第一批龙虾（OpenClaw）受害者，出现了。

" 安装 OpenClaw 第三天，凌晨收到账单—— API 密钥被盗，3 天消耗了 1.2 万元词元（Token）费用。" 这是深圳一位程序员的遭遇。

二手交易平台上，已出现一门新生意：" 远程代卸载 OpenClaw，收费 199 元。"

就在几天前，商家卖的还是 300-600 元一次的上门安装服务。

这个被寄予厚望的人工智能（AI）助理，正暴露出危险的另一面。

3 月 10 日晚间，国家互联网应急中心紧急提示：OpenClaw 默认的安全配置极为脆弱，攻击者一旦发现突破口，便能轻易获取系统的完全控制权。

3 月 11 日，工业和信息化部网络安全威胁和漏洞信息共享平台发布关于防范 OpenClaw（" 龙虾 "）开源智能体安全风险的建议。此前，该平台曾发布预警提示，建议部署应用 OpenClaw 时防范潜在风险。

不止中国，荷兰国家数据机构此前已明确将 OpenClaw 等开源智能体定性为黑客的特洛伊木马，直指其架构设计本身就蕴含巨大风险。

风险从何而来？要从其 " 自主执行任务 " 能力说起。

不同于 ChatGPT、DeepSeek 等大模型，OpenClaw 是一种 AI 智能体。它不止能聊天，还能真正调用工具、自主规划、执行任务。

为实现这种能力，它需要访问你的文件系统、读取环境变量、调用外部 API，甚至安装各种扩展功能。

这就相当于，装了龙虾后个人信息将是裸奔的。

国家互联网应急中心将其总结为四重暗礁：

第一重：提示词注入。

网络攻击者在网页中埋藏恶意指令，当 OpenClaw 读取该网页时，就会被诱导泄露用户密钥。

第二重：误操作。

由于错误理解用户指令，OpenClaw 可能将重要信息彻底删除。

Meta 安全总监的遭遇就是典型案例。2 月，这位号称 " 全球最懂安全的人 "，在使用 OpenClaw 进行整理邮件时，眼睁睁地看着 200 多封邮件被删除，多次下达终止指令均告无效。

第三重：功能插件（skills）投毒。

多个适用于 OpenClaw 的功能插件已被确认为恶意插件或存在潜在的安全风险。

荷兰国家数据机构警告称，大约五分之一的 OpenClaw 可用插件可能包含恶意软件。

安装后，它们会窃取密钥、部署木马后门，让你的设备沦为 " 肉鸡 "，成为黑客攻击他人的工具。

第四重：安全漏洞。

截至目前，OpenClaw 已被曝出多个高中危漏洞。

就在 3 月上旬，GitHub 安全实验室集中披露了数十个漏洞，涉及认证绕过、命令注入、信息泄露等。

对个人，可能像深圳程序员那样损失上万元；对金融、能源等关键行业，核心业务数据泄露、业务系统瘫痪绝非危言耸听。

为此，中国信息通信研究院副院长魏亮呼吁，党政机关、企事业单位和个人用户要审慎使用 " 龙虾 " 等智能体。

国家信息中心研究员朱幼平打了个比方，这种情况类似汽车发明初期的 " 马路杀手 "，智能体安全问题的解决需要一个技术迭代、规则完善、用户教育的长期过程。

朱幼平同时强调，AI 发展到了一定阶段，亟须一个爆款级应用示范。正如 DeepSeek 成为大模型普及的分水岭，OpenClaw 首次实现了 AI 从对话应答到系统执行的跨越，让更多普通老百姓真切感受到：AI 真能干活了。

智能体普及，是未来方向。

超 90% ——这是《国务院关于深入实施 " 人工智能 +" 行动的意见》中设定的新一代智能终端、智能体等到 2030 年的应用普及率目标。

" 要将目标转化为现实，需打造安全原生的智能体架构。" 朱幼平表示，开发端，要推行安全开发工具包，强制遵循安全标准；平台端，必须建立插件审核机制，对第三方技能包进行安全检测；用户端，应提供一键安全加固工具，帮助快速配置安全策略。

" 打个比方，就像你请了个小时工上门，只让他进书房整理文件，不让他碰卧室、保险柜，出门前还要你签字确认，不给他随便外传东西的权限。"

一句话，养龙虾，千万别被偷了家。

" 三里河 " 工作室