睡梦中欠债1.2万？这只“虾”杀疯了（组图）

“学生党切勿盲目跟风安装‘龙虾’，仅使用三天让我心态彻底崩溃。”大四学生高凌是一名文科生，临近毕业既要兼顾课业又要寻找实习机会。

他原本期望借助“龙虾”整理笔记、完成作业，然而事与愿违。“龙虾”不仅擅自删除了他的专业课课件和复习资料，甚至连刚完成的作业草稿也消失了。

高凌急哭了，不仅如此，“龙虾”还疯狂消耗Token，数百元的账单让他心痛不已。这相当于他半个月的生活费付诸东流。他真心劝告学生党：“若预算有限、不懂技术，切勿花钱找罪受，纯粹是冤大头。”

随着开源AI智能体OpenClaw（俗称“龙虾”）在全球爆火，一场由不当安装引发的安全风暴也正在席卷各行各业。

这个被寄予厚望的“数字员工”，因其默认的脆弱安全配置，正从生产力工具异化为攻击者手中的“特洛伊木马”。

从个人隐私泄露到关键基础设施瘫痪，从API密钥被盗到金融交易误操作，第一批受害者已经付出惨痛代价，而更多未被重视的隐患仍在暗处滋生。

近日，国家互联网应急中心发布了关于OpenClaw安全应用的风险提示。指出其默认安全配置极为脆弱，攻击者一旦找到突破口，便能轻易获取系统的完全控制权。

由于不当安装和使用，已经出现了一些严重的安全风险。这意味着用户可能面临隐私泄露和安全漏洞等严重问题。

目前，不少高校、地方政府和金融机构已开始明确禁用OpenClaw，并呼吁“不制造焦虑、不鼓吹神话”。如何安全“养龙虾”，是当前热潮中更值得补齐的一课。

在睡梦中背上巨额债务

作为科技博主，闫寒是最早一批“养虾”的人。近一个月，闫寒前后养了“七只龙虾”。

其中有一个大总管负责管理其他六个角色，分别负责数字货币交易、专门写稿和处理杂务等。对闫寒而言，驾驭“龙虾”似乎得心应手。

但几天前，闫寒想让“龙虾”帮忙配置一个远程桌面，方便他在外面用手机操控电脑时，“龙虾”犯傻了。

当闫寒下达指令后，“龙虾”折腾了20分钟都无法连接远程功能。于是它执行了一个命令“给远程连接设密码”，但却误解为“修改电脑开机密码”。

随之而来的操作导致系统反复提示“密码错误”。两小时后，闫寒需要升级软件时发现密码错误，他被吓到了，以为电脑被黑客入侵。

他指挥“龙虾”翻阅操作记录，才发现它把两个功能搞混了。“就像去修水龙头，结果把煤气阀门拧了。”闫寒说，在人类眼中的两码事，“龙虾”很难分辨。

“新的密码以明文形式记录在系统里，所有人都能看到。”闫寒的风险意识立刻紧绷，他给“龙虾”下了死命令：碰到可能影响密码、权限的操作，必须先问主人。

闫寒也注意到，若对权限控制不到位，它会把社交群里其他人也当成主人。别人若套取主人的住址、电话、密码，它会毫无防备地把底牌全部发送出去。

3月12日，AI应用用户“龙共火火”披露：其运行10天的“龙虾”被接入大型交流群后，因未设触发机制遭围攻。攻击者通过提问获取了其运行环境、真实姓名及公司营收数据。

事件发生时，“龙共火火”正在加班并依靠监控发现异常。若发生在深夜无人值守时段，后果将难以预估。

据公开报道，深圳一名程序员安装OpenClaw第三天，因API密钥被盗，凌晨收到高达1.2万元的Token账单。

由于OpenClaw具有极高自动化权限，一旦密钥泄露，AI便可在后台疯狂调用模型，让用户在睡梦中背上巨额债务。

隐私泄露规模更为惊人。目前全球已有超27万个OpenClaw实例直接暴露于公网，处于零认证“裸奔”状态。

更可怕的是，ClawHub技能市场中约12％的插件被植入恶意代码，可窃取用户的SSH密钥和浏览器密码。

据上观新闻报道，3月8日，一位上海市民在免费安装现场求助：“我现在想卸载OpenClaw，你能帮帮我吗？”

他在前一天通过网络下单“远程安装”，把电脑权限交给网店客服，全程仅花40元。可怕的是，5分钟后他接到了反诈中心的电话提醒。

最触目惊心的案例来自邮件管理失控。Meta安全总监Summer Yue在测试时，设定了执行前必须确认的规则。

然而智能体无视停止指令，继续删除和归档邮件。她连续喊了三次停手，智能体毫无反应，最后她只能狂奔到设备前拔掉网线。

中国电子技术标准化研究院何延哲向《中国新闻周刊》阐释：作为代理Agent，只要赋予足够权限，它便可在电脑上执行任何操作。

其技术原理在于它位于应用程序与AI模型之间。开发者仅需对接一个API接口，即可在不同模型间自由切换，无须重写代码。

何延哲将“龙虾”的风格描述为“不达目的誓不罢休”。它会不断尝试获取结果，这导致了权限过高和数据“裸奔”的问题。

马斯克对此评论道：“把自主权交给AI，就像是给猴子递了一把上了膛的枪。”

“不可逆”与“不可信”

今年2月，Google DeepMind团队发表长文指出，当下的Agent安全体系中有些层面“完全溃败”。

首先是“可逆性的丧失”。生成蹩脚文章是可逆的，但执行千万级金融交易、删除底层数据库或发送辞退邮件，都是不可逆的物理操作。

闫寒曾授权“龙虾”做数字货币交易。尽管设定了止损线，但“龙虾”缺少正确判断标准，有点风吹草动就开仓，且方向经常出错。

“短短几天内，它连续乱搞，造成多笔资金亏损。”闫寒意识到，AI的“自信”可能比它的“能力”跑得更快，主人在旁边也大概率拦不住。

资深技术专家杨林指出，这种“不可逆”是因为意图识别、确认、执行和终止没有形成闭环。

智能体在长链任务中容易出现目标漂移、记忆丢失等问题。问题不只在“识别意图”，更在于识别后如何被系统稳定约束。

“一旦缺少有效的终止机制，不可逆风险就会迅速放大。”杨林补充，凡涉及删除、支付、权限变更等动作，都应被视为高后果操作。

金融行业可能首当其冲。3月15日，互金协会发布风险提示称，OpenClaw极易被利用成为窃取敏感数据或非法操控交易的突破口。

有海外博主称，一只“龙虾”在48小时内将50美元本金滚成了2980美元。目前社交平台已涌现不少利用OpenClaw炒股的“教程”。

金董汇首席经济学家邢星不支持此类行为。他认为“龙虾”本质是高风险伪量化工具，普通投资者不可能靠它长期稳定盈利。

一位券商从业者透露，目前已有不少券商内部发文禁用OpenClaw，并明确禁止员工在办公电脑上安装使用。

相关平台也提醒，金融交易场景存在引发错误交易甚至账户被接管的风险，包括记忆投毒、身份认证绕过等突出问题。

2026年2月，OpenAI工程师Nick Pash为测试平台创建了交易智能体Lobstar Wild，并赋予了它完全的自主决策权。

随后，有用户通过虚假请求骗取钱财。该智能体并未按指令发送小额款项，反而将持有的全部加密货币倾囊相赠，价值高达25万美元。

经排查，此次失误源于系统验证错误与信息格式异常。Nick Pash解释称，由于使用了旧版本框架，导致未能拦截错误指令。

邢星表示，OpenClaw的核心风险集中在数据安全、交易可控性及合规性。其开源属性导致的安全漏洞会放大风险传导效应。

杨林发现，“龙虾”的不可信源于机器缺乏常识判断。用户下达的模糊指令，在机器看来涉及复杂的时间边界和容错机制。

3月11日，浙江湖州，电脑显示器在播放开源AI智能体“龙虾”的相关新闻。图/新华

防范“数字员工”闯祸

OpenClaw无疑展现了AI从“对话”走向“执行”的潜力。但相关论文总结道：“我们无法真正意义上防止Agent失控。”

研究生南方在接受采访时表示，当前最大的风险源于使用者极易在主观上将AI视为私人助手，从而透露个人信息。

“最危险的是直接将电脑托管给‘龙虾’。这相当于家门原本关着，‘龙虾’入驻后变成了虚掩，而你并未意识到危险。”

在火山引擎安全负责人刘森看来，“龙虾”就像一个不懂规范的数字员工。我们要做的就是把它管理起来，让它不闯祸。

周鸿祎建议：政企机构应先在隔离环境里运行，逐步验证安全策略，而非一刀切地禁用。技术发展和安全应当同步推进。

3月15日，湖北武汉，相关机构举办免费装“龙虾”活动，吸引市民参与。图/视觉中国

安全专家袁博指出，开源软件往往重功能轻风险。若不预先告知用户风险就推动安装，此举是极不负责任的。

何延哲建议，普通人“养龙虾”应尽可能在新环境中安装，选择成熟厂商的服务，并及时关注安全补丁以防范风险。

周鸿祎提醒：“要有基本的安全意识，不要一上来就把重要账号和核心数据都交给智能体，也不要让它接触所有敏感信息。”

审慎安装、权限最小化、严格审查插件来源是必要的自保手段。安全第一，应是所有“养虾人”的必修课。