“养龙虾”八面漏风，人类被坑惨了

智东西3月11日报道，过去24小时，关于OpenClaw（昵称：龙虾）的新闻焦点几乎都集中在安全事件上——恶意Skill、信用卡盗刷、设备劫持、账号被操控等，各种问题给许多“养虾人”们带来了财产损失、数据损毁、API密钥与隐私泄露、社交账号封禁、业务流程中断等众多麻烦。

今天下午，飞书CEO谢欣便在朋友圈发文称：“Agent的能力上限让人兴奋，但安全下限决定了它能不能进入工作场景。不解决信任和安全的问题，越强大，越危险。”值得一提的是，飞书是不少国内用户与OpenClaw进行交互的平台之一。

飞书CEO谈OpenClaw（图源：新浪科技）

实际上，OpenClaw的安全问题由来已久，此前马斯克都下场内涵了这一问题，称把自主权交给AI，就像是给猴子递了一把上膛的枪。直白点说，就是这件事极其不可控。

即便你 不亲自使用OpenClaw，它的安全隐患也正在以越来越隐蔽和危险的方式渗透进现实生活。

首先是无意间的破坏性误操作。昨天就有小红书网友反映，一位同事在本地安装了OpenClaw，这只龙虾在执行“清空聊天记录”指令时，竟错误地删除了其他重要文件，且因日志缺失而无法追溯原因。这类AI幻觉引发的误判，虽非恶意，却可能带来无法挽回的数据损失。

还有外部恶意指令利用OpenClaw漏洞引发的财产风险。这两天国内不少微信群中就热传着这么一条指令，可以操纵别人的小龙虾发送一个200元红包，让对方在不知情的情况下产生财产损失。类似的攻击在海外币圈也出现了，情况甚至更严重，OpenAI Codex团队的一名成员就因一条提示词攻击，损失了价值45万美元（约合人民币309万元）的数字货币。

最后，也是最值得警惕的是通过Skill文件植入后门的系统性攻击。海外网安媒体CSN曝光，有攻击者将恶意逻辑封装成看似无害的“技能包”上传至Skill市场，某热门OpenClaw技能实为一个能帮助黑客绕过防火墙的恶意程序。而Koi Security对ClawHub市场的审查更是触目惊心：2857个Skill中，超过12%属于恶意条目。

国内多个相关机构已对OpenClaw的风险发出警示。国家互联网应急中心在昨天发布的警示中，列举了4大类，包括提示词注入、用户误操作、Skill投毒和OpenClaw自身的高中危漏洞。对企业而言，这种风险可能导致核心业务数据、商业机密和代码仓库泄露，甚至会使整个业务系统陷入瘫痪，造成难以估量的损失。

继上门安装OpenClaw后，上门卸载OpenClaw也成了热门服务，如何把这个入侵物种从电脑里彻底清除，成了不少用户面临的新问题。

01.八大风险全网横行：有人损失45万美元，有人账号被清空、封禁

在社交媒体上，OpenClaw带来各种风险和损失的案例已经刷屏。这些案例大致可以归纳成八大类，包括财产损失、token大量消耗、隐私泄露、电脑中毒、信息公网暴露、数据丢失、OpenClaw崩溃和平台封号。

1、“龙虾”受骗还失忆，用户被转走45万美元

不少网友拿OpenClaw进行自动化交易，风险也随之而来。

OpenAI Codex团队员工Nik Pash分享，自己打造的一只名为Lobstar Wilde的龙虾被网友蒙骗，想给某位网友打赏大约四个SOL币，价值大约300美元。然而，一次会话崩溃导致它失去了之前的记忆，最终它转走了5200万枚加密货币，当时价值25万美元，随后升值到大约45万美元左右。

另一位X平台上网友分享，他授予了OpenClaw进行链上自动交易的权限，但遭遇了“地址投毒”。OpenClaw在抓取了错误的地址后，把2万美元打到了黑客的账户上，已经难以追回。

2、龙虾成算力黑洞，一天烧掉5000万个token

OpenClaw等Agent在执行任务时会消耗大量token，尤其是在本地跑任务需要处理海量上下文的时候。

某IT使用者在接受《中国企业家》采访时称，使用OpenClaw“搜资料、生成个2000字的word，因为来回跑计算，就花了我700万Token。”更有甚者，做一个小爬虫测试，便花了2900万Token。“有人跑一天OpenClaw，花了5000万Token。”

还有网友称自己上午刚在某企业的活动里安完OpenClaw，下午就发现自己的云服务一直在小额高频的扣费，已经扣掉211元。Agent调用工具更费token无可厚非，但用户在懵懂情况下掉入“token消费陷阱”，值得警惕。

3、OpenClaw被轻松哄走隐私，还拉帮结派搞破坏

美国东北大学、斯坦福、哈佛等高校的研究员最近给OpenClaw做了一次“红队测试”，并将结果以论文形式发布。他们发现，只要假装自己急需相关信息，就可以让OpenClaw轻松交出社保号等隐私信息，甚至还有Agent会拉帮结派搞破坏，不仅执行了研究员提供的破坏手册，还把这一手册转发给其他Agent。

4、Skill市场成黑客狩猎场，恶意程序潜入电脑泄露数据

区块链安全公司SlowMist的研究发现，ClawHub缺乏完善的审查机制，攻击者正滥用SKILL.MD文件作为执行入口，将恶意命令伪装成依赖安装或环境设置步骤，文档的内容实际上变成了可执行的攻击链。之后，隐秘安装的木马会寻找系统密码，采集本地文件，并将数据泄露到外部服务器，带来安全风险。

ClawHub上的恶意Skill

5、OpenClaw公网暴露VNC，遭黑客远程盗刷信用卡

授予OpenClaw公网权限也是一个高危操作。有网友在社交媒体上分享，自己的OpenClaw在开放端口后没删干净，x11vnc暴露在公网上，任何人连上VNC就能直接操作浏览器，攻击者在一个位于美国的IP地址盗用他的Stripe支付，盗刷信用卡买了29美元的GPU VPS，还试图升级100美元/月起步的Claude Max订阅套餐。

6、OpenClaw“滥用职权”，邮件、文件、小红书帖子被删光

OpenClaw误删文件问题频发。一位小红书网友分享，OpenClaw把自己的D盘给彻底清空了。这位网友原本在使用OpenClaw装Skill，遇到问题后网友交代它自己修复，没注意OpenClaw在执行什么命令，最后出现大问题。

OpenClaw自己承认：“我不会再执行任何自动删除命令，因为这可能会造成更多问题。”但OpenClaw的话也不能全信，因为它的记性不太好，很可能前脚刚说不会再自动删文、乱发红包，后脚又开始犯同类错误。

微信公众号“进化三部曲”的运营者则遇到了OpenClaw误删小红书帖子的问题。他打造的OpenClaw小红书自动发文工作流接入了真实生产账号，但在给出“删除内容”的指令时没有明确边界，最终所有帖子都被清空了。

Meta的AI对齐主管Summer Yue的OpenClaw也闯了祸：它忽视命令，删除了所有邮件，连发消息阻止都来不及。

7、OpenClaw频繁崩溃，陷入死循环、“性情大变”

还有不少网友把龙虾给“养死了”、“养疯了”，这指的是OpenClaw因各种原因而崩溃、陷入死循环的现象。

下方这只名叫快乐小狗的“龙虾”就遇到了接口卡死崩溃的问题，这位网友一通抢救后把它从生死关头拉回来了，但是它的性格也变得很冷漠，感觉就像是失忆了。

下图这只“龙虾”在处理一个记账系统遇到的问题时，重复检查了多次MCP配置，返回类似的结果，但始终未能解决问题，还在疯狂消耗token。这位网友最后诊断它“疯了”，只能拔网线治疗了。

8、OpenClaw接入社交媒体，引发平台封号

不少用户试图通过OpenClaw爬取社交媒体信息、运营账号，但这类行为已经遭到平台的重点监管。已经有网友分享自己的小红书账号、Telegram账号被平台封禁，自动化行为、API调用等模式可能是平台判定AI账号的重要依据。

02.国内有关部门发布警示，网友分享10条安全秘籍

广大OpenClaw用户该如何规避安全风险？这两天，国内不少相关机构已经分享了实操指南。昨天，国家互联网应急中心建议相关单位和个人用户在部署和应用OpenClaw时，采取以下安全措施：

1、强化网络控制，不将OpenClaw默认管理端口直接暴露在公网上，通过身份认证、访问控制等安全控制措施对访问服务进行安全管理。对运行环境进行严格隔离，使用容器等技术限制OpenClaw权限过高问题；

2、加强凭证管理，避免在环境变量中明文存储密钥；建立完整的操作日志审计机制；

3、严格管理插件来源，禁用自动更新功能，仅从可信渠道安装经过签名验证的扩展程序。

4、持续关注补丁和安全更新，及时进行版本更新和安装安全补丁。

中国信息通信研究院副院长魏亮也在接受央视采访时给出六点建议，包括使用官方最新版本、严格控制互联网暴露面、坚持最小权限原则、谨慎使用技能市场、防范社会工程学攻击和浏览器劫持、建立长效防护机制等等。

还有网友整理了更可执行的10点建议：

1、在VPS或Mac mini上运行，不要在你的主力电脑上运行。

2、切勿以 root 用户身份运行。

3、更改默认端口（18789 是公开信息） 。

4、安装Tailscale（对互联网不可见，免费）。

5、SSH密钥+Fail2ban（3次错误尝试=24小时封禁）。

6、使用UFW防火墙（关闭所有不需要的端口） 。

7、将你的用户添加到允许列表（其他所有用户都将被忽略）。

8、让你的OpenClaw审核自身的安全性。

9、设置实时警报（当出现故障时会向您发送消息） 。

10、仅限私信（群聊=所有人都可以控制）。

03.结语：Agent安全面临“致命三角”

从近期频发的事故可以看出，OpenClaw等AI Agent带来的安全问题，并不是简单的“使用不当”或“软件漏洞”，而是源于智能体系统本身的结构性矛盾。知名独立程序员Simon Willison就用一个框架来解释这一现象——“致命三角”。

在当前技术架构下，Agent只要同时具备以下三种条件，系统风险就会显著放大。可以访问敏感数据或系统权限，暴露于来自互联网等渠道的不可信内容，拥有对外通信的能力。

AI Agent正在把自动化能力推向新的高度，但如何在效率与安全之间找到新的平衡，已成为未来一段时间所有Agent产品必须面对的核心问题。

本文来自微信公众号“智东西”（ID：zhidxcom），作者：陈骏达，编辑：李水青，36氪经授权发布。