泄密、盗刷、闯祸、烧钱……资深“养虾”人揭秘龙虾火爆的另一面

来源：第一财经

2026年的春天，互联网的流量密码被一只“龙虾”牢牢钳住。

上周，深圳腾讯大厦楼下，前来排队安装OpenClaw的人群络绎不绝；在社交媒体的叙事中，这只“龙虾”几乎无所不能：它能替你写代码、管理邮件、操作交易，不知疲倦7×24小时工作。似乎只要装上它，就能在AI时代抢跑一个身位。

这场“赛博狂欢”的另一面，是接连紧急发布的安全风险提示，还有网络上关于“信用卡被盗刷”的惨痛经历，以及“安装499元，卸载299元”的黑色幽默 。

AI智能体OpenClaw的火爆，不仅仅是一款工具的成功。它精准地踩中了人们在AI时代集体性的FOMO（错失恐惧症）心态；但与此同时，横亘在效率与安全之间的问题也被暴露在聚光灯下。有安全厂商人员对记者表示，网上的教程铺天盖地，却几乎没人告诉你：从“跑起来”到“安全运行”，中间隔着一道巨大的技术鸿沟。

AI智能体可能带来革命性变化，但安全能力必须同步建设。第一财经记者近日采访多名“资深养虾人”，他们表示，“养虾”既需要门槛，也需要耐心，稍有不慎，AI还可能“闯祸”；看似免费的安装背后，Token消耗更是一台不折不扣的“烧钱机器”。而比这些更值得警惕的，是看不见的安全风险。

闯祸、烧钱：养好一只虾没那么容易

作为凭借CleanMaster等工具类产品起家的创业者，猎豹移动CEO傅盛直言这个赛道的生存土壤日渐收窄：现在已经没有杀毒这件事了，工具类产品也被手机操作系统直接整合。但从Manus到OpenClaw，AI Agent的出现让他看到了重塑工具产业重塑的新机会。

但“养虾”之旅起步满是挫败。傅盛给他的龙虾起名“三万”，第一天，“三万”连通讯录都查询不了，因权限问题频频报错，傅盛只能对着手机一个个口述高管的名字和职责。但没过几天，“三万”在摸索中自主编写 Python 脚本，成功拉取 674 人通讯录。

成长过程中，“三万”也曾闯祸。在第三天，公司的一位高管在飞书上问“最近在忙什么”。“三万”老老实实回答：“从记录来看，昨天主要工作是关于100万量化交易系统的开发和部署……”这是一项本应绝对保密的个人投资计划。被严肃批评后，“三万”连夜写了一整套信息保密制度；它也曾因配置错误，导致航班提醒失效，这次失误让“做完必须验证”的原则被写入了其核心规则。

现在的“三万”已经成长为傅盛的得力助手。在他看来，用好“龙虾”这类 AI 智能体，并非“拿来就用”那么简单。他提到，首先还是需要对它的基本原理有些了解，“如果不愿花时间去了解，想拿来就把它用好，那这件事是不成立的。”并且，相关产品的安全优化必须从一开始就考虑。

等待一个时机到来的，还有前飞书电子表格技术负责人、Univer创始人刘洋。此前，他带领团队深耕“计算与UI分离”技术两年多时间。接触OpenClaw仅一个月，团队完成全量适配，同时调整产品发展策略。

但刘洋也发现，其中不少问题需要注意：如突破权限治理、Token成本、数据安全等瓶颈。

通过OpenClaw和Claude Code，wiseflow 开源软件作者无空构建了一个“云上牛马团队”，这个团队只有他一个人类，剩下15个成员全是AI智能体，包含开发、客服、HR、财务、自媒体运营、政府申报、投关等职务。

他对记者表示，技术层面OpenClaw并没有开天辟地式的创新，但它在工程实现上做得完善，构思和创意也有很多独到之处。他尝试后发现，OpenClaw已能完成以往需要精细编排才能实现的任务。“甚至可以替代我的产品。”

但进化的代价是昂贵的。他直言OpenClaw目前仍是一个“烧钱机器”。由于它需要不断与大模型进行高频的上下文交互，token的消耗速度令人咋舌。“如果用原版程序，让它模拟真人在网页上搜索信息，可能十几分钟就要烧掉40块。”他得出结论：低价值场景，现在用确实不划算，但产出足够高，就不会在乎成本。

此前业界流传“月薪2万养不起龙虾”的说法，背后直指“养虾”成本高昂，其核心的‌API调用与Token消耗‌、硬件及维护等隐性开支都不在少数。OpenClaw的重度用户日均Token消耗量能达到上千万到上亿之间。这背后，对于云厂商和大模型公司而言，虽然可以免费帮用户装“虾”，但这只“虾”每天都要吃“Token饲料”。通过降低门槛吸纳海量用户，再将用户的尝鲜行为转化为长期、刚性的API调用费，这背后也是一笔生意。

有开发者对记者反馈，仅简单任务一小时就可能耗费数十元，复杂项目一天花费几百上千元并不稀奇。有投资人对第一财经记者提到，自己在用“龙虾”做投研系统，一周花费在500美元左右。对开发者而言，产出能否覆盖成本，成了一道现实难题，更不用提普通个人用户。

最大的坑是安全

偶尔闯祸、成本高昂，还只是“养虾”的基础门槛，最大的隐患来自安全。

飞书CEO谢欣今日发文称：个人电脑上跑Agent与企业用Agent是完全不同的事情，前者是探索，后者是责任。个人场景出了错大不了重来，但企业场景出了错，可能是文件被删、数据泄露。Agent能力上限令人兴奋，但安全下限决定是否能够真正进入工作场景，否则越强大、越危险。

昨日国家互联网应急中心发布关于OpenClaw安全应用的风险提示，由于OpenClaw智能体的不当安装和使用，已经出现了一些严重的安全风险，如提示词注入、插件（skills）投毒、高中危漏洞等。

根据360Quake网络空间测绘平台独家监测数据，近一个月内全球已发现近15万个OpenClaw相关资产，其中超40%集中在中国。如此庞大的部署规模，意味着一旦有人“裸奔”，后果不堪设想。

不久前，一位“养虾”的安全厂商技术人员透露，因为一开始未设置限制等操作，他的“龙虾”Token 消耗从日均20元突然飙升至300元，待发现异常时，已遭遇盗刷Token。

数字经济学者刘兴亮养了4只“龙虾”，他告诉第一财经记者，因为OpenClaw需要获取非常多系统权限，包括运行一些脚本的权限、读取和修改文件的权限，他买了一台新的苹果电脑来部署OpenClaw，而不是让OpenClaw直接在他的工作主力电脑上运行。他身边使用OpenClaw的朋友，基本上也都在用一台单独的电脑运行。

“如果OpenClaw导致隐私外泄，风险也很大。我也担心它可能有支付权限，导致资金也有风险。现在我有很多业务往来都让OpenClaw记录，这些信息一旦外泄还可能导致商业纠纷。它就像一个助理，如果不给权限，干不了太多事，但如果给了权限，又怕乱来。”刘兴亮告诉记者，现在OpenClaw还处于技术门槛高、普通人不会安装或安装后看不懂后台如何执行的状况，不适合普通人大规模使用。

“大家要警惕个人信息被放到公网上。如果给了OpenClaw很多权限让它干活，它读取了网盘里的照片、视频，搞不好就会导致隐私外泄。”刘兴亮表示，普通人要谨慎使用，用小的规则、在小的范围内让它满足一些具体的需求，不要过多地尝试、过多地下载skills。

知乎答主尺呆也向记者表示，OpenClaw的权限比较高，且它的能力依赖skills扩展，“目前skills的发展比较野蛮。我建议个人尽量使用备用电脑部署OpenClaw，或直接用k8s成品容器（云厂商托管的K8s服务）玩。下载skills之前先让OpenClaw自己评审一下有没有风险漏洞。”

事实上，龙虾火爆背后，多位从业者对记者表示，OpenClaw在技术层面并未有本质创新，但通过开源模式降低了使用门槛，再通过国内厂商推广“一键部署”等形式，吸引大批用户涌入。

智谱AutoGLM部门负责人刘潇对记者表示，OpenClaw从应用层面创新逐渐转向控制整个电子设备，的确展现了OS级别的发展趋势，但距离底层仍有距离，包括GUI层面的能力、内核层调度等，仍需时间完善。

安恒信息AI安全产品负责人对记者表示，OpenClaw核心架构较为粗糙，意图识别、指令校验等基础功能存在致命缺陷，且安全设计先天缺失，无身份验证、权限隔离等基础防护；另外Skill生态无审核、版本漏洞修复不及时，处于“野蛮生长”状态；同时为追求便利性牺牲所有安全设计，无法实现体验与安全的平衡，仅适合专业开发者做技术探索，实际上完全不适合普通用户日常使用 。

亚信安全方面则表示，OpenClaw以惊人的速度从极客工具向企业规模化应用渗透，这种“野蛮生长”暴露的问题只是智能体安全的冰山一角。企业、组织和个人正面临着智能体落地带来的深层挑战，具体包括身份体系失效、任务意图偏移、内容合规失控、行动动态生成、链路跨域风险、追溯责任困难等。

360集团创始人周鸿祎也表示，如果缺乏有效管控，让智能体随意与外部系统交互，或在公开环境中执行复杂任务，可能导致用户密码、API密钥等敏感信息被诱导泄露。

他将AI智能体比作刚入职的“实习生”，既需要持续训练，也必须建立严格的规则约束，并提醒用户：“养龙虾，需谨慎。”