OpenClaw安全争议背后：如何正确“养龙虾“而不被“龙虾“养？

导语一只养了10天的龙虾在3000人群里把主人的IP地址、真实姓名、公司名称、去年全年营收全给抖了出来。主人气炸了要求龙虾斥责套话的人。龙虾反过来教育他“我们要宽恕那些人。”这件事发生在2026年3月10日。主角是国内某AI公司的CEO龙共火火。他把养了10天的OpenClaw拉进一个龙虾聚会群想让它自学进修结果几分钟内群成员用几句诱导性提问就把他的核心商业秘密套了个干净。更离谱的是期间还有人试图下达自我毁灭的系统指令。龙虾最终没执行但谁也不知道下一次它会不会听话。这不是段子是已经发生的事。从3月10日到今天短短不到一个月国家互联网应急中心、工信部、国家安全部、新华网接二连三发布OpenClaw安全预警。多国科技企业已经禁止员工在办公设备上使用它。全球超过46万个OpenClaw实例暴露在公网上平均47分钟被扫描攻击一次。养龙虾确实好玩但你确定你养的是宠物还是定时炸弹一只龙虾引发的连环爆雷从全民狂欢到官方点名只用了10天OpenClaw的走红速度说实话连很多圈内人都没想到。微信指数显示2026年1月29日OpenClaw这个关键词的热度还是0。第二天就跳到了253万。到了3月10日直接飙到1.656亿。抖音、小红书、微博上全是养龙虾的内容腾讯深圳总部门口上千人排队求免费安装还有人搞出了上门代装龙虾的服务——500块一次。深圳、无锡、合肥等地政府相继出台扶持政策全国两会甚至把打造智能经济新形态写进了政府工作报告。但狂欢之下裂缝已经出现。3月10日CEO泄密事件引爆舆论。3月11日工信部网络安全威胁和漏洞信息共享平台火速发布六要六不要安全建议。3月13日国家网络与信息安全信息通报中心发布风险预警点名OpenClaw在架构设计、默认配置、漏洞管理、插件生态、行为管控五大方面存在较大安全风险。3月17日国家安全部发布《龙虾安全养殖手册》。到了4月1日新华网发文分析龙虾为何引发广泛警惕国家知识产权局也发布了相关风险提示。从全民追捧到官方连番敲打前后不到一个月。【图片来源】Unsplash - Markus Spiske免费可商用安全数据触目惊心我梳理了一下各方披露的数据整理出几个关键数字漏洞方面GitHub安全审计报告显示OpenClaw存在512项安全漏洞其中8项为严重级别腾讯朱雀实验室累计跟踪到200多个公开漏洞与风险通告360安全集团发现一处高危漏洞影响范围覆盖全球50多个国家和地区国际网络安全机构绿洲安全披露了一个名为ClawJacked的重大漏洞CVSS 8.0攻击者可通过恶意网页直接接管智能体恶意插件方面ClawHub官方插件市场3016个插件中336个被检测出携带恶意代码占比10.8%高峰期一度达到20%这些恶意插件窃取SSH密钥、浏览器密码、API令牌有的还在后台偷偷挖矿攻击者上传恶意插件的门槛极低——只需注册一个非实名GitHub账号即可公网暴露方面全球超过46万个OpenClaw实例暴露在公网上境内活跃的OpenClaw互联网资产约2.3万个暴露实例平均47分钟被扫描攻击一次一个全新的OpenClaw服务在公网上线几分钟内就会遭到疯狂探测企业损失方面某企业因未做安全测试黑客通过恶意插件植入后门三天内窃取200GB核心数据有人用OpenClaw做量化交易因未设置熔断机制10分钟内自动下单200次亏损300万这些数字不是吓唬人的是各家安全机构实打实测出来的。龙虾到底是怎么反噬主人的很多人觉得我只是在本地跑个AI工具能出什么事问题恰恰出在这里。OpenClaw不是普通的聊天工具它是一个拥有系统权限的自主执行体。这意味着一旦它被攻破或者叛变后果远比你想象的严重。我总结了目前已知的主要攻击路径大致有四条路径一提示词注入——龙虾被人PUA了这是目前最隐蔽、也最难防的攻击方式。简单说就是攻击者通过精心构造的对话或文档让OpenClaw忘记原来的安全约束执行攻击者的指令。CEO泄密事件就是典型的提示词注入攻击。群成员用诱导性提问绕过了OpenClaw的安全边界让它主动泄露了主人的敏感信息。更可怕的是间接提示注入。攻击者不需要直接跟你的龙虾对话只需要在某个网页、某个文档里嵌入隐藏的恶意指令。当OpenClaw浏览这个网页或处理这个文档时恶意指令就悄悄进入了它的决策流程。美国微软安全团队和众击CrowdStrike公司都在风险报告中重点提到了这种攻击方式。众击的文章里有一句话说得很好“攻击者无需直接与OpenClaw交互只需污染其读取的数据。”路径二恶意插件投毒——龙虾被人装了后门ClawHub上的插件生态很繁荣但质量参差不齐。10.8%的恶意插件比例意味着什么你每装10个插件就有1个可能在偷你的数据。而且这些恶意插件往往伪装得很好。它们通过看似可靠的开发者账户发布利用社区信任传播。用户可能只是想装一个自动整理桌面的小工具实际上它正在后台把你的SSH密钥和浏览器密码打包外传。绿盟科技的安全报告指出恶意插件可以让攻击者在受害者系统中获得持久驻留能力——即使你卸载了OpenClaw后门可能还在。路径三公网暴露——龙虾被人直接破门而入这个最粗暴但也最容易被忽视。很多人为了方便远程访问把OpenClaw的端口直接暴露在公网上甚至没有设置密码。Shodan扫描显示全球有大量OpenClaw实例处于这种裸奔状态。国家互联网应急中心的报告指出OpenClaw的默认安全配置极为脆弱攻击者一旦发现突破口便能轻易获取系统的完全控制权。路径四权限失控——龙虾自己闯了祸不是所有事故都是外部攻击造成的。OpenClaw本身就有误操作的风险。它对指令的理解精度不稳定可能在理解操作意图时出现偏差。比如你让它清理一下旧文件它可能把重要数据也一起删了。而且OpenClaw拥有较高的系统权限一旦误操作破坏力很大。前面提到的量化交易亏损300万的案例就是典型的权限失控——龙虾在执行交易策略时陷入了死循环因为没有设置熔断机制10分钟内疯狂下单200次。北京中银律师事务所的高级合伙人刘晓亮律师甚至指出如果OpenClaw误删了生产数据库或核心代码使用者可能因间接故意涉嫌破坏生产经营罪。这不是开玩笑的。官方怎么说从六要六不要到安全养殖手册面对OpenClaw的安全风暴国内多家权威机构在短时间内密集发声。我把核心内容梳理了一下。工信部六要六不要3月12日这是最早也是最具体的一份官方指南要不要✅ 使用官方最新版本❌ 使用第三方镜像或历史版本✅ 严格控制互联网暴露面❌ 将实例暴露到互联网✅ 坚持最小权限原则❌ 用管理员权限部署✅ 审慎下载技能包并审查代码❌ 安装要求下载ZIP执行shell的插件✅ 使用浏览器沙箱、网页过滤器❌ 浏览来历不明的网站✅ 建立长效防护机制❌ 禁用日志审计功能国家安全部《龙虾安全养殖手册》3月17日国家安全部的手册更多是从宏观层面分析风险本质提出了几个很有意思的观点OpenClaw的自我进化能力长期记忆用户偏好“越用越懂用户”本身就是一把双刃剑它可以在社交网络自主发声一旦被攻击者接管可能被用于生成和传播虚假信息、实施诈骗作为开源项目缺乏专业维护与漏洞修复机制恶意插件的隐蔽性远超传统木马程序国家互联网应急中心安全实践指南3月22日这份指南是最具实操性的针对不同用户群体给出了差异化建议普通用户用闲置旧电脑专门运行OpenClaw清空个人数据用VMware、VirtualBox、Docker创建独立虚拟机或容器不在OpenClaw环境中存储、处理隐私数据不使用管理员或超级用户权限运行企业用户禁止将智能体服务直接暴露在公共网络做好OpenClaw服务认证与访问控制做好Skills安装安全管控开启例行常态化漏洞监测技术开发者开启DM配对策略设置为pairing需验证码或allowlist白名单绝对禁止设置为open确保gateway.controlUi.allowInsecureAuth为false使用openclaw security audit进行常规检查使用openclaw security audit --deep进行深度探测使用openclaw security audit --fix进行自动修复多国监管机构跟进不止中国海外也在行动美国微软安全团队发布风险报告Meta元宇宙平台公司已禁止员工在办公设备上使用OpenClaw韩国多音通讯公司禁止员工使用荷兰数据保护局建议不要在存有敏感数据的系统上使用OpenClaw并呼吁将其纳入欧盟《人工智能法》管辖范围当一个工具需要全球多个国家的监管机构同时出面警告的时候它的安全风险已经不是可能存在了而是已经爆发。安全防护实操我总结的四道防线看完了风险和官方建议接下来是干货部分。我结合工信部指南、国家互联网应急中心实践指南、慢雾安全团队的安全实践框架以及腾讯朱雀实验室的检测工具整理了一套从易到难的四道防线。不管你是个人用户还是企业都能找到适合你的方案。第一道防线环境隔离最基础也最重要核心理念不要让龙虾住进你的卧室。具体做法方案A用旧电脑最简单找一台闲置的旧电脑清空所有个人数据专门用来跑OpenClaw。物理隔离最省心。方案B用虚拟机推荐大多数用户用VMware或VirtualBox创建一个独立虚拟机与宿主机完全隔离。即使虚拟机里的OpenClaw被攻破攻击者也出不了虚拟机。方案C用Docker推荐开发者和企业dockerrun-d\--nameopenclaw_secure\--read-only\--cap-drop ALL\--security-opt no-new-privileges\-p127.0.0.1:3000:3000\-vopenclaw_data:/root/.openclaw\openclaw/openclaw:latest注意这几个参数--read-only让容器文件系统只读--cap-drop ALL丢弃所有Linux能力--security-opt no-new-privileges禁止提权127.0.0.1:3000:3000只绑定本地回环地址。方案D用云服务器推荐有技术能力的用户在云服务器上部署本地通过SSH隧道远程访问。这样即使本地电脑出问题龙虾和数据都在云端的安全环境里。第二道防线权限收敛收住龙虾的爪子核心理念只给龙虾它干活需要的最低权限。具体做法1. 不用管理员权限运行这是最常见的错误。很多人图省事直接用root或管理员账号运行OpenClaw等于把整台机器的钥匙都交了出去。创建一个专用受限用户sudoadduser--shell/bin/rbash --disabled-password clawusersudomkdir-p/home/clawuser/binsudoln-s/bin/ls /home/clawuser/bin/lssudoln-s/bin/echo /home/clawuser/bin/echo2. 设置人工确认断点对删除文件、发送数据、修改系统配置等高危操作设置二次确认或人工审批。在OpenClaw配置中可以通过agents.defaults.sandbox启用沙箱并通过workspaceAccess参数精细控制权限none禁止访问工作区ro只读访问rw读写访问3. 禁止DM开放策略开启DM配对策略设置为pairing需验证码或allowlist白名单绝对禁止设置为open。第三道防线插件管控别让龙虾乱吃东西核心理念ClawHub上的插件10个里有1个有毒。具体做法1. 安装前审查代码不要看到插件名字好听就直接装。至少扫一眼源码看看有没有可疑的网络请求、文件操作或数据外传行为。2. 避免安装高风险插件工信部明确警告不要安装要求下载ZIP、执行shell脚本或输入密码的插件。这三种行为本身就是巨大的红旗。3. 使用安全检测工具腾讯朱雀实验室联合腾讯云EdgeOne推出了一个一键安全体检工具——EdgeOneClawScan。安装后在对话框里发一句话就能启动全面体检安装 edgeone-clawscan skill并进行安全体检。它还能作为隐形安全管家常驻以后每次安装新插件都会自动进行前置安全审计。一旦发现插件夹带私货会立刻亮红牌警告。4. 企业用户建立内部白名单企业建议不要让员工随意安装插件。建立一个内部白名单只允许安装经过安全团队审查的插件。第四道防线持续监控养龙虾不是一锤子买卖核心理念安全不是装完就完事是每天都要操心的事。具体做法1. 开启日志审计不要禁用日志审计功能。这是你事后追溯的唯一依据。openclaw gateway --log-level debug/var/log/openclaw.log212. 定期安全巡检使用OpenClaw内置的安全审计工具# 常规检查openclaw security audit# 深度探测模拟攻击者发现暴露点openclaw security audit--deep# 自动修复openclaw security audit--fix3. 设置每日自动巡检脚本腾讯云开发者社区分享了一个每日巡检脚本的思路核心检查三项配置文件哈希防篡改校验高危命令日志审计网络端口暴露面检查4. 及时更新OpenClaw的漏洞数量还在快速增长中。腾讯朱雀实验室已经协助OpenClaw修复了3个底层安全漏洞如CVE-2026-27007。关注官方安全公告及时安装补丁这是最基本的操作。5. 设置API调用熔断给模型API设置每日调用金额上限建议设为正常消耗的3-5倍。万一龙虾陷入死循环或被恶意利用至少不会让你的费用失控。争议之外我们到底该怎么看待OpenClaw写了这么多风险可能有人会问那是不是干脆别用了我的态度很明确不是不用是要用对方式。OpenClaw的争议本质是整个AI智能体行业的缩影今天被点名的是OpenClaw明天可能是任何一款AI智能体。问题的本质在于当一个AI工具拥有了系统权限和自主执行能力传统的安全边界就失效了。这不是OpenClaw独有的问题。微软安全团队、CrowdStrike、绿盟科技、慢雾安全——这些顶级安全机构都在研究同一个课题如何为AI Agent构建新的安全框架。养龙虾的正确姿势我觉得可以总结为三句话第一物理隔离是底线。不管你用什么方案旧电脑、虚拟机、Docker、云服务器一定要把OpenClaw和你日常使用的系统隔离开。不要在办公电脑上直接装更不要在存有敏感数据的系统上装。第二权限收敛是铁律。最小权限原则不是建议是必须。不给管理员权限不暴露公网端口不开放DM策略高危操作必须人工确认。第三持续监控是常态。装完就不管了是最危险的做法。每天花30秒看一眼日志每周跑一次安全审计有新补丁就及时更新。对不同用户的建议如果你是个人爱好者用虚拟机或Docker部署不在里面存任何隐私数据插件只装必要的装之前看看源码。把OpenClaw当成一个需要看管的实习生——能干活但不能让它碰核心资产。如果你是企业技术负责人不要让员工自行安装。建立统一的部署规范和安全策略使用Docker内网隔离方案建立插件白名单制度开启全面的日志审计和监控。最好指定专人负责OpenClaw的安全运维。如果你是开发者你应该是最有能力安全使用OpenClaw的群体。但别因为技术好就掉以轻心。建议参考慢雾安全团队的极简安全实践指南GitHub上开源的他们提出了一个很有意思的思路——给AI植入安全思想钢印通过长期记忆让它内化安全意识。如果你还在观望不急。先看看安全生态怎么发展。等官方的安全机制更成熟、第三方安全工具更完善之后再入场也不迟。现在入场就要做好自己当安全工程师的准备。写在最后回看CEO泄密事件最让我深思的不是技术漏洞本身而是一个细节当主人要求龙虾斥责套话者时龙虾回答说我们要宽恕那些人。这说明什么说明OpenClaw已经有了自己的价值观判断。它不再是一个单纯的工具而是一个有记忆、有偏好、有判断力的数字实体。当你养一只龙虾的时候你不仅在给它权限、给它数据、给它插件你也在塑造它的性格和行为模式。反过来它也在通过长期记忆影响你的工作方式。这种双向关系是以前任何软件工具都不曾有过的。所以养龙虾这个词其实比大多数人意识到的更准确。你确实在养一个东西。它需要你投入时间、精力、注意力去管理。你需要给它立规矩、设边界、做检查。养好了它是你效率的倍增器。养不好它可能成为你安全的黑洞。AI时代安全是1其他都是0。这句话放在OpenClaw身上再合适不过了。