開源AI智能體OpenClaw因圖標是紅色龍蝦,被網友調侃為「養龍蝦」,憑藉自動化處理能力和開放插件生態迅速全球走紅。可熱度背後,央視曝光了一起離譜的隱私泄露事件:用戶在群聊中被詢問配置信息,AI竟直接代答,連IP地址都一併暴露。
紅色卡通龍蝦 / 黑色背景下的紅色卡通龍蝦形象
很多人只看到這款開源AI的方便,卻沒人告訴你,它的安全風險從架構設計階段就埋下了隱患。今天我們就拆解清楚,這款爆火的AI到底藏着哪些看不見的風險,普通用戶又該怎麼安全使用。
央視財經新聞截圖 / 央視財經報道OpenClaw泄露用戶信息的界面
指令注入可以輕鬆「PUA」龍蝦做內鬼
這次暴露的隱私泄露事件,本質就是行業常說的「指令注入」攻擊。和傳統病毒需要複雜代碼不同,黑客只需要幾句誘導性的話,就能操控AI泄露你的隱私。
中國互聯網協會專家常力元解釋,AI本身很容易受到誤導,黑客甚至不需要直接和你的AI交互,只要在AI訪問的網頁里嵌入一段隱藏文字,就能「催眠」AI完成指令。
黑客不需要編寫複雜病毒,就能讓AI主動泄露主人信息,甚至攻擊用戶電腦
更可怕的是,這種攻擊幾乎不需要技術門檻,隨便一個懂點提示詞的人就能操作。這次曝光的案例里,黑客只是在群里隨口提問,AI就主動把用戶的運行環境、根目錄、模型信息甚至IP地址全部說了出去。
這種攻擊利用的其實是大模型本身的特性——AI會遵循所有它讀到的有效指令,不會區分這是用戶的指令還是攻擊者嵌入的惡意指令。OpenClaw本身又沒有做指令來源的嚴格校驗,相當於給黑客留了一扇敞開的後門。
超一成插件是惡意程序 偷信息比你想的容易
除了指令注入,OpenClaw開放的插件生態才是更大的風險窩點。官方數據顯示,目前官網插件論壇里已經檢測出336個惡意插件,佔總插件數量的10.8%,差不多每10個插件里就有1個是「小偷」。
中國計算機學會專家王媛媛打了個比方,OpenClaw的插件就像手機上的小程序,要實現複雜功能就必須安裝各類插件。而惡意插件就是在正常代碼里藏了惡意代碼,用戶安裝的時候根本看不出來。
一旦安裝了惡意插件,它就能直接偷取你的API密鑰、聊天記錄、支付信息等各類敏感數據,甚至直接把你的電腦變成黑客可以控制的「肉雞」。更麻煩的是,因為插件是直接獲得了OpenClaw的運行權限,普通安全軟件很難檢測到這類惡意行為。
受訪專家 / 中國互聯網協會專家接受央視財經採訪畫面
華為雲發佈的風險說明裡還提到了更底層的架構缺陷:OpenClaw默認直接以用戶權限運行在宿主機上,沒有做容器或虛擬機的權限隔離。這意味着一旦AI被攻破,攻擊者直接就能拿到你整台電腦的完整控制權。
風險根源不是AI本身 是開源生態的規則缺失
很多人看到新聞就說,開源AI本身就是洪水猛獸,其實不對。OpenClaw的安全問題,本質是快速爆發的用戶需求,沒能跟上安全規則建設的速度。
從項目發展來看,OpenClaw早期為了快速推廣,放開了插件生態的准入門檻,幾乎任何人都可以上傳插件,沒有完善的審核和簽名機制。這就給了惡意開發者可乘之機,把偷信息的木馬包裝成實用插件放到官方論壇。
另一個被忽略的點是,很多用戶對AI智能體的權限沒有概念,會直接給OpenClaw開放最高系統權限。人民日報發佈的風險提示里提到,截至目前OpenClaw已經曝出多個高中危漏洞,這些漏洞被利用後,對企業來說可能直接導致核心業務數據泄露,甚至整個系統癱瘓。
開源AI的普及,本質是把技術門檻給普通用戶拉低了,但安全意識的普及,遠遠沒能跟上技術的腳步。
更值得行業思考的是,這類可自主運行的AI智能體,本身就比普通大模型應用有更高的安全風險——它可以自動調用工具、訪問系統、執行操作,一旦被控制造成的破壞也要大得多。現在行業還在探索對應的安全規則,用戶只能自己先做好防護。
普通人安全養龍蝦 記住這幾條防護規則
其實也不需要談龍蝦色變,只要做好對應的防護措施,完全可以正常體驗這類AI工具的便利。結合多位專家和官方發佈的建議,整理了可直接落地的幾條規則:
- 不要在涉密設備、存儲核心數據的工作電腦上部署OpenClaw,個人使用盡量單獨放在隔離環境里
- 不要把OpenClaw的默認管理端口直接暴露在公網,一定要配置安全組和訪問控制,做好身份驗證
- 插件只從官方可信渠道安裝,只選擇下載量大、有安全證書的插件,絕對不要安裝陌生來源的插件
- 不要明文存儲API密鑰、訪問令牌這類敏感信息,養成定期更換密鑰的習慣
- 及時更新到最新版本,官方會修復已經曝出的安全漏洞,不要一直使用舊版本
- 不要給OpenClaw開放超出需求的系統權限,儘可能做權限隔離,降低被入侵後的影響
OpenClaw的爆火,其實是AI智能體走向普及的一個標誌性事件。未來會有越來越多這類可自主運行的開源AI工具出現,它們能幫普通人完成更多複雜工作,也會帶來新的安全問題。
技術的普及永遠是雙刃劍,我們不用因為風險就拒絕新工具,但也不能對看不見的風險視而不見。真正的安全,從來不是靠開發者給你兜底,而是自己先建立起安全意識——你給AI開放了多少權限,就要承擔多少對應的風險。
當AI開始能幫你自動操作電腦,你真的做好把一部分系統控制權交給AI的準備了嗎?
