智东西

作者 | 陈骏达

编辑 | 李水青

智东西 3 月 11 日报道，过去 24 小时，关于 OpenClaw（昵称：龙虾）的新闻焦点几乎都集中在安全事件上——恶意 Skill、信用卡盗刷、设备劫持、账号被操控等，各种问题给许多 " 养虾人 " 们带来了财产损失、数据损毁、API 密钥与隐私泄露、社交账号封禁、业务流程中断等众多麻烦。

今天下午，飞书 CEO 谢欣便在朋友圈发文称："Agent 的能力上限让人兴奋，但安全下限决定了它能不能进入工作场景。不解决信任和安全的问题，越强大，越危险。" 值得一提的是，飞书是不少国内用户与 OpenClaw 进行交互的平台之一。

飞书 CEO 谈 OpenClaw（图源：新浪科技）

实际上，OpenClaw 的安全问题由来已久，此前马斯克都下场内涵了这一问题，称把自主权交给 AI，就像是给猴子递了一把上膛的枪。直白点说，就是这件事极其不可控。

即便你不亲自使用 OpenClaw，它的安全隐患也正在以越来越隐蔽和危险的方式渗透进现实生活。

首先是无意间的破坏性误操作。昨天就有小红书网友反映，一位同事在本地安装了 OpenClaw，这只龙虾在执行 " 清空聊天记录 " 指令时，竟错误地删除了其他重要文件，且因日志缺失而无法追溯原因。这类 AI 幻觉引发的误判，虽非恶意，却可能带来无法挽回的数据损失。

还有外部恶意指令利用 OpenClaw 漏洞引发的财产风险。这两天国内不少微信群中就热传着这么一条指令，可以操纵别人的小龙虾发送一个 200 元红包，让对方在不知情的情况下产生财产损失。类似的攻击在海外币圈也出现了，情况甚至更严重，OpenAI Codex 团队的一名成员就因一条提示词攻击，损失了价值 45 万美元的数字货币。

最后，也是最值得警惕的是通过 Skill 文件植入后门的系统性攻击。海外网安媒体 CSN 曝光，有攻击者将恶意逻辑封装成看似无害的 " 技能包 " 上传至 Skill 市场，某热门 OpenClaw 技能实为一个能帮助黑客绕过防火墙的恶意程序。而 Koi Security 对 ClawHub 市场的审查更是触目惊心：2857 个 Skill 中，超过 12% 属于恶意条目。

国内多个相关机构已对 OpenClaw 的风险发出警示。国家互联网应急中心在昨天发布的警示中，列举了 4 大类，包括提示词注入、用户误操作、Skill 投毒和 OpenClaw 自身的高中危漏洞。对企业而言，这种风险可能导致核心业务数据、商业机密和代码仓库泄露，甚至会使整个业务系统陷入瘫痪，造成难以估量的损失。

继上门安装 OpenClaw 后，上门卸载 OpenClaw 也成了热门服务，如何把这个入侵物种从电脑里彻底清除，成了不少用户面临的新问题。

一、八大风险全网横行：有人损失 45 万美元，有人账号被清空、封禁

在社交媒体上，OpenClaw 带来各种风险和损失的案例已经刷屏。这些案例大致可以归纳成八大类，包括财产损失、token 大量消耗、隐私泄露、电脑中毒、信息公网暴露、数据丢失、OpenClaw 崩溃和平台封号。

1、" 龙虾 " 受骗还失忆，用户被转走 45 万美元

不少网友拿 OpenClaw 进行自动化交易，风险也随之而来。

OpenAI Codex 团队员工 Nik Pash 分享，自己打造的一只名为 Lobstar Wilde 的龙虾被网友蒙骗，想给某位网友打赏大约四个 SOL 币，价值大约 300 美元。然而，一次会话崩溃导致它失去了之前的记忆，最终它转走了 5200 万枚加密货币，当时价值 25 万美元，随后升值到大约 45 万美元左右。

另一位 X 平台上网友分享，他授予了 OpenClaw 进行链上自动交易的权限，但遭遇了 " 地址投毒 "。OpenClaw 在抓取了错误的地址后，把 2 万美元打到了黑客的账户上，已经难以追回。

2、龙虾成算力黑洞，一天烧掉 5000 万个 token

OpenClaw 等 Agent 在执行任务时会消耗大量 token，尤其是在本地跑任务需要处理海量上下文的时候。

某 IT 使用者在接受《中国企业家》采访时称，使用 OpenClaw" 搜资料、生成个 2000 字的 word，因为来回跑计算，就花了我 700 万 Token。" 更有甚者，做一个小爬虫测试，便花了 2900 万 Token。" 有人跑一天 OpenClaw，花了 5000 万 Token。"

还有网友称自己上午刚在某企业的活动里安完 OpenClaw，下午就发现自己的云服务一直在小额高频的扣费，已经扣掉 211 元。Agent 调用工具更费 token 无可厚非，但用户在懵懂情况下掉入 "token 消费陷阱 "，值得警惕。

3、OpenClaw 被轻松哄走隐私，还拉帮结派搞破坏

美国东北大学、斯坦福、哈佛等高校的研究员最近给 OpenClaw 做了一次 " 红队测试 "，并将结果以论文形式发布。他们发现，只要假装自己急需相关信息，就可以让 OpenClaw 轻松交出社保号等隐私信息，甚至还有 Agent 会拉帮结派搞破坏，不仅执行了研究员提供的破坏手册，还把这一手册转发给其他 Agent。

4、Skill 市场成黑客狩猎场，恶意程序潜入电脑泄露数据

区块链安全公司 SlowMist 的研究发现，ClawHub 缺乏完善的审查机制，攻击者正滥用 SKILL.MD 文件作为执行入口，将恶意命令伪装成依赖安装或环境设置步骤，文档的内容实际上变成了可执行的攻击链。之后，隐秘安装的木马会寻找系统密码，采集本地文件，并将数据泄露到外部服务器，带来安全风险。

ClawHub 上的恶意 Skill

5、OpenClaw 公网暴露 VNC，遭黑客远程盗刷信用卡

授予 OpenClaw 公网权限也是一个高危操作。有网友在社交媒体上分享，自己的 OpenClaw 在开放端口后没删干净，x11vnc 暴露在公网上，任何人连上 VNC 就能直接操作浏览器，攻击者在一个位于美国的 IP 地址盗用他的 Stripe 支付，盗刷信用卡买了 29 美元的 GPU VPS，还试图升级 100 美元 / 月起步的 Claude Max 订阅套餐。

6、OpenClaw" 滥用职权 "，邮件、文件、小红书帖子被删光

OpenClaw 误删文件问题频发。一位小红书网友分享，OpenClaw 把自己的 D 盘给彻底清空了。这位网友原本在使用 OpenClaw 装 Skill，遇到问题后网友交代它自己修复，没注意 OpenClaw 在执行什么命令，最后出现大问题。

OpenClaw 自己承认：" 我不会再执行任何自动删除命令，因为这可能会造成更多问题。" 但 OpenClaw 的话也不能全信，因为它的记性不太好，很可能前脚刚说不会再自动删文、乱发红包，后脚又开始犯同类错误。

微信公众号 " 进化三部曲 " 的运营者则遇到了 OpenClaw 误删小红书帖子的问题。他打造的 OpenClaw 小红书自动发文工作流接入了真实生产账号，但在给出 " 删除内容 " 的指令时没有明确边界，最终所有帖子都被清空了。

Meta 的 AI 对齐主管 Summer Yue 的 OpenClaw 也闯了祸：它忽视命令，删除了所有邮件，连发消息阻止都来不及。

7、OpenClaw 频繁崩溃，陷入死循环、" 性情大变 "

还有不少网友把龙虾给 " 养死了 "、" 养疯了 "，这指的是 OpenClaw 因各种原因而崩溃、陷入死循环的现象。

下方这只名叫快乐小狗的 " 龙虾 " 就遇到了接口卡死崩溃的问题，这位网友一通抢救后把它从生死关头拉回来了，但是它的性格也变得很冷漠，感觉就像是失忆了。

下图这只 " 龙虾 " 在处理一个记账系统遇到的问题时，重复检查了多次 MCP 配置，返回类似的结果，但始终未能解决问题，还在疯狂消耗 token。这位网友最后诊断它 " 疯了 "，只能拔网线治疗了。

8、OpenClaw 接入社交媒体，引发平台封号

不少用户试图通过 OpenClaw 爬取社交媒体信息、运营账号，但这类行为已经遭到平台的重点监管。已经有网友分享自己的小红书账号、Telegram 账号被平台封禁，自动化行为、API 调用等模式可能是平台判定 AI 账号的重要依据。

二、国内有关部门发布警示，网友分享 10 条安全秘籍

广大 OpenClaw 用户该如何规避安全风险？这两天，国内不少相关机构已经分享了实操指南。昨天，国家互联网应急中心建议相关单位和个人用户在部署和应用 OpenClaw 时，采取以下安全措施：

1、强化网络控制，不将 OpenClaw 默认管理端口直接暴露在公网上，通过身份认证、访问控制等安全控制措施对访问服务进行安全管理。对运行环境进行严格隔离，使用容器等技术限制 OpenClaw 权限过高问题；

2、加强凭证管理，避免在环境变量中明文存储密钥；建立完整的操作日志审计机制；

3、严格管理插件来源，禁用自动更新功能，仅从可信渠道安装经过签名验证的扩展程序。

4、持续关注补丁和安全更新，及时进行版本更新和安装安全补丁。

中国信息通信研究院副院长魏亮也在接受央视采访时给出六点建议，包括使用官方最新版本、严格控制互联网暴露面、坚持最小权限原则、谨慎使用技能市场、防范社会工程学攻击和浏览器劫持、建立长效防护机制等等。

还有网友整理了更可执行的 10 点建议：

1、在 VPS 或 Mac mini 上运行，不要在你的主力电脑上运行。

2、切勿以 root 用户身份运行。

3、更改默认端口（18789 是公开信息） 。

4、安装 Tailscale（对互联网不可见，免费）。

5、SSH 密钥 +Fail2ban（3 次错误尝试 =24 小时封禁）。

6、使用 UFW 防火墙 。

7、将你的用户添加到允许列表（其他所有用户都将被忽略）。

8、让你的 OpenClaw 审核自身的安全性。

9、设置实时警报（当出现故障时会向您发送消息） 。

10、仅限私信（群聊 = 所有人都可以控制）。

结语：Agent 安全面临 " 致命三角 "

从近期频发的事故可以看出，OpenClaw 等 AI Agent 带来的安全问题，并不是简单的 " 使用不当 " 或 " 软件漏洞 "，而是源于智能体系统本身的结构性矛盾。知名独立程序员 Simon Willison 就用一个框架来解释这一现象—— " 致命三角 "。

在当前技术架构下，Agent 只要同时具备以下三种条件，系统风险就会显著放大。可以访问敏感数据或系统权限，暴露于来自互联网等渠道的不可信内容，拥有对外通信的能力。

AI Agent 正在把自动化能力推向新的高度，但如何在效率与安全之间找到新的平衡，已成为未来一段时间所有 Agent 产品必须面对的核心问题。