“养龙虾”的第一批受害者出现了！有人专门花钱卸载……

近日，互联网上掀起一股“养龙虾”热潮。

由于开源AI智能体工具OpenClaw图标是一只红色龙虾，被大家称为“龙虾”。它通过整合调用通信软件和大语言模型，在用户电脑上自主执行文件管理、邮件收发、数据处理等复杂任务。

A surge of interest in the open-source AI agent tool OpenClaw has raised growing concerns over privacy and cybersecurity risks, prompting authorities to issue warnings about potential vulnerabilities.

Online users have nicknamed the tool "lobster" because its icon resembles a red lobster. The agent can autonomously handle tasks such as file management, email processing and data analysis.

然而，“养龙虾”也存在不少风险和隐患。

3月11日，相关话题#第一批养虾人已经开始卸载了#登上热搜，引发网友热议。有网友反馈，“养龙虾”过程中，出现了乱删邮件、隐私泄露等问题。

“养龙虾”带来的隐私与安全风险，正持续引发网友担忧。

However, the trend has also raised concerns. On Wednesday, the topic "the first batch of lobster users has begun uninstalling" trended online after some users reported issues such as accidental email deletion and possible privacy leaks.

据蓝鲸新闻，OpenClaw爆火后，也带火了二手交易平台的“龙虾上门安装服务”。然而，近日，上门卸载又迅速成为新的热门业务。

The tool's sudden popularity has also spawned new services on second-hand trading platforms, where technicians offer "on-site installation". "On-site uninstallation" services have also become popular as users grow more cautious.

官方发布风险提示

2月5日，工业和信息化部网络安全威胁和漏洞信息共享平台监测发现OpenClaw开源AI智能体部分实例在默认或不当配置情况下存在较高安全风险，极易引发网络攻击、信息泄露等安全问题。

Authorities have also issued risk alerts. On Feb 5, a platform under China's Ministry of Industry and Information Technology warned that some instances may face cyberattack and data leak risks due to weak configurations.

3月10日，国家互联网应急中心再次发布关于OpenClaw安全应用的风险提示。

提示称，OpenClaw默认安全配置脆弱，易被攻击者获取系统完全控制权，目前已出现提示词注入、误操作、功能插件投毒、安全漏洞四类严重安全风险。

On Tuesday, the National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT/CC) said weak default settings could allow attackers to gain full system control, citing risks such as prompt injection, unintended operations, malicious plugins and software vulnerabilities.

如何安全“养龙虾”呢？

专家建议，从以下几方面来安全使用“龙虾”智能体：

Experts have suggested several measures to reduce potential threats when using such AI agents.

第一，使用官方最新版本。

在部署时，要优先从官方渠道下载最新稳定版，并开启自动更新提醒。在升级前备份数据，升级后重启服务并验证补丁是否生效。切勿使用第三方镜像或旧版。

第二，严格控制互联网暴露面。

一定不要将“龙虾”智能体实例暴露到公网，并且限制访问源地址，使用强密码或证书、硬件密钥等认证方式。

Users are advised to download the latest version from official sources, enable updates and back up data before upgrading. They should also avoid exposing instances to the public internet and use strong authentication methods.

第三，坚持最小权限原则。

在部署时，严禁使用管理员权限的账号，只授予完成任务必需的最小权限，对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。

Experts recommend following the principle of least privilege by granting only the permissions necessary for tasks and requiring confirmation for sensitive operations.

第四，谨慎使用技能市场。

ClawHub是专为“龙虾”智能体用户提供技能包的社区平台，其中的技能包存在恶意投毒风险，建议审慎下载，并在安装前审查技能包代码，拒绝任何要求“下载zip”“执行shell脚本”或“输入密码”的技能包。

They also warn that skill packages on community platforms may contain malicious code, urging users to review them carefully before installation.

第五，防范社会工程学攻击和浏览器劫持。

不要随意浏览来历不明的网站，避免点击陌生的网页链接。建议使用网页过滤器等扩展阻止可疑脚本，启用OpenClaw速率限制和日志审计功能，遇到可疑行为立即断开网关并重置密码。

第六，建立长效防护机制。

启用详细日志审计功能，定期检查并修补漏洞，党政机关、企事业单位和个人用户可以结合网络安全防护工具、主流杀毒软件等进行实时防护。要定期关注OpenClaw官方安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警，及时处置可能存在的安全风险。

In addition, users should avoid suspicious websites and links, enable security tools and regularly check for vulnerabilities.

用户在使用“龙虾”等AI智能体的过程中，一定要详细了解并落实安全配置规范要求，养成安全使用习惯。

审慎使用

注意隐私安全

来源：中国青年报 国家互联网应急中心 蓝鲸新闻 澎湃新闻 封面新闻 人民日报 每日经济新闻

跟着China Daily

精读英语新闻

“无痛”学英语，每天20分钟就够！