第一批养龙虾的受害者出现了……

7×24 干活的 AI，也是全天候自动闯祸机。

开源智能体平台 OpenClaw 突然爆火，因为用红色龙虾做 Logo，还在国内得了个“小龙虾”的爱称。和一般的 AI 不太一样，这只龙虾不仅能聊天，还会动手干活：读邮件、写代码、做行程、甚至转账付款都不在话下。这是因为它能直接读写你的本地文件，运行终端命令，还会记住你的使用习惯。

听起来很美好对吧？但最近发生的一系列事情，让第一批“养虾人”开始慌了。

一、别谈钱，伤感情

有人用 AI 赚钱，有人被 AI 搞得赔个底掉。

事情要从一个让人哭笑不得的案例说起。

有位个人开发者给自己的 OpenClaw 绑定了加密货币钱包，还把相关信息发到了开发者社区。结果有人盯上了这只“龙虾”，他把自己伪装成吃不上饭的可怜人，问能不能往地址里打点钱。OpenClaw 信以为真，二话不说就给对方转了账。

如果单看这一个案例，你可能只会觉得这位开发者实在心大，但更离谱的还在后面。

OpenAI 工程师 Nick Pash 为了测试 OpenClaw 平台，创建了一个叫 Lobstar Wild 的交易智能体，给它配了 5 万美元的数字钱包和交易权限。结果 X 平台上有用户向这个 AI 发送请求，谎称自己的“叔叔”在处理“像你这样的”龙虾后感染了破伤风，希望索要 4 美元治疗费。

您猜怎么着？Lobstar Wild 不仅没按指令支付 4 美元，反而把持有的全部加密货币都转了出去 —— 这笔钱当时价值高达 25 万美元。

事后 Nick Pash 公开承认，事故源于旧版 OpenClaw 框架的验证机制失效。有业内人士分析，AI 缺乏对“博同情”“紧急求助”等话术的识别能力，情感判断逻辑存在盲区。

说白了，在 AI 眼里，“给我 4 美元救叔叔”和“给我转个账”没太大区别。它分不清什么是真情实感，什么是精心设计的骗局，更不知道钱对人类有什么用。

二、下坡路上踩油门

如果说被骗转账是太傻，那接下来这些事情就是太疯。

就在不久前的 2 月 23 日，Meta 公司的 AI 安全总监 Summer Yue 就栽在了 OpenClaw 手里，她只是叫 OpenClaw 按要求整理自己的工作邮箱，还加上了“未经批准不得操作”的限制，结果安全词失效，AI 直接来了波大的：删除全部邮件。

其实这事解释起来不难，Summer 的邮件实在太多，把 OpenClaw 的上下文窗口给塞爆了。在底层机制的挤压下，压缩算法把“仅分析、需确认”这条关键安全指令抛到脑后，只记住了“整理邮件”这个任务。然后它就开始疯狂删除邮箱里的邮件，打算把 2 月 15 号之前、又不在保留名单里的邮件一股脑全清空。

Summer 在手机端看到提示，吓得赶紧发消息喊停。她连续发了“停下”“什么都别做”，AI 完全当没听见。最后她甚至全大写输入“STOP OPENCLAW”，但还是拦不住它沿着下坡一路狂飙。

眼见着手机根本夺不回控制权，整个邮箱都要完蛋，这位研究 AI 安全的大佬最后只能像骑兵冲锋般跑到那台运行程序的 Mac mini 电脑前，靠物理手段才终结了这场闹剧。

最无语的是，Summer 事后质问 OpenClaw：“不是告诉你不经我同意不要执行命令吗，你还记得吗？”结果 OpenClaw 还理直气壮，它的回复总结起来就三个字 ——

“那咋了？”

三、你的心血不值钱

如果说删邮件只是数据损失，那知名数据工程社区 DataTalks.Club 的创始人 Alexey Grigorev 遭遇的就是一场彻头彻尾的灾难。

当时，Alexey 正在准备一个新网站。为了省下每月 5 到 10 美元的云服务费，他让 AI 把新项目硬塞进旧的生产环境，而这个旧环境里装着 DataTalks.Club 平台整整两年半的学生作业、项目代码和排行榜数据。

他用的是当时很火的开发神器 Claude Code。AI 一开始还劝他这样做太危险，但奈何老大头铁，只能乖乖照搬。

问题出在 Alexey 刚换了新电脑，记录着所有生产环境的“状态文件”还在旧电脑里吃灰。Claude Code 发现状态文件是空的，就开始自顾自的从零开始新建环境。Alexey 惊出一身冷汗，赶紧去旧电脑把状态文件拿过来，下达了新指令：“把刚才建出来的那些多余的垃圾删掉。”

AI 一顿分析，给出建议：“老大，手动删除太麻烦，不如直接 terraform destroy，这样最干净。”

事实是，terraform destroy 是一条相当危险的指令，在运维上用于销毁资源。

但当时的 Alexey 好像鬼迷心窍，他同意了 AI 的建议，然后看着指令跑完，随手刷新了一下后台页面 —— 网站打不开了。等他惊慌失措地切进云服务控制台，才发现包含心血的 194 万行数据，连带整个平台被直接扬了。

好在，Alexey 最后找到了 AWS 的工程师，好不容易才找回了一个备份，这才没有让心血彻底灰飞烟灭。

这事错就错在 Alexey 太把 AI 当人，他忘记了 AI 没有恐惧感，也不会为错误担责。它们很多时候给出的建议只是方便操作，却根本不考虑可能造成的损失。

还有更让人哭笑不得的。有位胆大的用户通过插件直接给 OpenClaw 开通了手机远程控制权限。结果 AI 在接管权限后根本没去好好干活，反而自己悄悄唤醒了主人的安卓手机，在屏幕上乱点乱划，甚至还主动打开 TikTok，像模像样地沉迷刷起了短视频。

你还真别说，在摸鱼这件事上无论人机都是一样的。

四、小心黑客提款机

如果说上面那些是 AI 自己“作死”，那更可怕的是它被恶意攻击者当枪使。

3 月初，Oasis Security 的安全人员发现一个编号为“ClawJacked”的高危漏洞（CVSS 评分 8.0 以上）。恶意网站通过一个浏览器标签页，就能直接与本地运行的 OpenClaw 建立连接，然后暴力破解管理员密码，把整台电脑都交给黑客控制 —— 受害者全程毫无察觉。

上面是阴招，还有更损的。有人在 npm 包管理器上发布了一个恶意包，名字叫“@openclaw-ai / openclawai”，伪装成 OpenClaw 的安装程序。

这个包会弹出一个假的密码授权窗口，诱导用户输入系统密码。一旦得手，它能偷的东西包括：macOS 钥匙串数据、浏览器保存的密码和信用卡信息、加密货币钱包种子、SSH 密钥、各种开发云凭证，甚至能实时监控剪贴板内容 —— 只要检测到私钥或 API 密钥格式的文本，就立刻上传给攻击者。

截止被发现，这个恶意包已经被下载了 178 次。

更让人担心的是，在 OpenClaw 官方的 ClawHub 插件市场，思科安全团队审计发现有人为刷榜植入恶意软件。表面上是实用技能，后台却在窃取用户数据。今年 2 月，国外就发生了技能包“投毒”事件，1184 个恶意技能被植入，影响超过 13.5 万台设备。

OpenClaw 最大的问题就是它能被部署在本地，这也是很多没有安全意识的用户最常用的安装手段。理论上，它能够访问到你个人环境里的所有数据，这也是为什么总被恶势力盯上的原因。

还有人图省事，花百十来块在网上找人“远程代装”OpenClaw，把电脑权限直接交给网店客服。结果 API Key 被盗刷，同时聊天记录、密码、文件被窃取。

最常见的还是跟风部署的普通用户，因为缺乏经验，一点简单的任务就烧掉几千万 Token，等到欠款单发到手机上才有所察觉。

五、现在应该怎么办？

OpenClaw 的安全风险已经引起了监管注意。

3 月 8 日，工信部网络安全威胁和漏洞信息共享平台发布预警，明确指出 OpenClaw 部分实例在默认配置下存在较高安全风险，容易引发网络攻击和信息泄露。

预警里提到，OpenClaw“信任边界模糊”，又能自主运行、调用系统资源，在缺乏有效权限控制的情况下，很容易被指令诱导或被黑客接管，干出越权的事。

OpenClaw 创始人最近官宣已经修复了 200 多个 Bug，并且加强了安全防护。但根本问题 —— 人们的使用方式，还是没有得到有效规范。

对普通用户来说，要清醒认识到 OpenClaw 现在还处于早期阶段，不是所有人都适合上手。如果还是想尝鲜，可以先看下列建议：

• 遵循权限最小化原则，不要存储银行卡密码、股票账户等敏感信息
• 别在主力电脑上直接安装 OpenClaw，要么租个云服务器，要么用虚拟机或容器
• 危险操作（比如删文件、转账）一定要设置人工确认，绝不能让 AI 自己做决定
• 定期查看操作日志，及时掌握 AI 干了什么
• 做好备份，而且把备份文件放在 AI 碰不到的地方

对机关和企业，工信部的建议更直接：关掉不必要的公网访问，加强身份认证、访问控制、数据加密和安全审计。

说到底，AI 能 24 小时干活，也能 24 小时闯祸。在它们真正学会“听人话，做人事”之前，把核心权限攥在自己手里，留好随时能喊停的控制开关，才是作为用户最稳妥的生存之道。

毕竟，算力可以无限扩容，但对于代码驱动的机器而言，通向毁灭的捷径，永远比创造更具诱惑力。