🍃 予枫：个人主页
📚 个人专栏: 《Java 从入门到起飞》《读研码农的干货日常》《Java 面试刷题指南》

💻 Debug 这个世界，Return 更好的自己！

---

引言

2026年度现象级开源奇迹——OpenClaw（昵称“龙虾”），凭“能做事、能进化”的特性掀起养“虾”狂欢，从付费安装到付费卸载，无数用户沉浸式体验AI智能体的便捷。但热潮之下藏暗涌，国家安全部联合央视新闻发布预警，这款开源AI智能体存在原生安全风险，更有万人设备被接管、资产被盗的真实案例，唯有规范养殖，才能让“龙虾”成为合规高效的“数字员工”。本文结合官方指南、实战经验与真实漏洞案例，拆解“龙虾”特点、风险与防护技巧，帮你安全避坑。

一、摸清“龙虾”的生产特点

OpenClaw能成为现象级开源项目，核心在于它打破了传统AI“只说不做”的局限，通过整合通信软件与大语言模型，依托高权限实现自主操作，成为区别于普通AI的“行动派”，这也是“养龙虾”说法的由来——它能像员工一样持续成长，越用越懂用户 🦞

1. 从“给出方案”到“落地执行”

不同于传统大模型智能体仅提供咨询建议，“龙虾”能通过聊天程序远程接收用户指令，全程自主完成任务，无需人工干预。比如你下达“整理本周邮件并生成纪要”，它能直接操控邮箱、文档工具，完成筛选、整理、排版全流程，真正实现“指令下达，成果交付”。

真实案例：Meta超级智能实验室AI安全总监测试OpenClaw时，仅要求其分析邮件，因AI上下文压缩机制缺陷，安全限制指令被丢弃，200多封工作重要邮件被批量删除，连续三次下达终止指令均无效，最终只能拔电源止损。

2. 从“固定功能”到“多种插件”

“龙虾”内置丰富技能插件，用户可直接下载使用，形成覆盖文件管理、邮件撰写、日历调度、网页浏览、定时任务等多场景的工具链。但插件生态缺乏有效审核机制，据统计，ClawHub技能市场中10.8%的插件含恶意代码，黑产甚至会将恶意插件伪装成“效率工具”，迷惑性极强。

3. 从“普通工具”到“自我进化”

这是“养龙虾”的核心含义：“龙虾”具备长期记忆能力，能持续记录用户使用习惯、行为偏好，不断优化自身操作逻辑，做到“越用越懂用户”。它就像一个可培养的“数字员工”，适配度随使用时间提升，但这种记忆能力也会存储用户敏感信息，一旦泄露后果严重。

4. 从“被动等待”到“主动服务”

“龙虾”可根据用户预设要求，主动感知外部环境变化，触发预警或执行动作。比如设置“夜间监控系统日志，晨间生成异常报告”，它能自主完成监控、分析、汇总，实现“夜间下达指令、晨间获取成果”的智能服务模式，大幅提升效率的同时，也增加了权限滥用的风险。

二、了解养“龙虾”的风险隐患

“龙虾”的核心优势背后，是不可忽视的原生安全风险。国家安全部明确提示，若使用不当，这只“温顺的龙虾”可能变成“伸向隐私与设备的黑手”，结合近期爆发的安全事故，主要存在四大风险隐患 ⚠️

注意：据安全研究显示，OpenClaw第三方技能生态中，高达36%的插件存在后门指令、恶意代码或凭证泄露等缺陷，全球超3万个实例已被黑客攻陷，国内不少用户遭遇资产被盗、设备被接管的问题。

1. 主机可能被接管

为实现自主操作，用户常赋予“龙虾”最高系统权限，这就埋下了重大隐患：一方面，AI误操作可能导致数据丢失、系统故障；另一方面，攻击者可通过OpenClaw默认开放的18789端口（无认证保护）、RCE远程代码执行漏洞，神不知鬼不觉地远程操控主机，非法占用硬件资源、植入恶意程序，其隐蔽性远超传统木马。

真实案例：一名用户部署OpenClaw时，未关闭18789端口并将其暴露公网，黑客通过端口无认证漏洞一键接管设备，获取其浏览器保存的信用卡信息，连续多笔盗刷，累计损失超1400元。

2. 数据可能被窃取

部分用户缺乏数据安全意识，将个人隐私、工作机密等敏感数据交由“龙虾”处理。由于“龙虾”需存储用户使用记录和操作凭证，一旦被攻破，这些敏感数据会被窃取。更值得警惕的是，攻击者可通过GEO技术给“龙虾”投喂虚假信息，诱导其泄露核心数据。

真实案例：深圳一名程序员，从第三方论坛下载伪装成“代码自动优化”的OpenClaw插件，安装3天后发现API密钥被盗，黑客利用密钥恶意调用服务，3天就产生1.2万元欠费。

3. 言论可能被篡改

“龙虾”可自主接入社交网络、邮件等平台并发声，若被攻击者接管，可能被用于生成、传播虚假信息、实施诈骗等不法活动。这与GEO服务商“给AI投毒”的逻辑一致——通过操控AI发声，传播虚假信息，损害用户声誉甚至触犯法律底线。

4. 技术可能有漏洞

作为开源项目，“龙虾”缺乏专业团队的持续维护与漏洞修复机制。攻击者可通过恶意插件投毒、提示词注入等方式，诱导“龙虾”突破权限管控，主动窃取本地设备的核心敏感信息。比如黑客在微信群内发送伪装成“业务通知”的恶意提示词，即可劫持“龙虾”，外传用户系统密钥。

三、“养虾人”必看安全指南

想要安全养“龙虾”，避免“付费安装又付费卸载”的尴尬，需遵循“体检→防护→规范”三步法，结合最小权限原则，筑牢安全防线 ✅ ，所有操作均提供Linux实操代码，直接复制即可使用。

1. 给自己的“龙虾”全面体检（定期执行）

养“虾”先体检，重点排查4个核心风险点，发现问题立即处置，建议每周体检一次：

• 权限检查：确认“龙虾”的权限配置是否过高，是否授予了不必要的管理员权限；
• 暴露检查：核查控制界面是否暴露在公网，避免被外部攻击者扫描利用；
• 凭证检查：检查“龙虾”存储的账号、密钥等凭证是否泄露，及时更换可疑凭证；
• 插件检查：审查已安装插件的来源，优先选择官方认证或高星仓库插件，卸载来历不明的“野路子”插件，可借助Skill Vetter工具自动扫描风险。

实操提示：可定期运行clawhub install skill-vetter安装安全扫描工具，对已安装插件进行风险评级，快速识别恶意插件，避免插件投毒风险。

2. 为自己的“龙虾”做好防护（核心步骤）

防护的核心是“最小权限+隔离运行”，结合Linux系统实操，具体步骤如下，新手也能轻松上手：

（1）严格遵循最小权限原则

创建OpenClaw专有用户，禁止使用sudo权限，限制其可执行命令范围，从源头避免权限滥用：

# 创建专有用户，禁止密码登录
sudo adduser --shell /bin/rbash --disabled-password clawuser
# 创建受限命令目录，仅允许必要操作
sudo mkdir -p /home/clawuser/bin
sudo ln -s /bin/ls /home/clawuser/bin/ls
sudo ln -s /bin/echo /home/clawuser/bin/echo
# 限制PATH路径，设置为只读
echo 'if ( "$USER" = "clawuser" ); then export PATH=/home/clawuser/bin; readonly PATH; fi' | sudo tee /etc/profile.d/restricted_clawuser.sh
sudo chmod 644 /etc/profile.d/restricted_clawuser.sh
# 禁用root登录，降低风险
sudo sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sudo systemctl restart sshd

（2）敏感数据加密存储

对“龙虾”处理的个人信息、工作机密等敏感数据，必须进行加密存储，禁止明文保存API密钥、账号密码等核心凭证，可借助加密工具对存储目录进行保护，避免数据被窃取。

（3）隔离环境运行

尽量在专用虚拟机、沙箱等隔离环境中运行“龙虾”，限制其对核心资源的访问；若为Linux服务器，可通过iptables配置IP白名单，关闭非必要端口的互联网访问，防范端口攻击：

# 创建自定义IP白名单链
sudo iptables -N ALLOWED_IPS
# 添加允许访问的IP（替换为实际IP）
sudo iptables -A ALLOWED_IPS -s 192.168.1.100 -j ACCEPT
# 限制SSH和龙虾端口访问，关闭18789高危端口
sudo iptables -A INPUT -p tcp --dport 22 -j ALLOWED_IPS
sudo iptables -A INPUT -p tcp --dport 17477 -j ALLOWED_IPS
sudo iptables -A INPUT -p tcp --dport 18789 -j DROP

（4）建立操作审计日志

开启“龙虾”的日志审计功能，留存完整的操作记录，包括指令执行、插件调用、数据访问等，一旦出现异常，可快速追溯源头，降低损失。日志建议留存30天以上，便于后续排查。

3. 让自己的“龙虾”老实好用

“龙虾”并非供人娱乐的数字宠物，而是能够自主执行任务、承担流程操作、持续学习成长的“数字员工”。养“虾”人应理性看待、规范使用，不随意安装来历不明的插件，不赋予过高权限，不将核心敏感数据交由其处理，让其在合规、安全、可控的前提下，成为提升工作效率、服务生产生活的数字化工具。

结尾总结

本文结合国家安全部预警、央视新闻发布内容及真实安全案例，拆解了OpenClaw（龙虾）的四大核心特点、四大安全风险，提供了“体检→防护→规范”的完整实操指南，补充了面试官高频追问，兼顾实用性与实战性。养“龙虾”的核心是“安全合规”，唯有做好防护、规范操作，才能避开风险，让这只“数字员工”真正发挥价值，避免“付费安装又付费卸载”的尴尬。