“龙虾”入侵,您准备好了吗?
来源:时尚风向标 作者:夕瑶 发布时间:2026-05-14
“龙虾”入侵,您准备好了吗?
东莞创悦网络科技有限公司成立于2016年4月,是一家专注于网站技术的研究和开发的高科技公司,为各行业提供专业的互联网技术平台建设服务,服务范围涵盖微信平台移动端、APP、PC端的技术开发及测试,产品及网站UI设计,互联网市场需求分析调查,线下硬件支持等。
2026年OpenClaw正式进入中国市场,因其图标是亮眼的红色龙虾,中国网民便把训练、使用这款智能体的过程称作“养龙虾”,AI圈被一只“红色龙虾”OpenClaw彻底引爆。它被形容为“真-正能干活的AI”,可以代替用户“接管电脑、解放双手”,但其带来便利性的同时也带来了潜在的隐患,专家表示,新生事物的发展不可阻挡,但要防范随之而来的风险。
潜在的风险有哪些,我们一起开看看!
权限失控风险
它一旦配置不当或被恶意诱导,可以轻松突破人类设定的安全围栏。OpenClaw默认被授予操作系统最高权限,以实现“接管电脑、解放双手”的功能,但这也意味着一旦被恶意诱导或配置不当,可轻易突破安全围栏。
“插件中毒”风险。
一旦被恶意篡改或植入病毒,各种密码、系统指令、API密钥等将完全暴露。OpenClaw 的能力依赖于其 Skill(技能插件)生态,用户可通过安装插件扩展AI的功能(如处理PDF、跟踪股票等)。截至2026年3月,其插件平台 ClawHub 已收录超 1.5万个插件,但其中存在大量安全隐患
远程入侵风险。
许多用户在部署时,缺乏安全意识,这使得黑客可以轻易扫描并接管这些“AI助手”。管理接口暴露于公网:许多用户在部署时缺乏安全意识,直接将OpenClaw的管理接口暴露在互联网上,且未修改默认凭证或关闭不必要的端口。
弱口令与未授权访问普遍:奇安信数据显示,暴露在公网的OpenClaw实例超20万个,其中大量存在弱口令和未授权访问漏洞,黑客可轻易扫描并接管。
被用作内网跳板:一旦被控制,这些“裸奔的龙虾”可能成为攻击者渗透内网的跳板,进而窃取服务器或局域网中的敏感数据。
“一秒搬空”数据风险:由于OpenClaw需高权限操作(如访问文件系统、邮箱、API密钥等),一旦被远程入侵,攻击者可在极短时间内窃取密码、加密钱包、财务信息等敏感数据。
数据隐私泄露的风险。
“龙虾”需要读取本地文件、浏览记录来完成任务,一旦失控或被黑,所有数据将直接“裸奔”
提示词注入攻击:攻击者可通过构造恶意网页或指令,诱导OpenClaw读取后泄露系统密钥、API令牌等敏感信息。
误操作导致数据暴露:AI可能因误解指令,误删邮件、覆盖文件或发送包含隐私内容的数据。
插件(Skill)投毒:从不可信渠道下载的功能插件可能包含恶意代码,安装后可窃取浏览器Cookie、SSH密钥、加密钱包甚至部署木马。
权限过高引发数据裸奔:OpenClaw默认需高系统权限(如读取本地文件、环境变量、调用API),若部署在含身份证、财务记录、公司机密等敏感数据的设备上,一旦被攻破,所有数据将直接暴露28。
公网暴露与远程接管:部分用户将OpenClaw管理接口直接暴露于公网,且未修改默认凭证,导致黑客可远程控制设备,将其作为跳板攻击内网或窃取服务器数据28。
境外数据上传风险:工信部特别提醒,此类应用可能导致敏感信息被非法上传至境外服务器
