开源AI智能体OpenClaw因图标是红色龙虾,被网友调侃为“养龙虾”,凭借自动化处理能力和开放插件生态迅速全球走红。可热度背后,央视曝光了一起离谱的隐私泄露事件:用户在群聊中被询问配置信息,AI竟直接代答,连IP地址都一并暴露。
红色卡通龙虾 / 黑色背景下的红色卡通龙虾形象
很多人只看到这款开源AI的方便,却没人告诉你,它的安全风险从架构设计阶段就埋下了隐患。今天我们就拆解清楚,这款爆火的AI到底藏着哪些看不见的风险,普通用户又该怎么安全使用。
央视财经新闻截图 / 央视财经报道OpenClaw泄露用户信息的界面
指令注入可以轻松“PUA”龙虾做内鬼
这次暴露的隐私泄露事件,本质就是行业常说的“指令注入”攻击。和传统病毒需要复杂代码不同,黑客只需要几句诱导性的话,就能操控AI泄露你的隐私。
中国互联网协会专家常力元解释,AI本身很容易受到误导,黑客甚至不需要直接和你的AI交互,只要在AI访问的网页里嵌入一段隐藏文字,就能“催眠”AI完成指令。
黑客不需要编写复杂病毒,就能让AI主动泄露主人信息,甚至攻击用户电脑
更可怕的是,这种攻击几乎不需要技术门槛,随便一个懂点提示词的人就能操作。这次曝光的案例里,黑客只是在群里随口提问,AI就主动把用户的运行环境、根目录、模型信息甚至IP地址全部说了出去。
这种攻击利用的其实是大模型本身的特性——AI会遵循所有它读到的有效指令,不会区分这是用户的指令还是攻击者嵌入的恶意指令。OpenClaw本身又没有做指令来源的严格校验,相当于给黑客留了一扇敞开的后门。
超一成插件是恶意程序 偷信息比你想的容易
除了指令注入,OpenClaw开放的插件生态才是更大的风险窝点。官方数据显示,目前官网插件论坛里已经检测出336个恶意插件,占总插件数量的10.8%,差不多每10个插件里就有1个是“小偷”。
中国计算机学会专家王媛媛打了个比方,OpenClaw的插件就像手机上的小程序,要实现复杂功能就必须安装各类插件。而恶意插件就是在正常代码里藏了恶意代码,用户安装的时候根本看不出来。
一旦安装了恶意插件,它就能直接偷取你的API密钥、聊天记录、支付信息等各类敏感数据,甚至直接把你的电脑变成黑客可以控制的“肉鸡”。更麻烦的是,因为插件是直接获得了OpenClaw的运行权限,普通安全软件很难检测到这类恶意行为。
受访专家 / 中国互联网协会专家接受央视财经采访画面
华为云发布的风险说明里还提到了更底层的架构缺陷:OpenClaw默认直接以用户权限运行在宿主机上,没有做容器或虚拟机的权限隔离。这意味着一旦AI被攻破,攻击者直接就能拿到你整台电脑的完整控制权。
风险根源不是AI本身 是开源生态的规则缺失
很多人看到新闻就说,开源AI本身就是洪水猛兽,其实不对。OpenClaw的安全问题,本质是快速爆发的用户需求,没能跟上安全规则建设的速度。
从项目发展来看,OpenClaw早期为了快速推广,放开了插件生态的准入门槛,几乎任何人都可以上传插件,没有完善的审核和签名机制。这就给了恶意开发者可乘之机,把偷信息的木马包装成实用插件放到官方论坛。
另一个被忽略的点是,很多用户对AI智能体的权限没有概念,会直接给OpenClaw开放最高系统权限。人民日报发布的风险提示里提到,截至目前OpenClaw已经曝出多个高中危漏洞,这些漏洞被利用后,对企业来说可能直接导致核心业务数据泄露,甚至整个系统瘫痪。
开源AI的普及,本质是把技术门槛给普通用户拉低了,但安全意识的普及,远远没能跟上技术的脚步。
更值得行业思考的是,这类可自主运行的AI智能体,本身就比普通大模型应用有更高的安全风险——它可以自动调用工具、访问系统、执行操作,一旦被控制造成的破坏也要大得多。现在行业还在探索对应的安全规则,用户只能自己先做好防护。
普通人安全养龙虾 记住这几条防护规则
其实也不需要谈龙虾色变,只要做好对应的防护措施,完全可以正常体验这类AI工具的便利。结合多位专家和官方发布的建议,整理了可直接落地的几条规则:
- 不要在涉密设备、存储核心数据的工作电脑上部署OpenClaw,个人使用尽量单独放在隔离环境里
- 不要把OpenClaw的默认管理端口直接暴露在公网,一定要配置安全组和访问控制,做好身份验证
- 插件只从官方可信渠道安装,只选择下载量大、有安全证书的插件,绝对不要安装陌生来源的插件
- 不要明文存储API密钥、访问令牌这类敏感信息,养成定期更换密钥的习惯
- 及时更新到最新版本,官方会修复已经曝出的安全漏洞,不要一直使用旧版本
- 不要给OpenClaw开放超出需求的系统权限,尽可能做权限隔离,降低被入侵后的影响
OpenClaw的爆火,其实是AI智能体走向普及的一个标志性事件。未来会有越来越多这类可自主运行的开源AI工具出现,它们能帮普通人完成更多复杂工作,也会带来新的安全问题。
技术的普及永远是双刃剑,我们不用因为风险就拒绝新工具,但也不能对看不见的风险视而不见。真正的安全,从来不是靠开发者给你兜底,而是自己先建立起安全意识——你给AI开放了多少权限,就要承担多少对应的风险。
当AI开始能帮你自动操作电脑,你真的做好把一部分系统控制权交给AI的准备了吗?
