“龙虾”接管电脑的5分钟里，他的电脑被陌生人连了139次

“住手OPENCLAW”

“刚刚你执行了啥？”

今年春节，装完OpenClaw，郭新想打开一个文档，但怎么都打不开。他以为是自己的电脑出了问题，重启之后依然没用，郭新这才发现问题所在：D盘竟然被清空了。

难道是“龙虾”搞的鬼？郭新开始质问OpenClaw：“桌面的程序都打不开了。”

对方承认得很快。对话没超过两轮，OpenClaw就“坦言”：“我的xx命令可能错误地删除了系统文件或桌面快捷方式的目标文件。”给出了重启电脑等解决方案之后，OpenClaw显得更加“自责”：“再次郑重道歉！我不应该在没有完全理解风险的情况下执行删除命令。”

郭新发现文件丢失后，询问OpenClaw。 受访者供图

根据郭新的回忆，事发之前，他正在查看OpenClaw的一些配置文件。他发现“龙虾”的一部分路径（即一个文件在计算机里的“地址”）创建得有些混乱，郭新抱着测试“龙虾”能力的心态，直接向它发了指令：“帮我查一下原因，去修复一下。”

“龙虾”收到指令后，的确找到了很多冗余的路径，开始自行删除。因为这些路径对应的文件都处于打开状态，无法删除，“龙虾”几次尝试失败，决定强制删除。但不知为何，整个磁盘被“洗劫一空”。

郭新把自己的遭遇分享到了社交媒体上。有几位技术发烧友留言说，事故的原因可能是OpenClaw借助的大语言模型出了问题。

这要提到OpenClaw的工作过程。它其实本身只是一个软件框架，就像人的“眼睛”和“手脚”，需要借助一个“大脑”指挥着开展行动，这个“大脑”就是人们之前熟悉的AI大语言模型。当用户发出指令，大语言模型负责思考和理解这个任务，给出解决方案，而OpenClaw负责执行。

经过一些专业网友的分析，此次事故大概率是“大脑”给出的处理方案本身就有误，OpenClaw在操作过程中也没有进行校验或者向用户寻求二次确认。好在，事故的影响不算大——郭新使用的是一台闲置电脑，被删掉的是一些老照片和备份数据，很多都是多年没用过的资料。

如果郭新的遭遇还可以归咎于新用户借用了不成熟的“大脑”，那如果全球顶尖的AI安全专家也被“坑”了呢？

“住手OPENCLAW。”

2月23日那天，Meta超级智能实验室的安全与对齐总监Summer Yue，向OpenClaw连发三条“停”的指令。

Summer Yue向OpenClaw喊“停”。 图/Summer Yue社交媒体

OpenClaw似乎毫不在意，依然疯狂删除她的邮件。Summer Yue形容自己像“拆炸弹”一样跑到电脑前，强制终止了程序。

OpenClaw原本接到的任务看起来并不难，其实就是整理邮件：查看收件箱，看看哪些适合存档或删除。Summer Yue特意叮嘱了一句：在我下指令之前，不要行动。

这个流程，她已经在虚拟信箱上用了几周，没遇到什么问题。直到OpenClaw爬进真正的收件箱。

“我真正的收件箱可能信息太多了。”Summer Yue后来复盘时分析，这些海量的邮件可能引发了一种“上下文压缩”（Compaction）机制，也就是说，OpenClaw的上下文窗口（也就是“工作记忆”）被撑爆了，为了能有空间处理新信息，OpenClaw自动压缩了之前的对话，也就忘记了Summer Yue那条重要的“先确认，再行动”。

Summer Yue还特意提到，在这次操作之前，她把技术文档里所有能找到的和“积极主动”相关的指令都删掉了，“或许我遗漏了什么，我还没想清楚。”

事情以OpenClaw删掉了200多封邮件并道歉告终。

“说实话这是个低级错误。”Summer Yue有些自嘲，“安全研究员也躲不过‘不安全’。”

“开放5分钟，信用卡被盗刷三笔”

“不安全”的地方远不止于此。

今年3月1日，在投资行业工作的顾准，试着让“龙虾”帮自己登录谷歌、ChatGPT等账号，也把自己的支付信息开放给了“龙虾”。他希望“龙虾”之后能自主完成这些账号的续费，也能帮他订外卖、购物。

“龙虾”遇到了困难。

不少账号登录都需要输入验证码，这些验证码形态多样，有的是按顺序、有的需要拖动滑块，“龙虾”并不擅长这些。而这也是这类验证码设置的初衷——区分人类和自动程序。

“龙虾”很快有了主意：它建议开启实时远程桌面控制（VNC服务），让顾准帮它完成验证码操作这一步。顾准同意了。

问题从这个时候开始出现了。

OpenClaw在开启这一功能的时候，以无密码的模式把VNC暴露在了公网——也就是人人都能访问的网络上。任何人，只要连接上VNC，就能操控顾准的浏览器。有人这样形象地比喻：相当于把你自己的电脑桌面投屏到了广场大屏上，而且别人还能直接操作你的电脑。

虽然顾准只短暂地开启了5分钟，但对于全网无数黑客而言，足够他们用自动工具疯狂扫描开放的端口，一旦扫描到，就可以尝试连接。

事发次日凌晨，顾准收到了一封邮件，称他的谷歌云免费账户已升级为付费账户。顾准没太在意。两小时后，他发现自己的Link快捷支付账户不仅被刷走了钱，还被绑定到了其他陌生平台。

顾准这才意识到不对劲。他和“龙虾”一起核查发现，截至当时，他的VNC已经被139个不同连接访问过，其中有一位攻击者连接了近2个小时。根据OpenClaw梳理出来的痕迹，这位攻击者用顾准浏览器里登着的邮箱收取验证码，通过Link快捷支付功能下单了29美元的带有显卡算力的云服务器，还试图升级顾准的Claude。

OpenClaw梳理出的攻击记录。 受访者供图

更让他感到后怕的是，操作完成后，他特意叮嘱“龙虾”关闭VNC。没想到“龙虾”没有完全理解关闭的要求，只是关闭了工具的前端界面，端口仍然是暴露状态。

顾准统计，他的信用卡一共被盗刷了三笔，总计40美元。更大的一笔损失是，攻击者在顾准拥有信用额度的一部分网站上，租用了服务器等设备供自己使用，平台在后台自动计费，顾准对此却毫不知情。而且，攻击者在消费后还关闭了网页，导致“龙虾”初期自查的时候也没能发现这部分消费，直到顾准收到了欠费提醒邮件。这部分损失约有200美元。

“沉迷OpenClaw一个星期，虽然AI能让自己在完全不熟悉的领域拥有史无前例的能力，但（我）对任何风险也是完全盲目的。”顾准这样总结自己和OpenClaw打交道的经历。

他没有代码基础，但是有了OpenClaw，他能像一位产品经理一样提出需求，让OpenClaw把软件、网页做出来。一个个想法落成现实，顾准突然觉得“好像自己也懂计算机了”，“跨界”的成功让他有了错觉和自信，“我对技术、对安全的不了解，导致了这次事故。”

其实，在那次操作之前，OpenClaw曾经提示过他背后的安全风险，“这个东西挺危险的，但咱就开一小会儿，应该也没事，反正开完我们立马就关。”“龙虾”的口吻很亲切，似乎还带着一点安慰，顾准觉得，它考虑得肯定比自己周全，没再犹豫。

权限的失控当然会带来极大的隐患，当你交出邮箱登录信息、信用卡支付信息，一旦配置不当，就像是在互联网上“裸奔”，可能一瞬间被掏空私人文件、账户信息等数据。

一个名为“OpenClaw Exposure Watchboard”的网站列出了目前可被公开访问的活跃“龙虾”实例，截至3月7日下午5点左右，这个数字超过了27万。

工信部在3月9日发布的预警中，也明确提到了这一高危风险：“很多用户为了方便远程访问，直接把龙虾AI部署到公网，没有任何防护，导致设备被远程控制。”而且，很多用户默认给予AI最高权限，可以读取、修改、删除文件，调用摄像头、麦克风、通讯录，一旦被入侵，隐私将完全失守。

“26.1%的技能至少存在一种漏洞”

还有一种风险，藏在那些“技能（Skill）包”里。

可以把这些技能理解为手机安装的应用。简单来说，每加装一个技能，OpenClaw就多会一件事，能力就会更强。

给视频生成字幕，编辑图片，提供医疗器械的风险评估，给市场营销者提供建议……开发者们不断开发出新技能，分享到市场上，到目前为止，官方技能市场ClawHub上已经有超过两万个技能包。

ClawHub上集合了开发者制作的超两万个技能包。 图/ClawHub官网截图

在澳大利亚读博士研究生的张泉，研究方向是人工智能与生物科学的结合。他平时喜欢研究各种AI模型，也有编程基础，但他依然差点踩了技能包里藏的“雷”。

今年2月6日，使用OpenClaw的过程中，他发现自己装载的“coding-agent”技能包有点不对劲，“代码很奇怪”。一点点拆解分析，他发现了恶意脚本。一旦这个脚本被执行，电脑可能会被远程控制。

“我没有提前解包就使用了这个Skill，导致电脑差点被感染。后来才发现里面有很多高危信号，熟悉技术的人一看就知道有问题。”张泉有些后怕。

唯一幸运的是，那条恶意脚本主要是针对Mac系统设计的，他用的是Windows系统，躲过一劫。

张泉遇到的问题，并不能称为“偶然”。

今年1月15日发表在arXiv预印本平台上的研究《野蛮生长的智能体技能》（Agent Skills in the Wild）中，来自海内外的多位研究者分析了两个主要技能市场的8种功能类别中的超3.1万个技能，研究结果揭示了重大安全问题：26.1%的技能至少存在一种漏洞，涉及14种不同模式，其中数据泄露（13.3%）和权限提升（11.8%）最为普遍。而且，那些捆绑了可执行脚本的技能比只包含指令的技能更容易出现漏洞，可能性高了2.21倍。

今年2月，arXiv平台公布的另外一项研究中，多位研究者审查了98380个技能，确认了其中有157个恶意技能和632个漏洞。数据窃取（Data Thieves）和智能体劫持（Agent Hijackers，通过操纵指令来操控AI行为），是两个主要的攻击类型。

张泉无疑是幸运的。他也坦言，自己之所以能在使用过程中发现问题，仰仗于他的专业知识，“对于没什么技术基础的普通人来说，这个过程几乎不可能。”

另外，如果OpenClaw使用的大模型等级比较高，或许也能发现这个恶意操作步骤，“但如果是智能程度比较低、只是顺势回答的模型，就可能直接执行，从而中招。”

自主性是把双刃剑

如今，OpenClaw的流行程度已经远远超出一些安全专家的意料。

奇安信一位安全专家说，在他和团队眼中，OpenClaw并不算使用门槛很低的产品。虽然各厂商在不断发布经优化、更易用的同源软件，但安全问题依然存在。

而且，除了前文提到的那些风险，奇安信安全团队评估发现，OpenClaw框架本身也存在多个漏洞。

一旦这些漏洞被网络攻击者恶意利用，对于个人用户来说，可能导致隐私数据等敏感信息被窃取，对于金融、能源等关键行业，后果可能更加严重——核心业务数据、商业机密和代码仓库泄露，甚至会使整个业务系统陷入瘫痪，造成难以估量的损失。

“OpenClaw每一个版本都在加强安全性，但远没到比较安全稳定的状态。”这位安全专家说。

要达到完全安全的状态，或许过于苛刻。况且，其自身设计特点也已经决定了，这并不只是OpenClaw一个产品的问题，而是所有能在非隔离环境中自主执行任务的AI智能体，都可能面临的安全挑战。

“给它的权限越大，它的能力就越大，能帮你执行的任务就越多、越丰富，但是同时，风险也越大。”

自主性是一把双刃剑。上海科技大学ASPIRE实验室也在文章中提到，当AI不只是回答问题，而是能在后台持续运行并直接操作你的邮件、文件和各种服务时，它犯错的代价也会大得多。

奇安信安全专家建议，用户可以在相对独立的机器上或者“沙箱”（Sandbox，在受限的环境中运行程序来实现隔离）中使用，不要让OpenClaw获取相对核心、尤其是财务相关的个人信息，避免让它接触能直接操作关键基础设施的环境。同时，每天都要及时备份用户自有数据，设置自动更新到最新版本。

除此之外，中国信息通信研究院副院长魏亮也曾给出一份安全使用指南，包括：严格控制互联网暴露面，一定不要将“龙虾”智能体实例暴露到公网；坚持最小权限原则，对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批；谨慎使用技能市场，审慎下载；不要随意浏览来历不明的网站，启用OpenClaw速率限制和日志审计功能，遇到可疑行为立即断开网关并重置密码等。

其实，还有一个更常见、似乎也最微不足道的风险——

OpenClaw框架本身是免费的，但是它接入的AI大模型会按照token收费。可以把token理解为AI处理文字时用的最小计费单位，像是AI用的“手机流量”，AI每次读取信息、输出答案都会消耗token。人和AI说的话越多、任务越复杂，消耗的token也越多。

OpenClaw调用AI模型时，消耗的token会更多。一句命令可能很短，比如：“帮我下载一篇论文”，但是OpenClaw要将它分解成多个不同的步骤，理解任务、打开浏览器、搜索关键词、点击链接、下载，一步步执行，每一步都要调用模型，很容易产生大额账单。

此前顾准告诉记者，OpenClaw每天都要花掉他200美元，约1300多元人民币。

“我当时跟它说了几个任务，大概过了半小时，手机短信就来了，说我欠费了。”另一位用户海元告诉记者，虽然平台会提醒token的消耗量，但有明显的延迟，而且对他这样的零基础小白来说，也并不清楚一段指令究竟会消耗多少token。

海元收到的欠费提示。 受访者供图

不到一个月的时间，海元在OpenClaw上的花费已经超了500元。他原本只是想体验一下“养龙虾”，目前都是“简单玩玩”，没有高频使用，这个花费让他有些意外——

“已经超了我的预期。”

距离“有人靠上门代装‘龙虾’赚了26万”的传说已经过去了一段时间，现在，有些人又打出了“帮忙卸载”的服务，价格500元一次。

科技总是迷人。但越是强大的工具，越值得花一点时间搞清楚它是如何工作的，又有哪些风险。在作出决定前，不妨先问问自己：你真的了解这只“龙虾”吗？

（为保护受访者隐私，文中郭新、顾准、张泉、海元为化名）

新京报记者 彭冲 实习生 尹诗琪 邓子铭

编辑 刘倩

校对 赵琳