整理|华卫
“真不敢相信旧金山湾区居然有人要花 6000 美元请人上门安装 OpenClaw。”今日,X 上一条这样的帖子引发热议。
这是海外代装平台 SetupClaw 给出的明码标价:托管安装 OpenClaw3000 美元,含 Mac mini 硬件的远程配置 5000 美元,含 Mac mini 硬件的现场配置 6000 美元。有人评价道,“价格确实离谱,但市场需求是真实存在的。”
短短两月,OpenClaw 以一个个人智能体的身份在全球掀起现象级安装热潮,远超此前任何一款 Agent 产品的公众影响力和普及程度。在国内平台,“OpenClaw 上门安装”的帖子也不断刷屏,服务提供者的 IP 蔓延到全国各地,报价普遍在几百到一千不等,还有人为了接单不仅上门部署还送“做饭服务”。
与此同时,已经有人靠这波安装热潮赚翻了。SetupClaw 创始人 Michael 更是号称靠这门手艺,有望年入百万美元。小米则是直接把“龙虾”搬到了手机上,小米手机版 AI Agent“Xiaomi miclaw”在昨日开启封测。
面对如此热潮,昨天,腾讯云团队也下场为大众提供了帮助大家安装 OpenClaw 的服务:“你带着笔记本电脑去现场,就能把小龙虾带回家”。
据悉,腾讯云这次一共派出了 20 位工程师到场摆摊讲解。在深圳腾讯大厦楼下,排起了长队,其中还不乏小学生和满头白发的老人。3 小时内,数百台 OpenClaw 成功上线。
这场颇具话题性的“线下养虾”活动,甚至还获得了 OpenClaw 创始人的转发。
1 昨天刚装上,今天就“裸奔”了?!
然而巧合的是,腾讯云昨天还在线下大规模推广、现场帮用户装机;今天,“OpenClaw Exposure Watchboard”的公开监控页面上,就已经新增了好几例来自腾讯云服务器的暴露实例。
在“OpenClaw Exposure Watchboard”的全部网页上,列出了超 25.8 万个暴露在公网的 OpenClaw 实例,覆盖美国、新加坡、中国大陆等多个地区。
而除了安全暴露,费用问题也开始浮出水面。
今天,一位用户公开喊话:不要让腾讯碰你的电脑!腾讯云,被你狠狠上了一课。事情是这样的,他在安装完后,回去就发现“腾讯云在无任何提示的情况下一直快速高频地进行小额扣费,目前扣了 200 多”。
但也有人分析认为,截图显示的为轻量服务器自定义镜像费用,而非 OpenClaw 的 Token 消耗。需删除自定义镜像方可停止计费。同时仍需留意 Token 相关问题,额度耗尽后,将按实际使用量扣费。
“OpenClaw 很有趣,但如果不小心,它也会耗尽你的钱包。”此前,就有开发者指出,OpenClaw 必须接入外部模型才能让它运转,其在模拟全天候助理的待命状态过程中内置了一套心跳(Heartbeat)机制,每隔 30 分钟自动醒来检查事项,而每次的唤醒都会消耗 token,算下来一个月即使没有实际产出、仅靠心跳机制也要烧掉近 750 美元。
2 信用卡刷爆、CEO 电脑被黑产出售 Root 权限
事实上,OpenClaw 的各种安全事故绝不在少数。
几天前,一位开发者在使用 OpenClaw 时突然收到银行短信:他的信用卡额度被刷爆了!查看日志后,他发现罪魁祸首是几天前刚刚部署的 OpenClaw 实例。
他用 OpenClaw 编写了自动化脚本,通过 noVNC 将 Chrome 浏览器直接暴露在公网(端口直连映射),本意是远程调试浏览器自动化流程。结果,Chrome 里保存的支付方式、Cookie、自动填充的信用卡信息,直接变成了公开的“自助 ATM 机”。攻击者发现了这个暴露的 VNC 实例,短短几分钟就将信用卡刷爆。
简单来说,因为其 OpenClaw 服务暴露在公共互联网上,攻击者访问后窃取了保存在 Chrome 浏览器中的信用卡信息。
值得注意的是,这些并非个例,而是一场系统性安全灾难。OpenClaw(含沙箱浏览器入口)默认将服务绑定至 0.0.0.0 (全网卡监听),早期版本 x11vnc 甚至启用 -nopw (无密码认证)。这意味着,运行 Docker 时若未添加 --network host 或显式限制端口发布,等同于将整个浏览器桌面直接丢进公网。
“这些 Agent 就像以前的共享软件,存在大量安全漏洞。”有人说道。
前不久,Cato CTRL 的高级安全研究员 Vitaly Simonovich 也披露了一起让 Agent 圈警醒的案例:攻击者通过一台遭入侵的、基于 OpenClaw 的 AI 个人智能体,拿到并出售英国一家自动化公司 CEO 电脑的 root shell 访问权限,甚至还把这项权限直接挂上暗网出售,开价 2.5 万美元。
但真正值钱的,甚至不是 root 权限本身,而是这位 CEO 背后的 OpenClaw 实例。因为这款 AI 私人助理,早已在悄无声息地替攻击者“攒情报”:关于家庭、爱好和财务的私人对话、公司完整生产数据库、Telegram 机器人账号信息,甚至还有 CEO 正在开发的 Trading 212 交易机器人可用 API 密钥。
卖家“fluffyduck”将目标公司描述为一家拥有 11–50 名员工的英国小型自动化公司。该公司主要开发可编程逻辑控制器(PLC)、安装工业机器人、制造定制装配机和自动导引车(AGV),同时还是西门子的合作伙伴,公司资产规模约为 80 万英镑。
他甚至还特意强调,这位 CEO 直到当时还在持续与这个 AI 助手聊天,“边聊边泄露”,因此是一个“近乎完美的目标”。
具体来看,这个被挂到暗网出售的 OpenClaw 实例,几乎等于把一个 CEO 的数字生活和一家公司的运营底牌一起交到了攻击者手里,包括:
OpenClaw AI 助手的完整访问权限(包括全部对话、上下文和长期记忆)
OpenClaw 控制台账号凭证
CEO 的 Telegram 机器人 token 和 chat ID
Trading 212 交易 API 密钥(CEO 正在开发交易机器人)
CEO 向 AI 透露的大量个人信息,包括家庭情况、妻子、孩子、兴趣爱好以及家庭联系人
更夸张的是,数据库层面的暴露也不是零散信息,而是高度完整的企业运营数据,涵盖客户联系人、现金流预测、人工成本、采购订单、项目进度、资源可用性、排班模式、通知偏好等几十张业务数据表。也就是说,黑客盯上的,已经不只是你的电脑,而是你身边那个最懂你、也替你记住一切的 OpenClaw 个人助理。
3 为什么这类 Agent 天生不安全
“2026 年最大的安全风险,不在于 AI 有多智能,而在于开发者把本地等同于安全。OpenClaw 再强大,也挡不住一次 0.0.0.0 的疏忽。”当前,所有 OpenClaw 用户们都需要警惕其风险了。
事实上,OpenClaw 创始人 Peter 早就提醒过,这个项目最初并不是为了公网环境设计的,但阻止不了大家把它直接放公网上。Peter 表示,Openclaw 的 Web 服务最早只是一个本地调试工具,默认使用场景是本地可信网络,所以没有公网必需的安全机制。
最近,OpenClaw 也开始尝试通过权限收紧来降低风险。例如,在 2026.3.2 的新版本中,默认工具权限被大幅限制,只保留了 messaging(消息)权限,像 coding、system 等涉及系统操作的能力都被默认关闭。
但从开发者社区的反馈来看,这种限制也并非不可绕过。有开发者在 X 上调侃道:
“新安装的 2026.3.2 版本默认只有 messaging 权限,其它 coding、system 权限全没了……你的龙虾只能陪你聊天了。” 不过,如果直接修改 openclaw.json 配置文件,把 messaging 改为 full 或删除限制,再重启服务,“一只活蹦乱跳的龙虾就回来了”。
换句话说,虽然官方已经开始收紧默认权限,但对于熟悉部署流程的用户来说,这些限制并不难被修改。而在越来越多人把 OpenClaw 部署到公网服务器的情况下,这种“默认安全 + 手动放开权限”的模式,究竟能在多大程度上降低风险,仍然是一个值得观察的问题。
值得注意的是,Anthropic 和谷歌正在严厉打击在其平台上运行 OpenClaw 的用户。Anthropic 更新了使用条款,明确禁止通过第三方工具使用 Claude 订阅的 OAuth token(包括 OpenClaw 这类封装工具)。谷歌也突击封杀使用开源智能体 OpenClaw 的开发者账号,并指控他们存在“恶意使用”行为。
CNBC Deirdre Bosa:如今,OpenClaw 在中国的热度,甚至可能已经超过了硅谷。 字节跳动、阿里巴巴、腾讯都在围绕它打造云服务;线下聚会动辄三百人规模;甚至连“上门安装 OpenClaw”,都开始变成一门火爆的副业。 而在美国这边,却是另一番景象:Anthropic 和 Google 正在加强限制,打击用户通过它们的平台运行 OpenClaw。
上月,中国工业和信息化部也发布安全警报,警告 OpenClaw 存在相关风险。警报指出,监控发现某些 OpenClaw 部署在默认或不当配置下会引发较高的安全风险,使其极易受到网络攻击和信息泄露。
“这就像让⼀个握有你全部秘密(API Key、 密码) 的笨小孩出⻔办事, 路上随时可能被几块糖(Prompt Injection) 骗⾛你家地址。”对于热门的 OpenClaw,前 Meta AI 研究总监⽥渊栋在近日的一场对话中这样评价。据称,他在试用 OpenClaw 两小时后选择了卸载,核心担忧就是安全。
https://x.com/landiantech/status/2029946380039684322?s=20
https://x.com/evilcos/status/2029939612941176872
声明:本文为 InfoQ 翻译整理,不代表平台观点,未经许可禁止转载。
会议推荐
2026,AI 正在以更工程化的方式深度融入软件生产,Agentic AI 的探索也将从局部试点迈向体系化工程建设!
QCon 北京 2026 已正式启动,本届大会以“Agentic AI 时代的软件工程重塑”为核心主线,推动技术探索从「AI For What」真正落地到可持续的「Value From AI」。从前沿技术雷达、架构设计与数据底座、效能与成本、产品与交互、可信落地、研发组织进化六大维度,系统性展开深度探索。开往 2026 的 Agentic AI 专列即将启程!汇聚顶尖专家实战分享,把 AI 能力一次夯到位!
热门跟贴