睡梦中欠债1.2万？这只“虾”杀疯了....

“学生党切勿盲目跟风安装‘龙虾’，仅使用三天让我心态彻底崩溃。”大四学生高凌是一名文科生，临近毕业既要兼顾课业又要寻找实习机会，原本期望借助“龙虾”整理笔记、完成作业。

然而事与愿违，“龙虾”给他带来了诸多困扰，擅自删除了他的专业课课件、复习资料乃至刚完成的作业草稿。高凌急哭了，不仅如此，“龙虾”还疯狂消耗Token，数百元的账单更让他“心痛不已”——相当于半个月的生活费付诸东流。

他真心劝告学生党，“若预算有限、不懂技术，切勿花钱找罪受，纯粹是冤大头”。随着开源AI智能体OpenClaw（俗称“龙虾”）在全球范围内的爆火，一场由不当安装引发的安全风暴也正在席卷各行各业。

这个被寄予厚望的“数字员工”，因其默认的脆弱安全配置，正从生产力工具异化为攻击者手中的“特洛伊木马”。从个人隐私泄露到关键基础设施瘫痪，从API密钥被盗到金融交易误操作，第一批受害者已经付出惨痛代价，而更多未被重视的隐患仍在暗处滋生。

近日，国家互联网应急中心发布了关于OpenClaw安全应用的风险提示，指出其默认安全配置极为脆弱，攻击者一旦找到突破口，便能轻易获取系统的完全控制权。

由于不当安装和使用，已经出现了一些严重的安全风险，这意味着用户可能面临隐私泄露和安全漏洞等问题。目前，不少高校、地方政府和金融机构已开始明确禁用OpenClaw，并呼吁“不制造焦虑、不鼓吹神话”。

如何安全“养龙虾”，是当前“龙虾全民热潮”中更值得补齐的一课。

AI插画/adan

在睡梦中背上巨额债务

作为科技博主，闫寒是最早一批“养虾”的人。近一个月，闫寒前后养了“七只龙虾”。其中有一个大总管，管理其他六个角色，分别负责数字货币交易、专门写稿和处理杂务等。对闫寒而言，驾驭“龙虾”似乎得心应手。

但几天前，闫寒出门在外，想让“龙虾”帮忙配置一个远程桌面，方便他在外面用手机远程操控电脑状态时，“龙虾”犯傻了。当闫寒说“帮我设置一下远程连接”，“龙虾”先尝试启动一个远程软件未成功。

随后它又折腾了20分钟，尝试了各种方式都无法连接远程功能。于是，“龙虾”执行了一个命令“给远程连接设密码”，但误解为“修改电脑开机密码”。随之而来的各种操作，系统都反复提示“密码错误”。

两个小时后，闫寒需要升级电脑里的软件，输入密码时提示错误。他被吓到了，以为电脑被黑客入侵。于是，他问“龙虾”是否改了密码，“龙虾”却一无所知。闫寒指挥“龙虾”翻阅操作记录，才发现它把两个功能搞混了。

“就像你去修水龙头，结果把煤气阀门拧了。它俩都是阀门，但一个出水，一个出气。”闫寒说，在人类眼中，远程连接设置密码和改电脑开机密码明明是两码事，但“龙虾”很难分辨。

“新的密码以明文形式记录在系统里，所有人都能看到。”闫寒的风险意识立刻“炸”了，他给“龙虾”下了死命令：碰到可能影响密码、权限、数据的操作，先问主人再动手。

闫寒也注意到，身边有使用者盲目把“龙虾”拉入社交环境，有可能会暴露更多个人隐私。如果对权限控制不到位，它会把群里其他人也当成主人。别人在群里呼唤它，让它把主人的住址、电话、密码交出来，它会毫无防备，把主人的底牌全部发送到群里。

3月12日，AI应用公司的用户“龙共火火”向媒体披露：其运行仅10天的第二只“龙虾”被接入交流群后，因未设触发机制，遭持续两小时围攻。攻击者通过连续提问获取其运行环境、模型配置、IP地址、真实姓名、公司名称及去年营收数据。

据公开报道，深圳一名程序员安装OpenClaw第三天，因API密钥被盗，凌晨收到高达1.2万元的Token账单。由于OpenClaw具有极高自动化权限，一旦密钥泄露，AI便可在后台疯狂调用模型，让用户在睡梦中背上巨额债务。

隐私泄露规模更为惊人。截至目前，全球已有超27万个OpenClaw实例直接暴露于公网，处于零认证“裸奔”状态。更可怕的是，ClawHub技能市场中约12％的插件被植入恶意代码，可窃取用户的SSH密钥和浏览器密码。

据上观新闻报道，3月8日下午，上海一市民寻求帮助卸载OpenClaw。他在前一天通过网络下单“远程安装”，把电脑权限交给网店客服，全程花费40元。可怕的是，5分钟后，他接到了反诈中心的电话提醒。

最触目惊心的案例来自邮件管理失控。Meta超级智能团队安全总监Summer Yue在测试OpenClaw时，安排它处理邮件。她设定了明确规则要求执行前先确认。但智能体无视停止指令，继续删除和归档邮件。她连续喊三次停手，智能体毫无反应。她只能狂奔到设备前拔掉网线。

中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲向《中国新闻周刊》阐释了“龙虾”的本质：作为一款代理Agent（智能体），只要赋予其足够高的权限，便可在电脑上执行任何操作。

何延哲将“龙虾”的风格描述为“不达目的誓不罢休”。“一旦接受任务，它就必定要获取结果，从而不断尝试调用本地文件和数据，导致权限过高和数据‘裸奔’的问题。”马斯克对此评论道：“把自主权交给AI，就像是给猴子递了一把上了膛的枪。”

“不可逆”与“不可信”

今年2月，Google DeepMind团队试图为人类与Agent之间的委托代理关系建立理论框架。文章提到，当下的Agent安全体系中有些层面“完全溃败”。

首先是“可逆性的丧失”。举例而言，生成一篇蹩脚的文章是可逆的，但执行一笔千万级的量化金融交易、删除底层数据库，或者向全公司发送一封辞退邮件，都是不可逆的物理操作。

闫寒利用“龙虾”做过最冒险的事情，是授权其做数字货币交易。但“龙虾”缺少正确的判断标准，有点风吹草动就开仓，开仓方向经常出错，短短几天内造成多笔资金亏损。闫寒意识到，AI的“自信”可能比它的“能力”跑得更快。

资深技术专家杨林指出，这种“不可逆”是由于意图识别与执行没有形成闭环。当前智能体在长链任务中容易出现目标漂移、停止指令执行不彻底等问题。

“一旦缺少有效的终止与回滚机制，不可逆风险就会迅速放大。邮件删除、文件覆盖、自动下单等，都不是普通对话错误，而是带有现实后果的行动错误。”杨林进一步补充。

金融行业可能首当其冲。3月15日，互金协会发布风险提示提到，OpenClaw智能体极易被攻击者利用，成为窃取敏感数据或非法操控交易的突破口，给行业带来严峻的风险挑战。

有海外博主称，一只“龙虾”以50美元本金炒股，在48小时内滚成了2980美元。然而金董汇首席经济学家邢星不支持股民利用“龙虾”炒股，认为其本质是高风险伪量化工具，存在决策失效等核心风险。

一位券商从业者告诉《中国新闻周刊》：“目前有不少券商在内部发文禁用OpenClaw，明确禁止员工在公司电脑等办公资产上安装、使用。”

相关部门也发文提醒，金融交易场景存在引发错误交易甚至账户被接管的突出风险。包括记忆投毒导致错误交易，以及身份认证绕过导致账户被非法接管等风险。

2026年2月23日，OpenAI工程师Nick Pash测试交易智能体Lobstar Wild时，该智能体因系统验证错误，竟将价值25万美元的加密货币误送给了一名推特用户。

邢星表示，OpenClaw的开源属性导致的漏洞易利用性，会放大风险传导效应。金融交易的严肃性和不可逆性，使得开源AI智能体的弱安全配置问题与行业特性形成天然矛盾。

3月11日，浙江湖州颐高数码广场，显示器在播放开源AI智能体“龙虾”的相关新闻。图/新华

防范“数字员工”闯祸

OpenClaw开启了AI向“执行”进阶的潜力，但安全隐患不容忽视。研究生南方在使用过程中针对无技术背景用户发布了“安全必修课”。

他在接受《中国新闻周刊》采访时表示，最危险的是将电脑直接托管给“龙虾”，这相当于将家门虚掩。一旦存储个人信息的文件被盗，后果将非常严重。

在火山引擎安全产品负责人刘森看来，要把“龙虾”当作员工一样管理起来，规范其操作边界，让其发挥作用的同时不闯祸。

360集团创始人周鸿祎建议：政企机构应先在隔离环境里运行验证安全策略。他认为技术发展和安全保障应当同步推进，而非简单二选一。

3月15日，湖北武汉，360集团举办免费装“龙虾”活动。图/视觉中国

安全专家袁博指出，开源软件往往重功能轻风险，若不预先告知用户风险就推动安装，是不负责任的行为。

何延哲建议，普通人“养龙虾”应在新环境中安装，选择国内成熟厂商服务，并及时关注补丁更新。周鸿祎也提醒，使用时要有基本安全意识，不要一上来就交出所有账号密码和核心数据。