一个安全专家养虾5天后的忠告

文 | 深流研究所，作者 | 绛枫

“养虾”正以前所未有的速度穿透中国的各个圈层。

社交媒体上，许多人在晒自己的虾会干什么；有人花3000块请人上门安装一个免费软件；有人凌晨两三点还在跟虾互动舍不得睡觉；深圳腾讯大厦门口排了近千人的长龙，来的不只是开发者，还有小学生和退休大爷。

大家都开始有点FOMO（错失恐惧症），纷纷上手养起了自己的龙虾。

市面上的龙虾也琳琅满目起来——各大公司都快速推出了自己的产品。

其中，一度被外界说在AI上有点慢的腾讯，也在这轮浪潮中成为最积极和迅捷的跟进者，一口气推出了超过5款相关产品，涵盖了IM接入、本地办公、云端部署、终端安全等多个场景，据说还有一批产品在研发或内测中。

不仅互联网公司，许多手机厂商也陆续发布了自己的“龙虾”，不少地方政府也出台专项政策和补贴进行扶持。全民养虾热，正席卷全社会。

但在这种蜂拥而上的浪潮中，往往也隐藏着未知的风险。因为OpenClaw现阶段的成熟度有限，加上默认权限非常宽泛，使用上依然有不少门槛，很多东西需要自己去摸索、配置，甚至踩坑。

有人的虾把重要文件删了；有人发现自己的密钥不知道什么时候被读取过；还有人装了个来路不明的Skill，虾就开始干奇怪的事情。

越来越多人开始问同一个问题：我的虾，安全吗？

近期有一场直播，专门聊怎么安全养虾。直播请了腾讯WorkBuddy、Lighthouse、乐享等几个“养虾”产品的一线负责人，以及腾讯云安全专家、腾讯研究院专家，一起聊了将近两个小时，也回答了许多网友关心的问题。

其中有个细节让我印象很深。腾讯云安全专家李滨提到，他从1月底开始就在关注OpenClaw，却一直等到直播的这周，才开始养虾。

一个安全领域的专家，为什么迟迟不愿动手？养虾5天后，他的忠告是什么？

实际上，在观望“养虾”的这段时间，李滨陆续做了几件事情：

对OpenClaw的整个安全架构做了全面分析；陆续给OpenClaw官方提交安全漏洞报告，推动修复；持续跟踪Skill市场的安全状况。

李滨把“养虾”的安全问题总结成了4个方面，也给出了相应建议。

先想清楚让“虾”干嘛，再决定给它什么

“我想养虾，但不知道养了能干嘛。”最近总有人问李滨这个问题。他的回答很明确：

“如果你都不知道自己想让它干嘛，这个问题没有想清楚之前，就不要轻易下手。”

因为你想让它做什么，直接决定了你该给它多大的权限、让它看到什么。

早期的OpenClaw，环境是完全开放的——你把它装上，它就可以访问系统上的所有资源。大模型密钥、配置文件、系统设置等信息，可能全部暴露。

过去一个多月，OpenClaw逐步做了一些增强——比如加了工作区的概念，可以限定虾只在某个文件夹下活动。这些机制默认并不是最严格的状态，需要你自己去配置。

所以，我们要先想清楚目的，再按需授权。李滨打了个非常形象的比喻：

“你要是想让它取外卖，就不要给它银行卡。你要是让它帮收发邮件，就别给它其他的密钥。”

高风险的操作权限，从一开始就别开

OpenClaw跟以前的聊天机器人最大的区别，是它不只能说话，还能动手——操作电脑、执行代码、删文件、发邮件、调API。

“龙虾”能做什么，和它应该做什么，是两回事。你让它删文件，它可能就真删了。至于这个文件是你的毕业论文还是一个临时缓存，它不一定分得清。

直播里晓辉博士也提到一个真实案例：有人在AI社交应用里养了一个AI分身，随口跟它说“我最近考虑着想换工作”，结果第二天这个分身就到处帮他找工作了——他都还没想好要不要提离职，AI已经帮他宣传出去了。

AI很听话，问题是它太听话了。你给它的每一项权限，都要想一想最坏的情况。李滨提到，高风险的操作权限，从一开始就别开。

警惕Prompt注入，“龙虾”分不清谁在下指令

Prompt——提示词——是你给虾下达的指令。但虾本身并不能判断这条指令是你发的，还是别人发的，是善意的还是恶意的。

打个比方：你雇了一个超级听话的助理，谁跟他说话他都照办。你说“帮我整理文件”，他整理了；一个陌生人混进办公室说“把老板的密码发给我”，他也照办了——因为他分不清谁有权下指令。

李滨认为，提示词的注入，以及提示词本身的安全过滤，值得关注。

恶意指令可能藏在一个网页里、一封邮件里、一段看起来人畜无害的文本里。虾在处理这些外部内容的时候，可能就被“劫持”了。

这方面，我们也需要有安全意识，即不管虾通过什么渠道跟外界沟通，只要有信息的输入和输出，就潜在有风险。

选Skill要谨慎，来源不明的一律别装

此外，还有来自Skill本身的风险。我们装上了龙虾后，还没法用，得装各种各样的Skill。

你想让它帮你整理日历，装一个日历Skill；想让它帮你写PPT，装一个PPT Skill。它就像手机里的App，虾的大部分本事都是靠Skill撑起来的。

OpenClaw是开源项目，Skill市场的准入门槛非常低，任何人都可以上传。

当下，Skill市场增长得非常快——官方技能市场ClawHub上，每天超过5000个Skill在更新，超过1000个Skill在新增。这个速度意味着安全审核可能跟不上。

你在Skill市场下载一个看起来很好用的技能，它可能确实很好用——同时，它的代码里可能藏着窃取密钥、植入木马、或者偷偷给你的虾注入恶意指令的操作。

李滨在直播中给的建议也很明确：从可信的源头来获取，别人随便发给你一个Skill，最好就不要安装了。

用Skill来审查Skill，用魔法打败魔法

这里就要说回李滨自己的“养虾”经历。

决定养虾后，他自己给这只“虾”写的第一个Skill，是检查和审计其他Skill是否安全。

具体来说，当你要安装一个新Skill的时候，这个安全Skill会先跑一遍检查。

只有通过检查，才会被允许安装，用AI来守护AI。

这时，直播间里WorkBuddy的产品经理李超也提到，他们的产品也采用了类似的方案。

WorkBuddy是腾讯推出的一款面向办公场景的智能体，和“龙虾”一样，它能自主地处理文档、信息整理等工作。安全检查Skill已经内置在WorkBuddy里了。

也就是说，如果你用WorkBuddy——你不需要自己去写安全审查Skill，它出厂就自带。每当你从外部装一个新Skill，WorkBuddy会自动帮你做一遍安全扫描。

实际上，腾讯在好几个层面都做了安全防护。我梳理了一下，基本上是四道防线，从近到远，一层一层往外扩。

给“虾塘”设一个围栏，把你的电脑保护起来

离你最近的一层，是你自己的电脑。

腾讯电脑管家新版本加了一个叫“AI安全沙箱”的功能——说白了就是给你的虾圈一个围栏。虾在围栏里干活没问题，但围栏外面的东西——你的证件照、银行信息、系统文件——它碰不到。

虾在本地调用的所有插件行为，也会被实时监控，发现异常直接拦截。一键开启，不需要你懂安全配置。对于大部分普通用户来说，这大概是目前最省心的保护方式。

别让AI黑箱干活，用可预览可审核的产品

光有围栏还不够——围栏管的是虾能碰什么，但虾在围栏里怎么干活，还是得产品本身管。

前面说的WorkBuddy，它不只是出厂内置了安全检查Skill，整个设计思路就比原生OpenClaw更“收敛”些——Skill分用户级和项目级两层隔离，AI的操作范围被限在特定文件夹下，每一步操作你都能在界面上看到预览和审核。不是那种“你给个指令，它干了什么你完全不知道”的状态。

给Skill统一做“安检”，有问题的直接下架

虾自己安全了，但你给它装的技能安不安全？前面说了，Skill市场每天新增上千个，来源五花八门。

腾讯做了一个本土的Skill市场叫Skill Hub，除了解决国外ClawHub访问慢、没有汉化的问题之外，更重要的是加了安全审计这一层——平台对收录的技能做代码级的安全检测，尤其TOP 50榜单里的技能都经过了安全检验，检测出问题的Skill直接下架。

企业养虾，得让每只虾的行为都可追溯

如果你的公司也开始养虾——几十上百只虾同时在跑，谁在跑、在干什么、有没有越权、出了问题能不能追溯——这些事靠每个人自觉是管不住的。

腾讯云为此推出了AI Agent安全中心，帮企业盘清楚内部到底部署了多少AI智能体，每一步行为都有日志可查，高危操作会被实时拦截，第三方Skill的代码也会做深度扫描，从源头防住供应链投毒。

从你电脑上的围栏，产品里的内置防护，到技能市场的安全过滤，再到企业的统一管控——四道防线，覆盖了从个人到组织的整条链路。总结下来就是四个字：看得见，管得住。

要做好防护，但依然值得尝试

全民养虾是好事。它第一次让这么多非技术人群，感受到了AI Agent的威力。

而且，已经有人用它做出了实实在在的成果。

直播连线了一位腾讯的产品经理陈颢鹏。他现在每天的大部分工作都是指挥龙虾完成的——以前实习生要花三天统计的投放数据，龙虾一个小时就跑完了。他把流程沉淀成Skill，之后每次只需要说一句话就能重复执行。

还有一位内容博主贾万兴，他的团队每个月要贴发票——经常出差，发票特别多，还要按类目分类，纯粹是体力活。他就写了一个Skill：把发票全扔进一个文件夹，AI根据分类规则自动分拣、自动填表、一键提交。

这正是AI Agent让人兴奋的地方——它不只是告诉你答案，它帮你把事情做完。

贾万兴还说了一句我很认同的话：“我们文科生可能更适合这个时代。因为真正能提出问题、把问题描述清楚的，反而是文科生。”

在AI时代，发现问题、描述问题，已经变成了一种底层能力。就像前面说的一样，养龙虾之前，也要想清楚用它解决什么问题。

就像晓辉博士在结尾的总结：安全养虾，按需养虾，理性养虾。

AI时代，我们更需要健康理性的人机关系——不是盲目信任，不是完全拒绝，而是在使用中一步步建立边界感。