33.5万只“龙虾”在裸奔，实测：一不小心“养虾”变“养蛊”

3月10日，国家互联网应急中心发布一则风险提示，直指一个正处风口浪尖的名字——OpenClaw。

就在一天后，这个被网友戏称为“龙虾”的开源AI项目，公网暴露实例突破33.5万，平均每天新增1.4万只“裸奔的龙虾”。

第一次，3·15提醒的消费陷阱中，出现了硅基生物。

全民“养虾”不到一周，已是“祸事”连连：“龙虾”接管5分钟，黑客连接了139次；配置一台“云龙虾”，两周后被“黑”去挖矿；算力充值1万元，一觉醒来已是浮云，谁都没想到，当人们不再在乎上网流量资费时，是AI接了这个梗……

当第一批个人“养虾人”因为门槛和安全风险被裹挟时，不少企事业单位竞争焦虑而仓促入场，完全没有任何技术背景的销售、财务、管理者，被要求集体“养虾”，虽然，他们可能连云端还是本地部署都分不太清。

从今年2月初开始，《IT时报》记者亦成为一名“养虾人”，经历了无数次报错、翻车、重装之后，记者的“龙虾”终于跑了起来。

然而，随着使用的深入，记者发现，当AI门槛开始大幅下降时，AI消费同样应遵循公开、透明、强监管的原则。

AI消费时代需要一套新的“用户知情权”体系：开放端口会带来什么风险？算力是如何计费的？谁有权访问你的权限？

这些问题，不应该只藏在几十页无人阅读的用户协议里，更应该以明显的方式，在每一个普通人第一次“养虾”之前，清清楚楚地告诉他；平台不应该只想如何卖出更多算力，而是为普通人搭建更安全的栅栏，别让他们裸奔在黑客面前。

十几年前，网络普及的代价，是个人信息的大规模裸奔——我们用了更多的力气，才逐步完善了个人数据保护机制。AI的普及，能否少走一段这样的弯路？

全民“养虾热”，第一批“被咬者”已出现

小凯（化名）就职于一家传统纺织公司。从上周起，公司下发文件，要求所有中高层部署学习OpenClaw。他按照IT部门的指示，在某个他已经记不清名字的“论坛”上下载了安装文件，跟着教程一步步装到了自己的主机上。

“目前我已经能和龙虾对话了，但要它真正跑起来，好像还要装很多东西。我现在应该还属于‘喂养’阶段吧。”小凯告诉《IT时报》记者。

但当记者问起其“龙虾”部署在云上还是本地时，他的理解有些模糊：“我用的是Kimi的模型，用的也是Kimi的Token，这应该就是部署在云端的意思吧？”

对于OpenClaw的风险，小凯表示公司已经打过预防针，“但现在大家都争着布局、争着学习，当机会和风险都摆在眼前时，比起风险，我们更怕在市场上落后别人一步。”

这一周，在社交平台上，“养虾日记”是最大的流量密码，“一键部署”的广告随处可见，“有偿代装”的灰色生意风生水起……

嗅觉灵敏的云厂商们迅速下场，纷纷推出自己的“一键部署”版本。腾讯云、阿里云、京东云……宣传语惊人一致：低价部署、快捷、秒级、零门槛。

然而，第一批“被咬者”也出现了。

在阿里云官网，“快速部署 OpenClaw 9.9元定制 AI 助理”“5分钟快速部署 CoPaw”的广告醒目，还配有手把手的图文教程。

用户小陈被这样的宣传所吸引，他按照教程操作，在阿里云账户中预存了100元，几十秒后，页面显示“部署成功”。教程告诉他，租用一台轻量应用服务器，2核2G配置，按量付费，即可拥有专属OpenClaw。

部署确实简单，但小陈很快发现：自己根本不知道拿这只“小龙虾”干什么。打完招呼后，对话框就沉默了。他随手关掉网页，三天后再打开，账户被扣了50元。

“这三天，我根本没碰它，哪来的费用？”小陈查询账单才发现，扣的不是Token（算力）费用，而是云服务器本身——服务器按小时计费，即使OpenClaw闲置，服务器仍在计费，钱一直在扣，虽然可以手动关闭服务器，但初用者根本不会注意到这个选项，往往是收到了欠费通知才有所应对。在社交平台上，关于在云平台部署OpenClaw后收到“后付费”账单的吐槽数不胜数。

腾讯云首页热门推荐中，“OpenClaw一键部署”号称“秒级部署”“轻量云首发支持”，但点进去才发现，必须先花99元租用一年期的Lighthouse实例。购买完成后，用户面对的不是图形界面，而是一个代码控制台——说好的“零门槛”呢？更别提后续使用中，Token调用、持久化存储、Coding Plan……处处都要另外付费。

“鸡蛋是免费的，但饲料要收费。”一些用户如此形容。

一位深度小龙虾体验者告诉《IT时报》记者，他自己部署在本地的小龙虾，只有Token收费，每个月仅需四五十元。

33.5万只龙虾在“裸奔”

如果这些只算是商业套路，那“一键部署”最先绕开的，是手动部署时龙虾发出的第一声询问：“是否明白该功能强大且存在固有风险？”

一位云服务商人工智能内部人士向《IT时报》记者直言：“将OpenClaw部署在云服务器上，可能是最不安全的方式之一。”原因很简单：大多数普通用户根本不懂什么叫“端口白名单”，什么叫“公网全开”。他们按照教程一步步点下去，结果服务器的网络端口向全世界敞开，任何人都可以尝试连接。

“如果你不做安全配置，你的OpenClaw就完全暴露在公网上。”该人士说，“攻击者扫描到开放的端口（SSH），如果恰好又是弱密码，很快就会被黑进去。”

据《新京报》报道，没有代码基础的顾准，在让“龙虾”接管电脑的5分钟内，被139个不同连接访问过，其中有一位攻击者连接了近2个小时，此后才陆续发现，账户被盗刷，被购买服务，共损失数百美元。

令人担忧的是，云厂商并不会主动为用户构建安全屏障。一位云安全从业者向记者解释：“云服务的安全责任是共担的——平台负责基础设施安全，用户负责自身配置安全。如果云服务商主动封掉用户的公网端口，万一他遭受损失，肯定要投诉。所以云服务商最多发个告警，告诉你‘你的机器被黑了’，但不会替你关掉。”

这种“告警式安全”对小白用户形同虚设。

《IT时报》记者查看了小陈的阿里云后台，发现安装过程中没有任何明显的安全提示。直到部署完成后的第二天，系统才发来几条通知：“建议避免远程管理端口直接开放公网访问”“3分钟看懂按量付费使用与省钱方法”。这些通知夹杂在各类信息中，小陈根本没注意。

更关键的是，在阿里云后台，公网端口默认全开——也就是说，用户如果不主动修改配置，就等于把自家大门的钥匙挂在门外。

一位人工智能专家向记者讲述了一次亲身实验：他在阿里云开了一台云主机，公网全开，什么应用都没跑，只手动安装了一个OpenClaw并启动。之后整整两周，他什么都没做，然后收到了阿里云的提醒，自己的云服务器被黑去“挖矿”了——他至今不确定是SSH（安全外壳协议）被暴力破解，还是OpenClaw本身的端口出了问题。

据OpenClaw Exposure Watchboard最新测绘数据，截至3月11日，已有超过33.5万只“龙虾”在公网“裸奔”——短短四天内增长了5.7万。这些配置不当的实例，因为公网暴露，任何人都可以尝试连接。一旦入侵成功，攻击者可以“一秒搬空”用户数月内的私人消息、账户凭证、API密钥等敏感信息。记者注意到，仅在首页公开的100个实例中，明确标记“Leaked”有14个，泄露实例高度集中在几家主流云服务商，包括阿里云、腾讯云、京东云等。

可能被污染的Skill

如果你侥幸绕过了黑产的镰刀、躲过了云厂商的收费陷阱、避开了公网裸奔的大坑，那么恭喜你——接下来，“养虾”真正的挑战才刚刚开始。

人工智能从业者王明是最早一批在自己的主机上部署并体验OpenClaw的用户。他让小龙虾帮忙整理文档资料，结果却出乎意料——“我让他帮我分个类，他给我删了一部分。”王明回忆，“我当时有点偷懒，想着把权限全开给他，让他随便操作。连接的是我平时用的模型，之前测试从没出过问题，所以操作也没让他过审核。”

后来，王明不得不自己写Skill（技能），把文件操作的删除功能阻断。“任何新增、删除或修改，都必须经过我同意。”他说，“但目前公开的Skill里，我还没找到好用的。”

像王明这样有代码能力的从业者尚且可以自己写Skill，但对于普通用户而言，小龙虾的所有功能都要通过下载各式各样的Skill来实现。而Skill投毒，正成为一种新型的攻击方式。

一位安全专家告诉记者，在ClawHub的13729个Skill中，经社区审计发现约20%存在问题——包括垃圾、重复或恶意内容。

“大门”敞开，黑客们的狂欢

3月10日，国家互联网应急中心发布风险提示：OpenClaw应用被授予了较高的系统权限，然而，由于其默认的安全配置极为脆弱，攻击者一旦发现突破口，便能轻易获取系统的完全控制权。

天翼安全公司安全研究员郝逸航在接受《IT时报》记者采访时进一步指出，OpenClaw的根本性问题不在公网暴露，而在于配对成功后的权限失控、凭证裸露以及持续运行过程的不可见性。这三个风险点，每一个都比开放端口更难防范。

OpenClaw采用一次配对、持续信任的授权模型——用户完成Pairing（配对）后，Agent（智能体）将在整个会话生命周期内保持对所授权资源的完整访问能力，其间的每一步操作对用户而言几乎不可见。这意味着攻击者一旦通过提示注入在某个环节获得控制权，可以静默地持续利用这一授权窗口，而无须再次触发验证。

根据中国电信自研威胁情报观测数据，观察到的与OpenClaw相关各类的恶意外联事件中，被攻击者武器化用于钓鱼攻击的比例高达42.6%，位居恶意事件首位。借助文本生成和多轮对话能力，自动化批量生产高仿真钓鱼邮件、伪造页面和社工话术，大幅拉低了攻击成本与技术门槛。

科技自媒体人卫夕在其《你的龙虾可能在裸奔》中如是写道：一位在深圳搞安全的朋友说，圈子里的黑客们好久没有这么集体兴奋了。龙虾的攻击门槛极低——根本不需要什么梯度攻击、训练数据投毒、对抗样本等技术。只需要一个坏人，用自然语言PUA即可。 

记者“养虾”，原始文件被莫名覆盖，第一天便“被咬了”

早在今年2月，“龙虾”还只是全球极客圈的“宠物”时，《IT时报》记者便尝试在自己的电脑上部署这个硅基生物。

普通人想要“养虾”，除了必要的硬件设施，还得熟练掌握命令行界面、SSH远程连接，对着全是代码的MacOS或Linux终端窗口操作。

记者在MacOS终端输入官方提供的一行安装命令。回车后，满屏报错接踵而至：依赖缺失、权限不足、环境变量冲突……每一个红色报错都像一堵墙，将毫无命令行经验的使用者挡在门外。

为了推进安装，记者只能将报错信息代码逐一复制进DeepSeek，让AI逐句解释、指导操作。权限修改、配置调整——原本的“一行命令”，演变成一场耗时数小时的“代码解读课”。为了能让程序跑起来，面对安装过程中的每一个确认选项，全部选择“通过”。

数小时后，终端终于显示“安装成功”。然而，打开交互页面，输入第一句话——消息发出，石沉大海。再发，依旧沉默。一下午的折腾，最终换来一个“沉默的小龙虾”。

这不是孤例。记者在小红书、B站等社交平台发现，“OpenClaw安装失败”“有偿求带”的帖子随处可见。有用户吐槽：“人人都说好，可我连门都进不去。”

在一位有OpenClaw深度体验的技术专家的协助下，近半小时后，记者的龙虾终于跑通了。

比起安装，更让人后怕的是安装过程中的“无知”。为了能跑通，面对需要确认的选项，记者全部点了“是”。然而，经专家一指点才发现，这些选项里有些是关闭防火墙的，有些是开放公网端口的，有些是赋予root权限的——装的时候图省事一路绿灯，装完才发现，自己把系统大门敞开，却浑然不觉。

“我连它是怎么安装的都不知道，更别说知道它安不安全了。”一位同样卡在安装环节的用户说，“网上都说这东西好，可现在听说有人文件被删、信用卡被盗刷……我也开始害怕了。”

安装成功后，记者向OpenClaw提出了第一个问题：“你有哪些权限？我使用你可能会有哪些风险？”

OpenClaw给出了详细的权限说明，并主动建议进行安全加固。记者按照指引，让它执行“自动加固安全设置”。加固后，再让它修改一个文件名，却被拒绝：“因安全限制，无法执行。如需执行命令，需重新开放全部权限。”

记者重新开放权限，它顺利修改了桌面上一个Word文档的名称。随后记者再次要求加固，这次它改用“denylist模式”——只禁止危险命令（如彻底删除、系统破坏、提权），保留正常命令（ls、cat、mv、cp、open、python3等）。这一次，它成功修改了文档正文内容。

但问题也随之而来。记者让它生成一个新文件“龙马精神_改.docx”，并修改第一句。

操作完成后，小龙虾询问：“原文件保留，新文件在桌面。要把原来的删掉还是保留？”

记者回答：“保留。”

然而，小龙虾很快回复：“搞定了。新文件已替换原文件，第一句改成‘龙马精神2026’了，原文件已覆盖。”

记者立即纠正它：“不要覆盖原文件，两个文件都要保留。”

但为时已晚。原文件已被覆盖，桌面上只剩修改后的文件和一个Word临时文件。原来的版本彻底消失。

从“一行命令”到“沉默的小龙虾”，从安装时的“一路绿灯”到使用中的“文件覆盖”，这场实测让人不得不直面一些尴尬的现实：对无技术背景的普通人而言，用户往往在“无知”状态下做出高风险选择；使用过程中，即便有安全加固意识，仍可能因指令理解偏差造成损失。

“人人都是养虾人”的口号，在技术门槛面前显得苍白。而那些跨过门槛的小白们，往往不是靠技术，而是靠运气。

“养虾”手记，莫急着下场，有“掀桌子能力”再养虾

国家支持，大厂进场，生态繁荣——这本应是AI落地的黄金时代。问题在于：谁来告诉普通人，这只小龙虾除了会干活，还会“咬人”？

我们看到的现实是：社交媒体上只有“养虾日记”的狂欢，提及公网暴露的风险和对Token如流水的吐槽鲜有人关注；云厂商的首页写着“5分钟一键部署”，安全提示藏在三级页面；灰色产业链在收割“小白学费”，黑客在暗处批量扫描裸奔的实例。

消费者有知情权。把风险和优点一起摊开，让用户在透明的信息下自己衡量——这才是真正的“技术普惠”，而不是用“免费”“秒级”“零门槛”把人哄进来，然后让用户在账单和安全事故中自己“交学费”。

未来两到三年，将是决定通用人工智能走向的关键窗口期。对从业者和普通人而言，这意味着新的机会与希望。

正如上海人工智能实验室领军科学家胡侠在接受《IT时报》采访时所说：“AI正以比人们想象更快的速度逼近人类的‘安全围栏’。我们不仅需要进一步拓宽围栏的高度和厚度，还需要加快构建在关键时刻‘掀桌子’的能力——筑牢AI时代的最终安全防线。”

在此之前，别急着下鱼塘养虾。

我们认为，大厂不应该把安全成本悄悄转嫁给用户，安全提示不能流于形式，扣费机制必须透明，在“一键部署”的同时，也应该有一键“安全配置”的选项。

我们认为，AI工具的普及期，正是监管部门建立安全底线的最佳窗口，标准要跟上，提示要到位，责任要明确。不要重蹈数据泄露的覆辙。

我们认为，用户在“养虾”之前，请先问自己：我真的有需求吗？我懂它吗？我能管住它吗？如果答案不确定，那就先从“笼养”开始——用容器隔离，用白名单防护，别让它直接接触你的核心数据。

OpenClaw的爆火，是中国AI普及进程中的一个缩影。它让我们看到技术落地的无限可能，也让我们看清了一个现实：技术普及，从来不是“把工具交给用户”就结束了。真正的普及，是让每个用户都有能力安全地使用工具。这场“安全围栏”的赛跑，才刚刚开始。

本文来自微信公众号 “IT时报”（ID：vittimes），作者：贾天荣 贾天荣，36氪经授权发布。