给龙虾戴上「手套」？国家队发布「养虾」指南，这五条线不能碰！

OpenClaw（中文俗称「龙虾」）有多火，相信已经不言自明了，从 GitHub 到社交平台，再从线上到线下。

不过很多人对于「养龙虾」还有不少顾虑，一方面是安全风险，毕竟工信部此前就提醒大家要「警惕」；另一方面则是 OpenClaw 官方的安装使用门槛比较高，并不适合大多数人。

但今天情况已经不一样了，钉钉「悟空」、腾讯「QClaw」、网易有道「LobsterAI」等国内厂商推出「龙虾」产品大幅降低了安装使用门槛。与此同时，国家互联网应急中心 CNCERT、中国网络空间安全协会也联合发布了最新的：

《OpenClaw 安全使用实践指南》（以下简称「OpenClaw 指南」）。

图片来源：CNCERT

「龙虾」的好，相信大家已经看到了太多，简言之，它让 AI 真正从「只会动嘴」进化到了「开始动手」：只要给它足够的系统权限，这只龙虾就能像真人助理一样，帮你自动读写文件、回邮件、填表格、写报告，甚至直接写代码运行。

不过「龙虾」虽好，但如果「裸奔」运行，它带来的破坏力可能远超你的想象。

这只「龙虾」，到底危险在哪？

只是把 OpenClaw 当成一个更聪明一点的 AI 助手，那确实很难理解为什么官方会专门出一份《指南》。

问题在于，「龙虾」从一开始就不是一个「只会聊天」的工具，它更像是一个可以直接「上手操作」的执行者。你给它权限，它就能帮你读文件、开网页、登账号、发邮件，甚至直接在系统里执行一整套操作流程。

听起来很美好，但正如《OpenClaw 指南》开篇所说的，「（OpenClaw）具备系统指令执行、文件读写、API 调用等高权限能力 ，默认配置与不当使用极易导致远程接管、数据泄露、恶意代码执行等严重安全风险。」

图片来源：OpenClaw

和传统软件不同，「龙虾」往往不是做一件事，而是会把一件事拆成一整条链路去完成。打开网页、登录账号、获取数据、处理内容、再发出去，这一整套动作在后台自动完成，中间哪一步出现问题，影响的就不再是「点错一下」，而是整件事情都可能被放大。

更关键的是，这一切并不总是可见的。很多时候，你只是在对话框里说了一句话，但它已经在系统里做了好几步操作。

风险不在于它「会不会做」，而在于它「能做到哪一步」。而决定这一点的，是权限。

现实情况中，很多人为了让「龙虾」更好用，会直接给它较高的系统权限，甚至默认让它访问本地文件、调用浏览器登录状态、连接各种已经登录的账号服务。这样做的结果，其实是把「操作能力」和「个人身份」一起交了出去。

类 OpenClaw 产品的权限申请，图片来源：QClaw

一旦出问题，后果也就不再是简单的功能错误，而是文件被读取、账号被操作、数据被外发，这些都是现实中已经出现过的风险场景。

除此之外，还有一个更容易被忽略的变量，是它的「能力来源」。

不少 OpenClaw 的功能，并不是原生自带的，而是通过各种 Skills 来扩展。这些 Skills 本质上就是能力模块，但第三方来源复杂、质量参差，可能带来信息泄露或被攻击的风险。

这和浏览器插件、开源依赖有点类似，但又更进一步，因为「龙虾」不是等你点击才调用，而是会在任务过程中主动使用这些能力。也正因为如此，风险更多在于你让它自己去做了什么。

还有一种情况，是很多人已经开始遇到，但不一定说得清楚的——它并没有做错，但就是做多了。

你原本只是让它整理一份内容，它却顺手帮你改写、归档，甚至直接发了出去；你让它处理一封邮件，它可能把整个邮箱都扫了一遍。问题不在于理解错误，而在于执行被「扩展」了。

换句话说，它开始替你做决定了。这也是为什么，《OpenClaw 指南》没有把重点放在「AI 准不准」上，而是反复强调边界、权限和控制。

因为当一个工具开始替你「动手」，真正需要被解决的，反而不是能力问题，而是边界问题。

养「龙虾」要戴「手套」，国家队给出五步走

既然「龙虾」的危险在于边界模糊，那么《OpenClaw 指南》给出的核心药方其实就是：关住、管住、看住。

第一步，就是最直观的「隔离」。就像在家里养猛兽，你不能指望它时刻听话，最稳妥的办法是先焊好一个足够结实的铁笼子。

图片来源：Gemini

《OpenClaw 指南》给用户最直接的建议，就是「物理隔离」。简单来说，就是别在自己每天办公、存着全家福和银行插件的常用电脑上直接跑「龙虾」。 如果条件允许，找一台闲置的旧电脑专门用来跑程序；如果没有多余硬件，至少可以安装个虚拟机（VMware/VirtualBox）或者沙盒。

这样做的好处是显而易见的：即便「龙虾」因为插件漏洞或者指令理解偏差开始「胡作非为」，它的破坏力也被锁死在这个独立的虚拟空间里，跳不出来，也碰不到你的核心数据。

第二步就是把它的「手脚」收回来。

很多人为了省事，习惯用管理员（Root/Admin）账号运行 OpenClaw，权限全开，但这相当于给了一个实习生自家所有的钥匙。《OpenClaw 指南》明确强调了读写目录的「最小必要权限原则」，那些涉及隐私的「高危权限」，比如无障碍服务、屏幕录制、麦克风调用，则只在任务必须时开启。

说人话就是：不要把整台电脑都交给它。养「龙虾」不是为了让它监视你，而是让它在特定的「电子围栏」里干活。

但光是「关起来」还不够，第三步正如《OpenClaw 指南》的提醒，不要把 OpenClaw 的默认端口直接暴露到公网，配置为仅本地访问（127.0.0.1），关闭端口映射与公网 IP 绑定。

第四步则是很多人已经给过的建议：不要乱装 Skill。

《OpenClaw 指南》也强调第三方 Skill 存在极大的安全风险，尤其是非官方社区、个人开发者，或者号称能「自动赚钱」、「一键薅羊毛」的 Skill，往往就是木马的重灾区。

对于普通用户，最直接的做法就是尽量选用官方仓库 ClawHub 的 Skill。对于企业用户，甚至建议建立内部的「Skill 仓库」，所有的插件在交给「龙虾」使用前，都得经过人工的检查。

图片来源：ClawHub

这本质上是在为 AI 的能力供应链上一道锁。而在 OpenClaw 圈子也有一种说法，会不会用 OpenClaw，很大程度上取决于你会不会装 Skill，这指的不只是「能力」，也在于对于风险的判断力

第五步，也是最关键的一道防线，是「人工确认」。不管「龙虾」进化得有多聪明，在处理资金转账、大批量删除文件、更改系统关键配置这些高危操作时，《OpenClaw 指南》的态度非常坚决：必须人工二次确认。 这其实是在否定那种「全自动化」的幻觉。

AI 可以帮你跑腿、帮你起草，但最后的那个「发送」键，必须由你来按。

这不仅仅是为了防错，更是为了把决定权重新拿回到人手里。 说到底，这些看起来有些繁琐的步骤，并不是在限制「龙虾」的能力，而是在为它的能力寻找一个安全的出口。

写在最后

「龙虾」带来的变化，其实很简单：AI 不再只是给建议，而是开始替你动手。这一步一旦迈出去，讨论的重点也就变了。过去我们关心的是它够不够聪明，现在更重要的是，它有没有被关在该待的边界里。

《OpenClaw 指南》的意义也在这里。它不是要给这项技术踩刹车，而是告诉所有人，在真正把它当成生产力工具之前，哪些底线不能碰。

这有点像很多车企常说的那句话：「安全是最大的豪华」。

当「龙虾」开始接管更多操作时，真正决定它价值的，也不只是效率，而是你是否还能掌控它。说到底，工具越强，边界就越重要。