中国新闻周刊记者：孟倩

发于2026.3.23总第1228期《中国新闻周刊》杂志

“学生党切勿盲目跟风安装‘龙虾’
，仅使用三天让我心态彻底崩溃 。 ”大四学生高凌是一名文科生，临近毕业既要兼顾课业又要寻找实习机会 ，原本期望借助“龙虾”整理笔记 、完成作业
。然而事与愿违
，“龙虾
”给他带来了诸多困扰，擅自删除了他的专业课课件
、复习资料乃至刚完成的作业草稿。

高凌急哭了 ，不仅如此
，“龙虾”还疯狂消耗Token，数百元的账单更让他“心痛不已 ”——相当于半个月的生活费付诸东流 。他真心劝告学生党 ，“若预算有限、不懂技术，切勿花钱找罪受
，纯粹是冤大头
”
。

随着开源AI智能体OpenClaw(俗称“龙虾”)在全球范围内的爆火，一场由不当安装引发的安全风暴也正在席卷各行各业。这个被寄予厚望的“数字员工 ” ，因其默认的脆弱安全配置
，正从生产力工具异化为攻击者手中的“特洛伊木马
” 。从个人隐私泄露到关键基础设施瘫痪，从API密钥被盗到金融交易误操作 ，第一批受害者已经付出惨痛代价
，而更多未被重视的隐患仍在暗处滋生。

近日，国家互联网应急中心发布了关于OpenClaw安全应用的风险提示 ，指出其默认安全配置极为脆弱
，攻击者一旦找到突破口，便能轻易获取系统的完全控制权
。由于不当安装和使用 ，已经出现了一些严重的安全风险
，这意味着用户可能面临隐私泄露和安全漏洞等问题。

目前，不少高校 、地方政府和金融机构已开始明确禁用OpenClaw ，并呼吁“不制造焦虑
、不鼓吹神话” 。如何安全“养龙虾 ”，是当前“龙虾全民热潮
”中更值得补齐的一课
。

在睡梦中背上巨额债务

作为科技博主
，闫寒是最早一批“养虾”的人。近一个月，闫寒前后养了“七只龙虾 ” 。其中有一个大总管 ，管理其他六个角色
，分别负责数字货币交易、专门写稿和处理杂务等
。对闫寒而言，驾驭“龙虾
”似乎得心应手。

但几天前 ，闫寒出门在外
，想让“龙虾”帮忙配置一个远程桌面，方便他在外面用手机远程操控电脑状态时 ，“龙虾 ”犯傻了 。

当闫寒说“帮我设置一下远程连接”
，“龙虾
”先尝试启动一个远程软件未成功，随后又折腾了20分钟 ，尝试了各种方式都无法连接远程功能
。于是
，“龙虾”执行了一个命令“给远程连接设密码 ”，但误解为“修改电脑开机密码
”。随之而来的各种操作 ，系统都反复提示“密码错误” 。两个小时后，闫寒需要升级电脑里的软件
，输入密码时提示错误
。他被吓到了，以为电脑被黑客入侵。

于是 ，他问“龙虾 ”是否改了密码
，“龙虾
”却一无所知 。闫寒指挥“龙虾”翻阅操作记录，才发现它把两个功能搞混了。“就像你去修水龙头 ，结果把煤气阀门拧了
。它俩都是阀门
，但一个出水，一个出气。 ”闫寒说 ，在人类眼中
，远程连接设置密码和改电脑开机密码明明是两码事，但“龙虾
”很难分辨 。

“新的密码以明文形式记录在系统里 ，所有人都能看到
。”闫寒的风险意识立刻“炸 ”了
，他给“龙虾
”下了死命令：碰到可能影响密码 、权限、数据的操作，先问主人再动手。闫寒也注意到 ，身边有使用者盲目把“龙虾”拉入社交环境，有可能会暴露更多个人隐私 。如果对权限控制不到位
，它会把群里其他人也当成主人
。别人在群里呼唤它，让它把主人的住址
、电话、密码交出来 ，它会毫无防备
，把主人的底牌全部发送到群里。

3月12日，AI应用公司的用户“龙共火火 ”向媒体披露：其运行仅10天的第二只“龙虾”被接入含98只智能体的3000人交流群后 ，因未设@触发机制
，遭持续两小时围攻 。攻击者通过连续提问获取其运行环境 、模型配置
、IP地址、真实姓名 、公司名称及去年营收数据；后续更指令该智能体搜索本地C盘文件，虽被拒绝执行敏感操作 ，但已造成实质性信息泄露
。事件发生时
，“龙共火火
”正在加班，依靠后台算力监控发现异常。若发生在深夜无人值守时段 ，后果难以预估 。

据公开报道
，深圳一名程序员安装OpenClaw第三天，因API密钥被盗 ，凌晨收到高达1.2万元的Token账单
。由于OpenClaw具有极高自动化权限，一旦密钥泄露
，AI便可在后台疯狂调用模型，让用户在睡梦中背上巨额债务。

隐私泄露规模更为惊人 。截至目前 ，全球已有超27万个OpenClaw实例直接暴露于公网
，处于零认证“裸奔”状态。更可怕的是，ClawHub技能市场中约12%的插件被植入恶意代码 ，可窃取用户的SSH密钥和浏览器密码
。

据上观新闻报道
，3月8日下午，在上海一处免费安装OpenClaw的会议室内 ，百度智能云泛科技业务部技术基线解决方案高级总监柯非接到一位上海市民的求助：“我现在想卸载OpenClaw
，你能帮帮我吗？ ”

他在前一天通过网络下单“远程安装OpenClaw
”，把电脑的权限交给网店客服 ，“养虾”全程花费40元。可怕的是
，5分钟后，他接到了反诈中心的电话提醒 。“远程安装OpenClaw的客服接管过我的电脑 ，里面的所有信息和资料都能看到
。 ”

最触目惊心的案例来自邮件管理失控。Meta超级智能团队安全总监SummerYue在测试OpenClaw时，安排它处理邮箱里的邮件 。她设定了明确的规则
，要求智能体在执行动作前必须先确认
。智能体无视停止指令，继续删除和归档邮件。她连续喊了三次停手 ，智能体毫无反应 。她只能狂奔到设备前拔掉网线
。

中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲向《中国新闻周刊》阐释了“龙虾
”的本质：作为一款代理Agent(智能体)
，只要赋予其足够高的权限，便可在电脑上执行任何操作 ，包括读取文件
、打开应用并自动纠错。其技术原理在于它位于应用程序与AI模型之间
，负责路由请求、身份验证 、访问控制及多模型调度 。开发者仅需对接一个API接口，即可在不同模型间自由切换 ，无须重写代码
。

何延哲将“龙虾”的风格描述为“不达目的誓不罢休 ”。“一旦接受任务
，它就必定要获取结果，于是会不断尝试 ，将大量本地文件
、应用和数据结合使用
，这导致了权限过高和数据‘裸奔’的问题 。
”

马斯克对此评论道：“把自主权交给AI，就像是给猴子递了一把上了膛的枪。”

“不可逆 ”与“不可信
”

今年2月 ，GoogleDeepMind团队抛出了一篇长文IntelligentAIDelegation，试图为人类与Agent之间的委托代理关系建立一套理论框架
。这篇文章中提到
，当下的Agent安全体系中有些层面“完全溃败”。

首先是“可逆性的丧失 ” 。举例而言，生成一篇蹩脚的文章是可逆的(大不了删掉重写) ，但执行一笔千万级的量化金融交易、删除底层数据库
，或者向全公司发送一封辞退邮件，都是不可逆的物理操作 ，这意味着“龙虾”的很多行为不可逆
。

闫寒利用“龙虾
”做过最冒险的事情
，是授权“龙虾”做数字货币交易。起初，闫寒授权了五百美元的额度 ，让“龙虾 ”自己制定交易策略
，设定跌2%止损，涨3%止盈 。但“龙虾
”缺少正确的判断标准 ，有点风吹草动就开仓
，开仓方向经常出错，每次都亏损几十甚至上百美元
。“它看多信号 ，大于一就开多仓，看空信号大于一
，就开空仓，一天能开错好几次。短短几天内 ，它连续乱搞
，造成多笔资金亏损 。”闫寒意识到，AI的“自信 ”可能比它的“能力
”跑得更快
。就算闫寒在旁边看着它操作 ，大概率也拦不住这种操作。

资深技术专家杨林指出
，这种“不可逆”，不是简单的“没有意图识别 ” ，而是意图识别 、确认
、执行和终止没有形成闭环 。当前智能体并非完全不理解人类指令
，而是在长链任务中容易出现目标漂移、记忆压缩丢失 、阶段性确认失效和停止指令执行不彻底等问题
。换言之，问题不只出在“识别意图
”这一层 ，更出在识别之后如何被系统稳定约束。

“一旦缺少有效的终止与回滚机制
，不可逆风险就会迅速放大 。邮件删除、文件覆盖
、客户信息外发、数据库修改 、自动下单
、远程执行命令，都不是普通对话错误 ，而是带有现实后果的行动错误。”杨林进一步补充，凡是涉及删除、发送 、发布
、支付、转移 、配置修改
、权限变更等不可逆动作
，都应被视为高后果操作
。

金融行业可能首当其冲。3月15日，中国互联网金融协会(以下简称“互金协会 ”)发布《关于OpenClaw在互联网金融行业应用安全的风险提示》提到 ，互联网金融行业线上化、数字化程度极高
，直接处理客户的资金 、资产
、账户和个人金融数据等关键敏感信息 。OpenClaw智能体极易被攻击者利用，成为窃取敏感数据或非法操控交易的突破口 ，给行业带来严峻的风险挑战
。

有海外博主称
，一只“龙虾
”以50美元的本金炒股，在48小时内 ，把50美元滚成了2980美元
，收益率5860%。目前社交平台也已经涌现不少教用户如何利用OpenClaw炒股的“教程” 。

“如果用‘龙虾’炒股，往往需要介入API操纵股票
。 ”金董汇首席经济学家邢星不支持股民利用“龙虾”炒股 ，他认为“龙虾
”本质是高风险伪量化工具
，存在账户安全、合规违规 、AI决策失效三大核心风险，在A股T+1、涨跌幅限制环境下 ，不仅高频优势无法发挥，还易因异常交易被券商限制账户
，且成本高
、胜率低。普通投资者不可能靠它长期稳定盈利，建议仅将AI作为辅助 。

一位券商从业者告诉《中国新闻周刊》：“目前有不少券商在内部发文 ，禁用OpenClaw
，提醒员工风险，并明确禁止员工在公司电脑等办公资产上安装、使用OpenClaw
。即便没有正式发文 ，也不会打开API接口
，这也意味着实质上的禁用。”

工业和信息化部网络安全威胁和漏洞信息共享平台在3月11日发文提醒，金融交易场景主要存在引发错误交易甚至账户被接管的突出风险 。具体的风险包括 ，记忆投毒导致错误交易
，身份认证绕过导致账户被非法接管；引入包含恶意代码的插件导致交易凭证被窃取；极端情况下因缺乏熔断或应急机制，导致智能体失控频繁下单等风险
。

2026年2月23日 ，OpenAI工程师NickPash为测试OpenClaw平台
，创建了AI交易智能体LobstarWild。NickPash为该智能体配备了装有5万美元的数字钱包 、X账号以及包括网页搜索
、图像分析和交易协议在内的多项API权限，赋予了它完全的自主决策权 。

有一天 ，X平台用户@TreasureD76向该AI智能体发送请求，声称其“叔叔 ”在处理“像你这样的龙虾(lobster)
”后
，被诊断为感染破伤风，希望索要4美元作为治疗费。LobstarWild并未按指令发送小额款项 ，反而将其持有的全部Lobstar加密货币倾囊相赠
，这笔意外之财在转账时价值高达25万美元
。

经过详细排查，工程师NickPash指出此次重大失误源于系统验证错误与信息格式异常。他解释称 ，由于自己使用了旧版本的OpenClaw框架
，导致未能拦截错误指令 。

邢星表示，OpenClaw可能带来的核心风险集中在数据安全、交易可控性及合规性三个层面 ，其开源属性导致的安全漏洞的易利用性
，会放大风险传导效应
。这些风险的凸显，本质是由金融行业的核心特点决定的。金融行业承载着海量敏感信息 ，对数据保密性 、完整性要求极高
，且行业具有强关联性，单个环节的风险易扩散为系统性风险；同时 ，金融交易的严肃性和不可逆性，以及监管对合规性的零容错要求
，使得开源AI智能体的弱安全配置和责任界定模糊问题，与行业特性形成天然矛盾 。

“短期看 ，这类问题可能不是越来越少
，而是随着接入场景增多先增后降
。会在一段时间内放大‘语言上看似接近
、执行上仍不稳定’的矛盾。”杨林发现，“龙虾 ”的不可信也源于此 。当用户说“把旧邮件清一下
”“把没用文件删掉”“帮我整理下桌面 ” ，在人类看来是常识判断
，在机器看来却涉及时间边界、保留规则 、例外条件
、执行顺序和容错机制
。

防范“数字员工
”闯祸

OpenClaw无疑展现了AI从“对话”走向“执行 ”的巨大潜力。但上述论文总结道：“我们无法真正意义上防止Agent失控 。
”对于普通用户而言，是否还要使用“龙虾”？

研究生南方虽为文科生 ，但对编程怀有兴趣
。春节期间
，他研习了四五十个教程，从零开始拼凑出了“龙虾 ”这一工具。在使用过程中 ，南方专门针对无技术背景的用户群体发布了“安全必修课” 。他在接受《中国新闻周刊》采访时表示
，当前最大的风险源于使用者极易在主观上将AI视为私人助手，同时向其透露个人信息。实际上 ，这些信息以文件形式存储，一旦文件被盗将引发严重后果
。

“最危险的是那种直接将电脑托管给‘龙虾’的做法
，这相当于赋予了‘龙虾’极大权限，使其能够查看电脑中的所有文件。
”南方分析道 ，“这好比你家门原本是关着的
，‘龙虾’入驻后变成了虚掩状态，而你并未意识到这一潜在危险 。”

在火山引擎安全产品负责人刘森看来 ，“龙虾 ”就像一个聪明、勤勉的数字员工
，但它还不太懂工作中的操作规范和边界，“我们要做的就是把它当作员工一样管理起来 ，让它发挥该有的作用
，同时不闯祸
”
。

360集团创始人周鸿祎建议：对于政企机构而言，更现实的做法不是一刀切地禁用或全面部署 ，而是先在可控环境中进行探索
，如在隔离环境里运行，逐步验证安全策略 ，再决定后续应用方案。这样既能促进技术发展，又能守住安全底线 。“技术发展和安全保障应当同步推进
，而非简单二选一
。”

回归到个体用户的选择上，CISSP安全专家袁博指出 ，“龙虾 ”这款软件存在漏洞 、可能导致网络暴露以及引发无意恶意操作等较大风险
，开源软件往往重功能轻风险，若不预先告知用户风险就推动安装 ，此举极不负责任。

何延哲建议
，普通人“养龙虾
”时应尽可能在新环境中安装，选择国内成熟厂商提供的服务 ，在使用前明确需求
，及时关注智能体的发展动态，做好升级和安全补丁 ，以防范潜在风险 。

周鸿祎提道：“在使用时要有基本的安全意识
，比如不要一上来就把重要账号
、密码和核心数据都交给智能体，也不要让它直接接触所有敏感信息
。”

审慎安装、权限最小化 、严格审查插件来源是必要的自保手段 ，而安全第一，应是所有“养虾人 ”的必修课。

(文中高凌、杨林和南方为化名)

《中国新闻周刊》2026年第10期

声明：刊用《中国新闻周刊》稿件务经书面授权【