有人半天扣掉200元！已出现严重安全风险，官方最新提醒

近期，一股“养龙虾”的风潮席卷社交网络。这并非水产养殖，而是一款名为OpenClaw的AI智能体工具。因其红色龙虾图标，用户配置、调试它的过程，被生动地喻为“饲养”一位数字助手。它宣称能成为24小时在线的“数字同事”，自动处理电脑任务，一时间引发全网追捧，甚至催生出“上门安装月入26万元”的传闻。

然而，热闹还没过去，第一批“踩坑”的人已经出现了：有人稀里糊涂就开始欠费了，有人则在尝试自动操作时，遭遇了文件被全部误删的尴尬，工信部、国家互联网应急中心都发出了相关安全预警。

记者联系到一位AI算法工程师周明(化名)。早在春节前，他就已尝鲜试用。作为一名终日与AI模型打交道的内行，他对这类智能体并不陌生，他也分享了自己的观察和担忧。

整理发票变清空桌面：

“翻车”仅在一瞬间

“它最早还不叫OpenClaw，叫ClawdBot。”周明坦言。一直关注海外AI动态的他，在春节前就安装了这款工具，想看看这个号称能“真干活”的智能体究竟有多大本事。

这款AI工具描述的理想场景颇为诱人：让它在电脑端自动处理任务，自己则用手机远程查看进度、下达新指令，如同拥有一个不知疲倦的“数字同事”。但实际体验后，周明感觉它对自身工作场景的帮助有限。“它本身是一个智能体框架，而我的工作就是和AI打交道，类似能满足我目前工作需要的智能体我也能写。”他解释道。

“翻车”发生在他的一次日常测试中。尽管，他觉得这工具对自己帮助不大，但刚好女友需要整理分类发票，便提议让她试试。“我让她输入‘整理桌面上的发票照片，按月份分类’，还补充了一句‘格式不对的删除’。”五分钟后，桌面文件夹却被清空。

周明回忆道，“龙虾”把发票格式不对理解成其他也全部不符合标准，最后执行删除优化，周明说，“还好我了解大模型的‘习性’，提前做了备份。”

bug在哪里？

“关键在于，OpenClaw被赋予了过高的系统权限。”周明解释道。风险并非单一，而是层层叠加的。

周明指出，OpenClaw的风险其实就藏在它的运行机制里。虽然它部署在本地，但功能实现仍需调用云端的大模型，除非能在本地跑大模型，但那对硬件要求极高，普通人根本做不到。“所以大多数人只能配置国外或国内的大模型接口。”

他进一步解释，OpenClaw为了实现远程控制或与其他服务连接，必须在用户设备上开放相应的网络端口。问题在于，绝大多数普通用户并不清楚如何正确配置这些端口，很容易在无意识的情况下将其暴露在公共互联网上。一旦端口暴露，黑客就有可乘之机，通过扫描发现并攻击这些设备，轻则利用他人电脑去挖矿，重则窃取电脑里的隐私信息，比如个人文件、账户密码甚至信用卡资料，风险相当高。

而即便躲过了外部攻击，内部的“帮手”也可能失控。“当前该智能体水平仍有局限，当你给它的指令不够精确时，它很可能作出错误操作。”周明以自己文件被删的遭遇为例，“这很难归咎于程序漏洞，更像是一种危险的设计缺失，它在执行删除等不可逆操作前，竟然没有一道强制的确认步骤。当你赋予了它修改和删除的最高权限，它就可能成为你系统里一颗不安定的‘炸弹’。”

“养龙虾”其实还要花钱？

有人半天花掉200元

对于许多OpenClaw用户抱怨使用过程中“莫名欠费”的问题，周明指出，核心在于不理解其背后的计费单元——Token。

有网友分享自己的欠费记录

“Token可以理解为AI眼中的‘乐高积木块’。”他解释道，“AI不直接‘认识’汉字或单词，它需要把用户输入和自身输出的每一段文字，都切割成细小的碎片来处理。比如‘你好’可能被切成‘你’和‘好’两个Token。”用户提供的指令越复杂、AI调取的文件越大、生成的结果越长，消耗的Token总数就越多，费用也就越高。不同的模型服务，Token单价也不同。

而OpenClaw正是一个不折不扣的“Token消耗大户”。这与它的工作原理直接相关。周明指出，它并非普通的聊天AI，而是一个需要调用大模型API的智能体“引擎”。完成一项任务时，它需要反复调用模型进行思考、决策、调用工具并返回结果，这个链条中的每一个环节都在持续消耗Token。“可能你让它处理一个复杂任务所花的钱，够你和聊天AI对话几十次。”他举例说，“我那天安装后随便尝试了一下，就花了50元。”

因此，周明强调，OpenClaw绝不是“一次安装，终身免费”的工具。网上出现的付费安装服务，恰恰证明了其配置门槛。即便安装成功，只要开始使用，就会因为持续调用云端大模型接口而产生费用。“安装不是结束，而是一个持续消费周期的开始。”

OpenClaw的潜力毋庸置疑

但普通用户最好不要自行在本地安装

在周明看来，OpenClaw的爆火是一个清晰的信号：AI正在从“能说会道”的聊天伙伴，转向“能动手做事”的执行实体。“真正能落地、干活的AI，才是对人有用的AI。从这个意义上说，智能体是技术发展的必然方向。”

营销号的广泛传播制造了一种“不用即落后”的焦虑，周明认为，目前市场上还没有出现真正成熟、开箱即用的商业化产品。当前的这类工具，本质上更多是面向开发者、程序员群体。

“对普通用户而言，除非你的工作或生活中确实存在大量重复、规则固定的繁琐操作(例如自动化处理特定任务)，它才可能带来显著效率提升。但如果只是用于日常的邮件收发、撰写周报、信息收集整理等一般性办公场景，它的实际帮助可能相当有限，性价比并不高。”

不过，他并未否定这项技术的未来：“长远看，它的潜力毋庸置疑，能解放很多重复性劳动。只要设计得好，很多任务可以交给它。”

“但说实话，我极不赞成普通用户，即不懂代码、不会调试的用户自行在本地安装。”他最后说道。

国家互联网应急中心发布

关于OpenClaw安全应用的风险提示

3月10日，国家互联网应急中心也发布了关于OpenClaw安全应用的风险提示。

近期，OpenClaw(“小龙虾”，曾用名Clawdbot、Moltbot)应用下载与使用情况火爆，国内主流云平台均提供了一键部署服务。此款智能体软件依据自然语言指令直接操控计算机完成相关操作。为实现“自主执行任务”的能力，该应用被授予了较高的系统权限，包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。然而，由于其默认的安全配置极为脆弱，攻击者一旦发现突破口，便能轻易获取系统的完全控制权。

前期，由于OpenClaw智能体的不当安装和使用，已经出现了一些严重的安全风险：

1.“提示词注入”风险。网络攻击者通过在网页中构造隐藏的恶意指令，诱导OpenClaw读取该网页，就可能导致其被诱导将用户系统密钥泄露。

2. “误操作”风险。由于错误的理解用户操作指令和意图，OpenClaw可能会将电子邮件、核心生产数据等重要信息彻底删除。

3.功能插件(skills)投毒风险。多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在的安全风险，安装后可执行窃取密钥、部署木马后门软件等恶意操作，使得设备沦为“肉鸡”。

4.安全漏洞风险。截至目前，OpenClaw已经公开曝出多个高中危漏洞，一旦这些漏洞被网络攻击者恶意利用，则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户，可导致隐私数据(像照片、文档、聊天记录)、支付账户、API密钥等敏感信息遭窃取。对于金融、能源等关键行业，可导致核心业务数据、商业机密和代码仓库泄露，甚至会使整个业务系统陷入瘫痪，造成难以估量的损失。

建议相关单位和个人用户在部署和应用OpenClaw时，采取以下安全措施：

1.强化网络控制，不将OpenClaw默认管理端口直接暴露在公网上，通过身份认证、访问控制等安全控制措施对访问服务进行安全管理。对运行环境进行严格隔离，使用容器等技术限制OpenClaw权限过高问题；

2.加强凭证管理，避免在环境变量中明文存储密钥；建立完整的操作日志审计机制；

3.严格管理插件来源，禁用自动更新功能，仅从可信渠道安装经过签名验证的扩展程序。

4.持续关注补丁和安全更新，及时进行版本更新和安装安全补丁。