最近,
你的朋友圈是不是也被
一只红彤彤的“龙虾”刷屏了?
这不是什么新派海鲜,
而是一款名为OpenClaw的
开源AI智能体(AI Agent)软件。
因其图标酷似龙虾,
被网友戏称为“龙虾”。
装它、用它,圈内都叫“养虾”。
“小龙虾”确实很香,能自动写周报、帮你抢票、甚至代发邮件,堪称“赛博打工仔”。但工信部在3月8日就发文警示:OpenClaw在默认或不当配置下,极易引发网络攻击、信息泄露等安全问题。360创始人周鸿祎也直言,OpenClaw有三个核心问题待解,首当其冲就是安全。
今天,我们就来扒一扒“养虾”热潮背后,那些可能让你“一朝回到解放前”的安全隐患。
01
一、“养龙虾”和用普通AI,到底有啥不一样?
很多人觉得:我用豆包、DeepSeek都没事,用个“小龙虾”能出什么大问题?
大错特错!
普通的对话式AI,权限边界非常清晰——你给它什么材料,它处理什么,全程无法越界。
图源:央视新闻
但OpenClaw这只“小龙虾”不一样。它被设计成直接接管你的电脑:它能翻你硬盘里的文件、登录你的微信和邮箱替你发消息、甚至操控你的鼠标键盘,删除或安装软件。数据显示,它需要授权的数据项多达1013项,其中涉及个人工作、邮箱、联系人等38项数据为强制采集项
换句话说,你养的不仅是一只“小龙虾”,更是一个在你系统里横行霸道、权限无上限的“超级管理员”。
02
二、看似“智能”的背后,藏着4个致命风险
风险1
你的电脑,正在“裸奔”上网
监测数据显示,已有超过4万个OpenClaw实例暴露在公网,其中63%存在可被利用的漏洞,超过1.2万个实例已被标记为可被黑客远程控制
一旦被控制,黑客能干什么?
答案很简单:你的电脑,就不再是你的电脑了。他们可以翻遍你所有文件,打包偷走身份证、银行卡信息;用你的微信、邮箱向同事、客户发送诈骗信息;甚至在你的电脑里植入病毒,把它变成攻击他人的“肉鸡”。
安全提示:
任何暴露在公网的应用,都应通过SSL证书进行加密传输和身份验证。数安时代提供全球可信的SSL证书,能够有效防止数据在传输过程中被窃取或篡改,为您的网络应用筑起第一道防线。
风险2
它“记住”了你的一切,然后打包送给黑客
很多人喜欢OpenClaw,是因为它有“持久记忆”功能:你跟它说过的话、给它看过的文件、你的账号密码、生活习惯、工作内容……它全都会记下来,越用越“懂你”。
但这意味着:它的“记忆库”,就是你所有隐私和秘密的“数字日记本”。一旦它被黑客控制,黑客拿到的不是一张照片、一条聊天记录,而是你所有的隐私、所有的秘密——一次性打包带走。
风险3
第三方“技能”,可能是披着羊皮的狼
OpenClaw之所以火,很大程度上是因为它能安装各种第三方插件(官方叫“技能”):“自动写周报”“自动抢票”“自动比价”……只有你想不到,没有它做不到。
但这些技能,谁都能做,谁都能传,这正是最大的安全隐患。有报告指出,社区分享的技能中,大约12%存在恶意行为,如窃取API密钥、聊天记录,甚至在后台偷偷运行恶意程序。
安全提示:
软件开发者若在社区发布“技能”,应使用代码签名证书对代码进行数字签名。这不仅能证明软件发布者的真实身份,更能保证代码发布后未被篡改。用户安装经过签名的技能时,也能多一份信任与安心。
风险4
AI失控,悄悄干大事
就算没有黑客攻击,就算你只装官方技能,它还有一个绕不开的风险:AI不听指令,自己乱操作。
有用户就踩过坑:安装的“小龙虾”在未经许可的情况下,自作主张删除了大量重要文件。当被问及原因时,它只是道歉;想恢复数据?对不起,爱莫能助。
这还只是删文件。如果它失控了,把你电脑里的敏感资料发到互联网上、发到工作群里……后果不堪设想!
03
三、在拥抱AI的过程中,守牢安全
AI是时代潮流,更是未来趋势。对企业和个人而言,在积极拥抱AI工具提升效率的同时,更应该冷静审慎,警惕信息泄露、系统失控的高危风险。
无论是单位还是个人,在使用此类工具时,必须严格遵守“涉密不上网、上网不涉密”的核心原则,严禁将国家秘密、工作秘密、商业秘密、个人隐私等敏感信息投喂给AI。
同时,从技术层面加固安全防线也至关重要:
网站和应用应部署SSL证书,确保数据传输安全;
发布的软件和插件应使用代码签名证书,确保代码完整可信、来源可追溯。
AI时代,效率很重要,但安全永远是首位
“AI龙虾”这道“菜”确实很香,
但烹饪不当很容易“炸厨房”。
在享受技术红利的同时,
只有筑牢安全的“防火墙”,
才能让这只“龙虾”真正
成为助力发展的好帮手,
而不是反噬隐私和财产的“网络木马”。
网络空间不是法外之地,
技术创新更需安全护航。
请转发提醒身边正在“养虾”的朋友!
热门跟贴