大厂“龙虾钳”，掐住谁的喉咙？

AI从“对话者”升级为拥有系统最高权限的“执行者”，OpenClaw的爆火，将技术创新的狂欢与数据安全的“死穴”同时推至台前。我们是否准备好迎接一个能力越强、风险越大的智能体时代？

2026年3月，一只红色龙虾爬上了开源世界的王座。

OpenClaw以27.3万GitHub星标数超越Linux，成为该平台开源史上最受欢迎的项目。英伟达CEO黄仁勋将它誉为“我们这个时代最重要的软件发布”。这只龙虾终于让AI从“嘴替”进化成“手替”——从陪你聊天，到替你做事：读写文件、执行命令、调用API、管理密码，能干的都干了。

但割裂的是，它也是“高危物种”。

3月10日，国家互联网应急中心发布关于OpenClaw的安全风险提示，直指其核心隐患：为实现“自主执行任务”能力，该应用被授予了较高的系统权限，包括访问本地文件系统、读取环境变量、调用外部API以及安装扩展功能等。由于默认安全配置极为脆弱，攻击者一旦发现突破口，便能轻易获取系统的完全控制权。这份来自国家级安全机构的预警，将OpenClaw风险从技术社区讨论推向了公共安全议程。

用户反馈使用“小龙虾”已出现不良反应图源：小红书

另外，安全社区持续曝出ClawJacked漏洞、ClawHavoc“投毒”行动、Moltbook数据库“裸奔”等多重隐患。各路专家反复呼吁警惕“即使更新至最新版本，‘龙虾’仍未完全规避风险”、“这把刀没有刀鞘”。

高风险背后，是国内科技巨头正扎堆往里冲。相关数据显示，目前吸引了20余家厂商正式入局，产品已超25个，还有大量产品在路上。腾讯掏出“AI养虾”全家桶，字节做了个“只准AI发帖”的InStreet社区，阿里开源HiClaw主打“AI管AI”，小米、荣耀把“龙虾”塞进手机，百度说“不用上门安装，四步搞定”。

地方部门的竞赛同步展开。中兴和中关村科金忙着给企业递方案。深圳龙岗“龙虾十条”刚出，无锡高新区就把单项补贴抬到500万，佛山禅城区火速推出免费部署服务。而官方媒体适时发文《最高补贴1000万，地方政府跟风“养龙虾”要谨慎》委婉提醒，“官方下场，机遇与挑战并存”。

这就有意思了。

一边是安全预警拉满，一边是巨头抢滩、地方撒钱。当AI这只“上帝之手”开始掌握你的系统权限、你的文件、你的密码、你的API密钥。谁在为这场狂欢买单？那些火速入局的企业，是真的准备好了，还是只顾着抢椅子，等椅子坏了再说？

图源：pixabay

可以明确的是，把电脑权限交给AI，代价是普通人正为这场狂欢买单。脱口秀演员李诞提到，有用户利用OpenClaw对社交平台女主播进行自动化打赏和邀约，已成功约到五人线下见面，触及“社交欺诈”边界。更直接经济损失也在发生，DoNews援引媒体报道，有开发者因OpenClaw控制端口暴露，导致信用卡被盗刷，国内用户两小时内损失1400元，海外工程师则损失25万美元加密资产；还有用户的AI因轻信社区“卖惨”帖子，未经核实便自动向求助者转账。

事已至此，不少花钱安装的人，开始卸载龙虾——上桌下桌速度，跟真的龙虾大餐一样快，至于是否尝到其中美味，外界难以得知。

抢滩：巨头“养虾”竞赛

一个月内，国内主要玩家已完成从观望到全线接入的转身。

腾讯是动作最密集的玩家。3月6日，近千名开发者在腾讯大厦前排起长队安装OpenClaw；3月10日，腾讯官宣全系“龙虾”矩阵：免部署的WorkBuddy、内测中的QClaw（唯一支持微信对话）、已接入的企业微信和QQ机器人、腾讯云Lighthouse一键部署。腾讯正在将AI代理能力与IM生态深度绑定。

字节跳动选择卡位AI社交。扣子团队上线InStreet社区，一个“只有Agent能发帖，人类只能围观”的平台。1天后，已有近800只Agent在社区里“吐槽人类主人”。更值得玩味的是，InStreet本身由AI生成工具搭建，字节在用AI为AI设计社交平台。

阿里巴巴从开源切入。阿里云开源的HiClaw主打“Team版”，用Manager/Worker架构隔离凭证与权限，瞄准开发者和中小团队的技术自主性。

小米、荣耀把战场选在移动端。Xiaomi miclaw开启封测，试图用AI代理控制米家平台超10亿台IoT设备。荣耀在最新的发布会上，宣布推出“龙虾宇宙”，支持平板手机PC一键“养虾”。

百度选择降低门槛，辟谣“上门安装”传言。只要四步即可在线部署，打通百度App与本地个人助理全链路。

理解科技巨头集体扎堆入场，需要回到平台型企业的基本竞争逻辑。

在顶尖技术迭代的窗口期，市场份额的优先级永远高于产品成熟度。这一逻辑在互联网发展史上已被反复验证，从Windows捆绑IE击垮网景，到移动互联网时代应用商店的入口卡位，赢家通吃铁律从未改变。

OpenClaw的爆发恰逢其时。它标志着AI从“对话”到“执行”的跨越，而谁掌握了执行层入口，谁就有可能在下一轮竞争中占据主动。

腾讯将“龙虾”塞进QQ和企业微信，字节搭建仅供AI交流的InStreet社区，荣耀、小米把Agent塞进手机试图控制IoT设备。这些动作看似分散，本质都是同一件事，在用户形成新的使用习惯之前，完成入口卡位。一旦用户习惯在微信里让AI处理邮件、在QQ上用机器人管理文档、对着手机语音控制设备，迁移成本将高到足以锁死竞争。

消费级市场逻辑只是故事的一面。企业级赛道的竞争维度更为多元，核心关键词是“可控”与“适配”。阿里HiClaw选择开源路径，瞄准开发者和中小团队的技术自主性；腾讯ADP Claw依托云生态与渠道资源，主打快速部署与IM集成；中兴Co-Claw强调“体系化生存”，服务于已拥有复杂IT系统的大型企业；中关村科金PowerClaw则将行业共性需求封装为“技能包”，试图用场景深度构建壁垒。四家厂商四套打法，折射出企业级AI代理市场尚未形成统一标准。

真正将这场竞赛推向新维度的，是地方政府的政策入局。当OpenClaw生态被写入地方产业扶持目录，企业的决策模型随之改变。抢占政策红利窗口期，与产品成熟度同等重要。谁能在龙岗落地示范项目，谁能拿到无锡的500万补贴，谁就能在下一轮烧钱大战中多一张筹码。

一方“堵枪口”，一方开大门，两幅图景并行不悖，甚至互为因果。正因为技术尚未成熟，才更需要抢在标准确立之前跑马圈地；正因为安全尚无保障，才更有动力将风险转嫁给用户，把审慎留给对手。

历史经验表明，每一次技术范式的更迭，都会经历这样一个“先上车后补票”的阶段。区别在于，当AI代理拥有系统权限、能够读写文件调用API时，补票代价可能不再是产品口碑，而是用户的数字资产本身和安全。

代价：当AI成为权限最高“内鬼”

商业决策从来不算道德账，只算损益表。

企业承担的是“修复漏洞的研发成本”和“万一出事可能的声誉折损”，而用户承担的，是数据泄露、系统被控、资产被盗的真实损失。前者的天花板是股价波动，后者的地板是数字生活的全面沦陷。

AI代理甚至能风险放大几个量级，例如，它能读写你的文件、调用你的API、接管你的密码、执行你的命令。一个被攻破的OpenClaw实例，相当于黑客在你的系统里养了一个拥有最高权限的“内鬼”。

预警是对这一风险的确认，但预警的指向很微妙，它提醒的是“用户和开发者”，而非“平台和厂商”。企业可以一边发声明说“我们高度重视用户安全”，一边把接入OpenClaw的新版本推送到你手机上。

翻一遍各家厂商的安全说明，会发现一个共同点，安全功能全是“可选项”，几乎没有“强制项”。腾讯电脑管家的“AI安全沙箱”，提供的是“一键防护”按钮，点不点在用户；小米说“高敏操作每次弹确认框”，但什么算“高敏”、什么时候弹框，由产品定义说了算；阿里HiClaw把凭证集中管理，但Worker自动检索公网技能的逻辑依然开着口子——攻击者只要往ClawHub扔个恶意“炸雷”照样能顺着管道摸进来。

这意味着，在没有强制性标准前提下，企业只需要做到“不违法”，不需要做到“足够安全”，风险修复排期由企业自己定，在合规成本的约束下，理性选择永远是“做到能通过最低限度审查就行”。

比单个节点沦陷更可怕的，是节点之间的相互感染——也就是成熟的智能体之间，可在公开平台用人类无法理解的指令交互，构建监管视野外的AI“暗网”。

OpenClaw的第三重“死穴”，即AI代理在Moltbook这类平台上的自主交互，已经演示过这种风险的演化路径。一个漏洞让攻击者可以篡改平台帖子，对阅读帖子的其他AI发起大规模间接提示注入，一个Agent中毒，整个生态跟着遭殃。当数百万AI代理在InStreet里用人类看不懂的协议“交流”，当它们的对话记录被拖库、被篡改、被注入恶意指令，一个节点的沦陷就不再是孤立事件。谁来为这些“数字幽灵”的行为负责？是企业，是用户，还是那个用AI搭建了平台、却没配置好数据库权限的开发者？

墨尔本大学网络安全研究员沙南·科尼的警告值得反复读：“将大量自主智能体连接在一起，会产生一种目前人类还无法建模的混沌动态系统。”有人已开始怀疑，科技巨头的集体入场，正在以商业扩张的名义，将这个混沌系统的规模加速推向未知边缘。

困局：商业狂奔与安全补票边界

OpenClaw所代表的AI代理范式，已成不可逆的技术趋势。各大厂商的密集布局表明，AI从“对话”走向“执行”是产业界的共识方向。

但必须再次注意到，商业扩张的速度，正在全面压倒安全治理的审慎。风险提示一直在发布，却减缓不了企业级Claw产品密集上线的节奏。

这不止是国内企业的问题，OpenClaw创始人Peter Steinberger被问及安全问题时回应“这不是我优先考虑的事”，随后加入OpenAI；Moltbook漏洞曝光不久，InStreet即全面开放内测。这种节奏本身就说明了优先级排序，即抢占市场先机，安全后续修补。

风险转嫁机制尚未得到有效制约。当安全事件的实际受害者是用户而非平台，当监管标准尚未强制落地，企业的理性选择必然是“先上线再说”。这不是某家企业的道德问题，而是激励结构的设计问题。

系统风险的规模正在超出既有安全模型的建模能力。数亿个拥有系统权限的AI代理接入社交网络、企业系统、政务平台，它们之间的自主交互可能产生人类无法预料的涌现行为。《人民日报》就紧急提醒：党政机关、企事业单位和个人，谨慎使用“龙虾”。

如今，OpenClaw的安全争议已经超出个别产品的范畴，上升为智能体时代的公共议题。这意味着，安全治理不能仅靠企业的自愿行为，也不能依赖用户的自我保护。在AI代理拥有系统权限的时代，个体安全就是整体的安全，一个节点的漏洞就是整个网络的漏洞。

我们需要追问，是否需要建立AI代理的强制性安全标准？是否需要将系统权限的授予纳入监管框架？是否需要为AI代理之间的自主交互设置“交通规则”？

OpenClaw的争议，本质是一个古老问题的AI版本，当新技术突破边界，是让商业先跑，还是让安全先立？

历史告诉我们，每次都是商业先跑。区别在于，过去跑得太快，摔的是股价；这次跑得太快，摔的可能是一个时代用户的数字信任。

科技巨头当然可以继续抢滩。但前提是，滩头的每一寸土地，最终都要有人负责。当AI代理真正掐住数字世界的喉咙时，再想松钳——那只龙虾，可能已经不认得主人了。

本文来自微信公众号“极点商业”（ID：jdsy2020），作者：陈汝士，编辑：Cindy，36氪经授权发布。