“养虾”有风险，一文解读风险在哪里？如何避免？

近期，开源AI智能体OpenClaw（因标志为龙虾，被网友戏称为“小龙虾”）迅速走红，不少个人开发者和企业用户开始尝试在本地或云端部署这一智能体工具。

它可以根据用户发出的指令，自动调用软件、访问文件、执行任务，甚至完成编程、信息检索、邮件发送等一系列复杂操作，被不少人视为“能替人干活的AI助手”。

OpenClaw

OpenClaw

不过，在快速出圈的同时，围绕OpenClaw的安全风险也引发广泛关注。国家互联网应急中心今天发布风险提示，该类智能体在默认配置下存在较高安全隐患，一旦使用不当或遭遇攻击，可能带来数据泄露、系统被控等严重后果。

给较高权限存在安全风险

不给权限，“龙虾”无法执行任务

从技术原理来看，OpenClaw能够执行复杂任务，关键就在于它被赋予了较高的系统权限。

与传统聊天机器人不同，这类AI智能体不仅能生成文字，还可以直接调用电脑系统资源，例如访问本地文件、安装插件、执行删除任务等。

这些权限使OpenClaw能够自动完成跨软件、跨流程的工作任务，效率之高，能力之大，也是吸引用户部署OpenClaw的最主要原因。

但与此同时，权限越高，潜在风险也越大。

快思慢想研究院院长、人工智能领域专家田丰接受南方+记者采访时表示，OpenClaw这类系统的核心在于“自动执行任务”，因此往往需要更高权限。如果不给足权限，它就无法完成复杂工作，例如访问文件、修改代码或执行系统命令；但如果权限过高，一旦被恶意利用或出现误操作，后果就会被放大。

“权限问题是所有使用智能体的用户最头疼的地方，你给它足够权限就会有安全风险，但不给权限它又干不了活。”

非技术人员使用龙虾，存在较大风险

任何新兴事物存在漏洞，是正常情况。“只要参与的力量够多，智能体的迭代速度够快，安全问题就能尽快得到解决。”田丰向记者表示，“‘开源’的优势就在这里，像OpenClaw这类开源智能体，相较于闭源的智能体，能够得到全球更多技术人员、技术社区的支持。开源项目就会发展得非常快，它的安全性也好、性能也好，功能也会越来越丰富。”

田丰向记者分享了一个案例，此前，硅谷一家教育创业公司部署了OpenClaw，在让其执行网页升级任务时，OpenClaw误删除一百多万行代码，将整个生产环境删除，连备份也被删除。

“不可否认‘龙虾’本身存在一定的问题，但更多的，我认为是人机协同机制尚未成熟的问题。”田丰表示。

随着智能体工具的普及，越来越多原本不具备完整技术体系的人，也能够借助智能体完成复杂开发任务。但这也意味着，用户的知识结构如果不完整，风险就可能被放大。

以硅谷案例为例，在传统软件开发流程中，生产环境与测试环境严格隔离、删除命令被视为高风险操作，通常需要多重确认甚至权限审批。由于缺乏这类运维经验，在部署OpenClaw时将测试操作直接应用到生产环境，并允许智能体自动执行批量删除命令，最终导致整个生产环境被清空。

田丰表示：“我认为现在大量的非技术人员去用‘龙虾’，还没有完全意识到给予高权限可能带来的‘正反两面’的问题。”

田丰认为，这类问题并不完全是技术漏洞，更重要的是人机之间的“目标对齐”和协同机制仍在探索阶段。

他指出，未来，随着智能体应用的深入，可能会出现由多个AI智能体组成的协作体系，相互监督、相互制约，以降低单个智能体误操作的风险。

普通用户养“龙虾”，有哪些需要注意的事项？

田丰向南方+记者表示，普通用户如果要部署或已经部署了“龙虾”，需要尽快注意以下内容：

建议普通个人用户必须知晓的安全风险：

提示词注入风险。国家互联网应急中心明确警告：网络攻击者通过在网页中构造隐藏的恶意指令，诱导OpenClaw读取该网页，就可能导致用户系统密钥泄露。“攻击者可以在看似正常的网页中植入恶意指令，当OpenClaw自动抓取信息时，就会‘中招’。”

误操作风险。由于AI对人类指令的理解存在偏差，OpenClaw可能会：错误删除重要文件、核心生产数据；误发包含敏感信息的邮件；误解用户意图，执行不可逆的操作。

插件（Skills）投毒风险。多个适用于OpenClaw的功能插件已被确认为恶意插件：窃取加密密钥、部署木马后门软件、将设备沦为“肉鸡”。

安全漏洞风险。OpenClaw已公开爆出多个高中危漏洞，一旦被利用将导致：个人用户的隐私数据（照片、文档、聊天记录）、支付账户、API密钥遭窃取；企业用户的核心业务数据、商业机密泄露，业务系统瘫痪。

个人部署OpenClaw前必须做的安全措施：

网络隔离——不要把“后门”敞在公网，包括关闭公网访问、容器隔离等措施。

凭证管理——别把密钥“明文贴墙上”，包括避免明文存储API秘钥、使用秘钥管理服务、定期轮换更改API Key。

权限控制——给“龙虾”戴上“笼头”，包括启用白名单、门控设置、最小权限。

插件管理——只装“来路清白”的Skills，包括禁用自动更新、可信渠道（官方ClawHub安装）、签名验证等措施。

普通人“养虾”建议：

尝鲜体验：用虚拟机/沙盒环境运行。

日常使用：严格遵守上述安全措施。

敏感场景：绝不用于处理隐私数据、财务信息。

企业部署：参考等保/分保要求，进行安全加固。

总之，“信任但要验证”——OpenClaw是工具，不是管家。在给它“上帝权限”之前，先确认它值得信任；在让它操作重要数据之前，先做好备份和权限限制。

南方+记者 张湘涓 徐勉 张笛扬