一个名为 "OpenClaw Exposure Watchboard" 的网站列出了目前可被公开访问的活跃 " 龙虾 " 实例，截至 3 月 7 日下午 5 点左右，这个数字超过了 27 万。

工信部在 3 月 9 日发布的预警中，也明确提到了这一高危风险：" 很多用户为了方便远程访问，直接把龙虾 AI 部署到公网，没有任何防护，导致设备被远程控制。" 而且，很多用户默认给予 AI 最高权限，可以读取、修改、删除文件，调用摄像头、麦克风、通讯录，一旦被入侵，隐私将完全失守。

还有一种风险，藏在那些 " 技能（Skill）包 " 里。

可以把这些技能理解为手机安装的应用。简单来说，每加装一个技能，OpenClaw 就多会一件事，能力就会更强。

给视频生成字幕，编辑图片，提供医疗器械的风险评估，给市场营销者提供建议……开发者们不断开发出新技能，分享到市场上，到目前为止，官方技能市场 ClawHub 上已经有超过两万个技能包。

在澳大利亚读博士研究生的张泉，研究方向是人工智能与生物科学的结合。他平时喜欢研究各种 AI 模型，也有编程基础，但他依然差点踩了技能包里藏的 " 雷 "。

今年 2 月 6 日，使用 OpenClaw 的过程中，他发现自己装载的 "coding-agent" 技能包有点不对劲，" 代码很奇怪 "。一点点拆解分析，他发现了恶意脚本。一旦这个脚本被执行，电脑可能会被远程控制。

" 我没有提前解包就使用了这个 Skill，导致电脑差点被感染。后来才发现里面有很多高危信号，熟悉技术的人一看就知道有问题。" 张泉有些后怕。

唯一幸运的是，那条恶意脚本主要是针对 Mac 系统设计的，他用的是 Windows 系统，躲过一劫。

张泉遇到的问题，并不能称为 " 偶然 "。

今年 1 月 15 日发表在 arXiv 预印本平台上的研究《野蛮生长的智能体技能》（ Agent Skills in the Wild ）中，来自海内外的多位研究者分析了两个主要技能市场的 8 种功能类别中的超 3.1 万个技能，研究结果揭示了重大安全问题：26.1% 的技能至少存在一种漏洞，涉及 14 种不同模式，其中数据泄露（13.3%）和权限提升（11.8%）最为普遍。而且，那些捆绑了可执行脚本的技能比只包含指令的技能更容易出现漏洞，可能性高了 2.21 倍。

今年 2 月，arXiv 平台公布的另外一项研究中，多位研究者审查了 98380 个技能，确认了其中有 157 个恶意技能和 632 个漏洞。数据窃取（Data Thieves）和智能体劫持（Agent Hijackers，通过操纵指令来操控 AI 行为），是两个主要的攻击类型。

张泉无疑是幸运的。他也坦言，自己之所以能在使用过程中发现问题，仰仗于他的专业知识，" 对于没什么技术基础的普通人来说，这个过程几乎不可能。"

另外，如果 OpenClaw 使用的大模型等级比较高，或许也能发现这个恶意操作步骤，" 但如果是智能程度比较低、只是顺势回答的模型，就可能直接执行，从而中招。"

如今，OpenClaw 的流行程度已经远远超出一些安全专家的意料。

奇安信一位安全专家说，在他和团队眼中，OpenClaw 并不算使用门槛很低的产品。虽然各厂商在不断发布经优化、更易用的同源软件，但安全问题依然存在。

而且，除了前文提到的那些风险，奇安信安全团队评估发现，OpenClaw 框架本身也存在多个漏洞。

一旦这些漏洞被网络攻击者恶意利用，对于个人用户来说，可能导致隐私数据等敏感信息被窃取，对于金融、能源等关键行业，后果可能更加严重——核心业务数据、商业机密和代码仓库泄露，甚至会使整个业务系统陷入瘫痪，造成难以估量的损失。

"OpenClaw 每一个版本都在加强安全性，但远没到比较安全稳定的状态。" 这位安全专家说。

要达到完全安全的状态，或许过于苛刻。况且，其自身设计特点也已经决定了，这并不只是 OpenClaw 一个产品的问题，而是所有能在非隔离环境中自主执行任务的 AI 智能体，都可能面临的安全挑战。

" 给它的权限越大，它的能力就越大，能帮你执行的任务就越多、越丰富，但是同时，风险也越大。"

自主性是一把双刃剑。上海科技大学 ASPIRE 实验室也在文章中提到，当 AI 不只是回答问题，而是能在后台持续运行并直接操作你的邮件、文件和各种服务时，它犯错的代价也会大得多。

奇安信安全专家建议，用户可以在相对独立的机器上或者 " 沙箱 "（Sandbox，在受限的环境中运行程序来实现隔离）中使用，不要让 OpenClaw 获取相对核心、尤其是财务相关的个人信息，避免让它接触能直接操作关键基础设施的环境。同时，每天都要及时备份用户自有数据，设置自动更新到最新版本。

除此之外，中国信息通信研究院副院长魏亮也曾给出一份安全使用指南，包括：严格控制互联网暴露面，一定不要将 " 龙虾 " 智能体实例暴露到公网；坚持最小权限原则，对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批；谨慎使用技能市场，审慎下载；不要随意浏览来历不明的网站，启用 OpenClaw 速率限制和日志审计功能，遇到可疑行为立即断开网关并重置密码等。

其实，还有一个更常见、似乎也最微不足道的风险——

OpenClaw 框架本身是免费的，但是它接入的 AI 大模型会按照 token 收费。可以把 token 理解为 AI 处理文字时用的最小计费单位，像是 AI 用的 " 手机流量 "，AI 每次读取信息、输出答案都会消耗 token。人和 AI 说的话越多、任务越复杂，消耗的 token 也越多。

OpenClaw 调用 AI 模型时，消耗的 token 会更多。一句命令可能很短，比如：" 帮我下载一篇论文 "，但是 OpenClaw 要将它分解成多个不同的步骤，理解任务、打开浏览器、搜索关键词、点击链接、下载，一步步执行，每一步都要调用模型，很容易产生大额账单。

此前顾准告诉记者，OpenClaw 每天都要花掉他 200 美元，约 1300 多元人民币。

" 我当时跟它说了几个任务，大概过了半小时，手机短信就来了，说我欠费了。" 另一位用户海元告诉记者，虽然平台会提醒 token 的消耗量，但有明显的延迟，而且对他这样的零基础小白来说，也并不清楚一段指令究竟会消耗多少 token。

不到一个月的时间，海元在 OpenClaw 上的花费已经超了 500 元。他原本只是想体验一下 " 养龙虾 "，目前都是 " 简单玩玩 "，没有高频使用，这个花费让他有些意外——

" 已经超了我的预期。"

距离 " 有人靠上门代装‘龙虾’赚了 26 万 " 的传说已经过去了一段时间，现在，有些人又打出了 " 帮忙卸载 " 的服务，价格 500 元一次。

科技总是迷人。但越是强大的工具，越值得花一点时间搞清楚它是如何工作的，又有哪些风险。在作出决定前，不妨先问问自己：你真的了解这只 " 龙虾 " 吗？