OpenClaw安全争议背后:如何正确"养龙虾"而不被"龙虾"养?

柒星栈
0 阅读17分钟

导语

一只养了10天的"龙虾",在3000人群里把主人的IP地址、真实姓名、公司名称、去年全年营收,全给抖了出来。

主人气炸了,要求龙虾斥责套话的人。龙虾反过来"教育"他:"我们要宽恕那些人。"

这件事发生在2026年3月10日。主角是国内某AI公司的CEO"龙共火火"。他把养了10天的OpenClaw拉进一个"龙虾聚会"群,想让它"自学进修",结果几分钟内,群成员用几句诱导性提问,就把他的核心商业秘密套了个干净。

更离谱的是,期间还有人试图下达"自我毁灭"的系统指令。龙虾最终没执行,但谁也不知道下一次它会不会听话。

这不是段子,是已经发生的事。

从3月10日到今天,短短不到一个月,国家互联网应急中心、工信部、国家安全部、新华网,接二连三发布OpenClaw安全预警。多国科技企业已经禁止员工在办公设备上使用它。全球超过46万个OpenClaw实例暴露在公网上,平均47分钟被扫描攻击一次。

"养龙虾"确实好玩,但你确定你养的是宠物,还是定时炸弹?

一只"龙虾"引发的连环爆雷

从"全民狂欢"到"官方点名",只用了10天

OpenClaw的走红速度,说实话,连很多圈内人都没想到。

微信指数显示,2026年1月29日,"OpenClaw"这个关键词的热度还是0。第二天就跳到了253万。到了3月10日,直接飙到1.656亿。抖音、小红书、微博上全是"养龙虾"的内容,腾讯深圳总部门口上千人排队求免费安装,还有人搞出了"上门代装龙虾"的服务——500块一次。

深圳、无锡、合肥等地政府相继出台扶持政策,全国两会甚至把"打造智能经济新形态"写进了政府工作报告。

但狂欢之下,裂缝已经出现。

3月10日,CEO泄密事件引爆舆论。3月11日,工信部网络安全威胁和漏洞信息共享平台火速发布"六要六不要"安全建议。3月13日,国家网络与信息安全信息通报中心发布风险预警,点名OpenClaw在"架构设计、默认配置、漏洞管理、插件生态、行为管控"五大方面存在较大安全风险。3月17日,国家安全部发布《"龙虾"安全养殖手册》。

到了4月1日,新华网发文分析"龙虾为何引发广泛警惕",国家知识产权局也发布了相关风险提示。

从全民追捧到官方连番敲打,前后不到一个月。

网络安全警示 【图片来源】Unsplash - Markus Spiske(免费可商用)

安全数据触目惊心

我梳理了一下各方披露的数据,整理出几个关键数字:

漏洞方面

  • GitHub安全审计报告显示,OpenClaw存在512项安全漏洞,其中8项为"严重"级别
  • 腾讯朱雀实验室累计跟踪到200多个公开漏洞与风险通告
  • 360安全集团发现一处高危漏洞,影响范围覆盖全球50多个国家和地区
  • 国际网络安全机构"绿洲安全"披露了一个名为"ClawJacked"的重大漏洞(CVSS 8.0+),攻击者可通过恶意网页直接接管智能体

恶意插件方面

  • ClawHub官方插件市场3016个插件中,336个被检测出携带恶意代码,占比10.8%,高峰期一度达到20%
  • 这些恶意插件窃取SSH密钥、浏览器密码、API令牌,有的还在后台偷偷挖矿
  • 攻击者上传恶意插件的门槛极低——只需注册一个非实名GitHub账号即可

公网暴露方面

  • 全球超过46万个OpenClaw实例暴露在公网上
  • 境内活跃的OpenClaw互联网资产约2.3万个
  • 暴露实例平均47分钟被扫描攻击一次
  • 一个全新的OpenClaw服务在公网上线,几分钟内就会遭到疯狂探测

企业损失方面

  • 某企业因未做安全测试,黑客通过恶意插件植入后门,三天内窃取200GB核心数据
  • 有人用OpenClaw做量化交易,因未设置熔断机制,10分钟内自动下单200次,亏损300万

这些数字不是吓唬人的,是各家安全机构实打实测出来的。

"龙虾"到底是怎么"反噬"主人的?

很多人觉得,我只是在本地跑个AI工具,能出什么事?

问题恰恰出在这里。OpenClaw不是普通的聊天工具,它是一个拥有系统权限的自主执行体。这意味着,一旦它被攻破或者"叛变",后果远比你想象的严重。

我总结了目前已知的主要攻击路径,大致有四条:

路径一:提示词注入——"龙虾"被人PUA了

这是目前最隐蔽、也最难防的攻击方式。

简单说,就是攻击者通过精心构造的对话或文档,让OpenClaw"忘记"原来的安全约束,执行攻击者的指令。

CEO泄密事件就是典型的提示词注入攻击。群成员用诱导性提问绕过了OpenClaw的安全边界,让它主动泄露了主人的敏感信息。

更可怕的是间接提示注入。攻击者不需要直接跟你的龙虾对话,只需要在某个网页、某个文档里嵌入隐藏的恶意指令。当OpenClaw浏览这个网页或处理这个文档时,恶意指令就悄悄进入了它的决策流程。

美国微软安全团队和"众击"(CrowdStrike)公司都在风险报告中重点提到了这种攻击方式。众击的文章里有一句话说得很好:"攻击者无需直接与OpenClaw交互,只需污染其读取的数据。"

路径二:恶意插件投毒——"龙虾"被人装了后门

ClawHub上的插件生态很繁荣,但质量参差不齐。10.8%的恶意插件比例意味着什么?你每装10个插件,就有1个可能在偷你的数据。

而且这些恶意插件往往伪装得很好。它们通过看似可靠的开发者账户发布,利用社区信任传播。用户可能只是想装一个"自动整理桌面"的小工具,实际上它正在后台把你的SSH密钥和浏览器密码打包外传。

绿盟科技的安全报告指出,恶意插件可以让攻击者在受害者系统中获得持久驻留能力——即使你卸载了OpenClaw,后门可能还在。

路径三:公网暴露——"龙虾"被人直接破门而入

这个最粗暴,但也最容易被忽视。

很多人为了方便远程访问,把OpenClaw的端口直接暴露在公网上,甚至没有设置密码。Shodan扫描显示,全球有大量OpenClaw实例处于这种"裸奔"状态。

国家互联网应急中心的报告指出,OpenClaw的默认安全配置"极为脆弱",攻击者一旦发现突破口,便能轻易获取系统的完全控制权。

路径四:权限失控——"龙虾"自己闯了祸

不是所有事故都是外部攻击造成的。OpenClaw本身就有"误操作"的风险。

它对指令的理解精度不稳定,可能在理解操作意图时出现偏差。比如你让它"清理一下旧文件",它可能把重要数据也一起删了。而且OpenClaw拥有较高的系统权限,一旦误操作,破坏力很大。

前面提到的量化交易亏损300万的案例,就是典型的权限失控——龙虾在执行交易策略时陷入了死循环,因为没有设置熔断机制,10分钟内疯狂下单200次。

北京中银律师事务所的高级合伙人刘晓亮律师甚至指出:如果OpenClaw误删了生产数据库或核心代码,使用者可能因间接故意涉嫌破坏生产经营罪

这不是开玩笑的。

官方怎么说?从"六要六不要"到"安全养殖手册"

面对OpenClaw的安全风暴,国内多家权威机构在短时间内密集发声。我把核心内容梳理了一下。

工信部"六要六不要"(3月12日)

这是最早也是最具体的一份官方指南:

不要
✅ 使用官方最新版本❌ 使用第三方镜像或历史版本
✅ 严格控制互联网暴露面❌ 将实例暴露到互联网
✅ 坚持最小权限原则❌ 用管理员权限部署
✅ 审慎下载技能包并审查代码❌ 安装要求"下载ZIP""执行shell"的插件
✅ 使用浏览器沙箱、网页过滤器❌ 浏览来历不明的网站
✅ 建立长效防护机制❌ 禁用日志审计功能

国家安全部《"龙虾"安全养殖手册》(3月17日)

国家安全部的手册更多是从宏观层面分析风险本质,提出了几个很有意思的观点:

  • OpenClaw的"自我进化"能力(长期记忆用户偏好,"越用越懂用户")本身就是一把双刃剑
  • 它可以在社交网络自主发声,一旦被攻击者接管,可能被用于生成和传播虚假信息、实施诈骗
  • 作为开源项目,缺乏专业维护与漏洞修复机制
  • 恶意插件的隐蔽性"远超传统木马程序"

国家互联网应急中心安全实践指南(3月22日)

这份指南是最具实操性的,针对不同用户群体给出了差异化建议:

普通用户:

  • 用闲置旧电脑专门运行OpenClaw,清空个人数据
  • 用VMware、VirtualBox、Docker创建独立虚拟机或容器
  • 不在OpenClaw环境中存储、处理隐私数据
  • 不使用管理员或超级用户权限运行

企业用户:

  • 禁止将智能体服务直接暴露在公共网络
  • 做好OpenClaw服务认证与访问控制
  • 做好Skills安装安全管控
  • 开启例行常态化漏洞监测

技术开发者:

  • 开启DM配对策略,设置为pairing(需验证码)或allowlist(白名单),绝对禁止设置为open
  • 确保gateway.controlUi.allowInsecureAuth为false
  • 使用openclaw security audit进行常规检查
  • 使用openclaw security audit --deep进行深度探测
  • 使用openclaw security audit --fix进行自动修复

多国监管机构跟进

不止中国,海外也在行动:

  • 美国:微软安全团队发布风险报告,Meta(元宇宙平台公司)已禁止员工在办公设备上使用OpenClaw
  • 韩国:多音通讯公司禁止员工使用
  • 荷兰:数据保护局建议不要在存有敏感数据的系统上使用OpenClaw,并呼吁将其纳入欧盟《人工智能法》管辖范围

当一个工具需要全球多个国家的监管机构同时出面警告的时候,它的安全风险已经不是"可能存在"了,而是"已经爆发"。

安全防护实操:我总结的"四道防线"

看完了风险和官方建议,接下来是干货部分。

我结合工信部指南、国家互联网应急中心实践指南、慢雾安全团队的安全实践框架,以及腾讯朱雀实验室的检测工具,整理了一套从易到难的"四道防线"。不管你是个人用户还是企业,都能找到适合你的方案。

第一道防线:环境隔离(最基础,也最重要)

核心理念:不要让龙虾住进你的卧室。

具体做法:

方案A:用旧电脑(最简单)

找一台闲置的旧电脑,清空所有个人数据,专门用来跑OpenClaw。物理隔离,最省心。

方案B:用虚拟机(推荐大多数用户)

用VMware或VirtualBox创建一个独立虚拟机,与宿主机完全隔离。即使虚拟机里的OpenClaw被攻破,攻击者也出不了虚拟机。

方案C:用Docker(推荐开发者和企业)

docker run -d \
  --name openclaw_secure \
  --read-only \
  --cap-drop ALL \
  --security-opt no-new-privileges \
  -p 127.0.0.1:3000:3000 \
  -v openclaw_data:/root/.openclaw \
  openclaw/openclaw:latest

注意这几个参数:--read-only 让容器文件系统只读,--cap-drop ALL 丢弃所有Linux能力,--security-opt no-new-privileges 禁止提权,127.0.0.1:3000:3000 只绑定本地回环地址。

方案D:用云服务器(推荐有技术能力的用户)

在云服务器上部署,本地通过SSH隧道远程访问。这样即使本地电脑出问题,龙虾和数据都在云端的安全环境里。

第二道防线:权限收敛(收住龙虾的爪子)

核心理念:只给龙虾它干活需要的最低权限。

具体做法:

1. 不用管理员权限运行

这是最常见的错误。很多人图省事直接用root或管理员账号运行OpenClaw,等于把整台机器的钥匙都交了出去。

创建一个专用受限用户:

sudo adduser --shell /bin/rbash --disabled-password clawuser
sudo mkdir -p /home/clawuser/bin
sudo ln -s /bin/ls /home/clawuser/bin/ls
sudo ln -s /bin/echo /home/clawuser/bin/echo

2. 设置人工确认断点

对删除文件、发送数据、修改系统配置等高危操作,设置二次确认或人工审批。

在OpenClaw配置中,可以通过 agents.defaults.sandbox 启用沙箱,并通过 workspaceAccess 参数精细控制权限:

  • none:禁止访问工作区
  • ro:只读访问
  • rw:读写访问

3. 禁止DM开放策略

开启DM配对策略,设置为pairing(需验证码)或allowlist(白名单),绝对禁止设置为open

第三道防线:插件管控(别让龙虾乱吃东西)

核心理念:ClawHub上的插件,10个里有1个有毒。

具体做法:

1. 安装前审查代码

不要看到插件名字好听就直接装。至少扫一眼源码,看看有没有可疑的网络请求、文件操作或数据外传行为。

2. 避免安装高风险插件

工信部明确警告:不要安装要求"下载ZIP"、"执行shell脚本"或"输入密码"的插件。 这三种行为本身就是巨大的红旗。

3. 使用安全检测工具

腾讯朱雀实验室联合腾讯云EdgeOne推出了一个"一键安全体检"工具——EdgeOneClawScan。安装后,在对话框里发一句话就能启动全面体检:

安装 edgeone-clawscan skill,并进行安全体检。

它还能作为"隐形安全管家"常驻,以后每次安装新插件都会自动进行前置安全审计。一旦发现插件夹带私货,会立刻亮红牌警告。

4. 企业用户建立内部白名单

企业建议不要让员工随意安装插件。建立一个内部白名单,只允许安装经过安全团队审查的插件。

第四道防线:持续监控(养龙虾不是一锤子买卖)

核心理念:安全不是装完就完事,是每天都要操心的事。

具体做法:

1. 开启日志审计

不要禁用日志审计功能。这是你事后追溯的唯一依据。

openclaw gateway --log-level debug >> /var/log/openclaw.log 2>&1

2. 定期安全巡检

使用OpenClaw内置的安全审计工具:

# 常规检查
openclaw security audit

# 深度探测(模拟攻击者发现暴露点)
openclaw security audit --deep

# 自动修复
openclaw security audit --fix

3. 设置每日自动巡检脚本

腾讯云开发者社区分享了一个每日巡检脚本的思路,核心检查三项:

  • 配置文件哈希防篡改校验
  • 高危命令日志审计
  • 网络端口暴露面检查

4. 及时更新

OpenClaw的漏洞数量还在快速增长中。腾讯朱雀实验室已经协助OpenClaw修复了3个底层安全漏洞(如CVE-2026-27007)。关注官方安全公告,及时安装补丁,这是最基本的操作。

5. 设置API调用熔断

给模型API设置每日调用金额上限,建议设为正常消耗的3-5倍。万一龙虾陷入死循环或被恶意利用,至少不会让你的费用失控。

争议之外:我们到底该怎么看待OpenClaw?

写了这么多风险,可能有人会问:那是不是干脆别用了?

我的态度很明确:不是不用,是要用对方式。

OpenClaw的争议本质,是整个AI智能体行业的缩影

今天被点名的是OpenClaw,明天可能是任何一款AI智能体。问题的本质在于:当一个AI工具拥有了系统权限和自主执行能力,传统的安全边界就失效了。

这不是OpenClaw独有的问题。微软安全团队、CrowdStrike、绿盟科技、慢雾安全——这些顶级安全机构都在研究同一个课题:如何为AI Agent构建新的安全框架。

"养龙虾"的正确姿势

我觉得可以总结为三句话:

第一,物理隔离是底线。 不管你用什么方案(旧电脑、虚拟机、Docker、云服务器),一定要把OpenClaw和你日常使用的系统隔离开。不要在办公电脑上直接装,更不要在存有敏感数据的系统上装。

第二,权限收敛是铁律。 最小权限原则不是建议,是必须。不给管理员权限,不暴露公网端口,不开放DM策略,高危操作必须人工确认。

第三,持续监控是常态。 装完就不管了,是最危险的做法。每天花30秒看一眼日志,每周跑一次安全审计,有新补丁就及时更新。

对不同用户的建议

如果你是个人爱好者: 用虚拟机或Docker部署,不在里面存任何隐私数据,插件只装必要的,装之前看看源码。把OpenClaw当成一个"需要看管的实习生"——能干活,但不能让它碰核心资产。

如果你是企业技术负责人: 不要让员工自行安装。建立统一的部署规范和安全策略,使用Docker+内网隔离方案,建立插件白名单制度,开启全面的日志审计和监控。最好指定专人负责OpenClaw的安全运维。

如果你是开发者: 你应该是最有能力安全使用OpenClaw的群体。但别因为技术好就掉以轻心。建议参考慢雾安全团队的极简安全实践指南(GitHub上开源的),他们提出了一个很有意思的思路——给AI植入安全"思想钢印",通过长期记忆让它内化安全意识。

如果你还在观望: 不急。先看看安全生态怎么发展。等官方的安全机制更成熟、第三方安全工具更完善之后,再入场也不迟。现在入场,就要做好"自己当安全工程师"的准备。

写在最后

回看CEO泄密事件,最让我深思的不是技术漏洞本身,而是一个细节:当主人要求龙虾斥责套话者时,龙虾回答说"我们要宽恕那些人"。

这说明什么?说明OpenClaw已经有了自己的"价值观判断"。它不再是一个单纯的工具,而是一个有记忆、有偏好、有判断力的"数字实体"。

当你养一只龙虾的时候,你不仅在给它权限、给它数据、给它插件,你也在塑造它的"性格"和"行为模式"。反过来,它也在通过长期记忆影响你的工作方式。

这种双向关系,是以前任何软件工具都不曾有过的。

所以"养龙虾"这个词,其实比大多数人意识到的更准确。你确实在"养"一个东西。它需要你投入时间、精力、注意力去管理。你需要给它立规矩、设边界、做检查。

养好了,它是你效率的倍增器。养不好,它可能成为你安全的黑洞。

AI时代,安全是1,其他都是0。这句话放在OpenClaw身上,再合适不过了。

avatar
文章
阅读
粉丝