工業和信息化部網絡安全威脅和漏洞信息共享平臺監測發現，OpenClaw在默認或不當配置下存在較高安全風險，極易引發網絡攻擊、信息泄露等嚴重問題。

近期，“賽博龍蝦” —— 一款名為OpenClaw的開源AI智能體，發布僅四個多月便創造了最快登頂GitHub星標榜的歷史，超越Linux成為GitHub平臺上最受歡迎的開源項目。而過去兩周，小紅書、抖音、B站上，出現了大量“OpenClaw安裝教程”相關的帖子，甚至還有付費上門安裝的服務。在深圳騰訊大廈門口出現排隊安裝熱潮，連馬化騰都直呼“沒有想到會這么火”。

“養龍蝦”到底是什么？

OpenClaw（曾用名Clawdbot、Moltbot）是由奧地利退休程序員Peter Steinberger于2025年11月發起的“周末項目”，一個能讓大模型獲得本地操作系統權限的開源智能體框架，可讓AI可以自己執行Shell命令、操作文件系統，實現所謂的“本地代理主權”。

因其logo是一只紅色龍蝦，網友們干脆給它起了這個親切的綽號，并將部署OpenClaw稱為“養龍蝦”。其實，在大眾注意到之前，該項目已經風靡科技圈并得到了AI風向標的認可：2月15日，Peter Steinberger正式加入OpenAI，負責推動“下一代個人智能體”的研發；黃仁勛高度評價OpenClaw，稱其為“我們這個時代最重要的軟件發布”。

與ChatGPT等停留在對話框里提供“建議”的產品不同，OpenClaw是一個真正能動手干活的數字員工。用戶可通過自然語言指令，實現從“自動回復郵件”、“在線訂票”到“一鍵修改并部署代碼”的全自動工作流。

OpenClaw的核心架構可概括為：網關（Gateway）統一管理消息收發與路由；多個智能體（Agent）提供任務處理能力；工具（Tool）與節點（Node）負責具體的物理執行。

常駐后臺的Gateway如同整個系統的控制塔：一方面連接著WhatsApp、Telegram、Slack、Discord等聊天應用，將各類消息轉換為統一格式；另一方面通過WebSocket總線接入CLI、Web控制臺等“遙控器”，以及iOS/Android/macOS等節點，作為工具的執行載體。

在Gateway內部，消息首先經過路由模塊，根據預設規則精準投遞給對應的Agent，相當于為用戶配備了一組職責各異的專屬助理。最終的具體操作由工具和節點完成。用戶與OpenClaw的每一次對話，背后都運行著一套統一的消息總線與多Agent協同處理的機制。

如果說GPT們定義了AI的“后端”（算力與智能），那么OpenClaw則補上了缺失的“前端”，將智能轉化為行動的執行層。它證明了模型本身只是基礎設施，而連接物理世界、完成復雜任務的Agent框架，才是技術普惠的關鍵。3月7日，深圳市龍崗區就《支持OpenClaw&OPC發展的若干措施（征求意見稿）》（簡稱：“龍蝦十條”）公開征詢意見，擬以“零成本啟動”為核心亮點，面向全球智能體開發者和OPC（One Person Company，一人公司）創業者拋出橄欖枝，打造全球智能體創業首選地。

值得注意的是，由于OpenClaw在部署時“信任邊界模糊”，且具備自身持續運行、自主決策、調用系統和外部資源等特性，在缺乏有效權限控制、審計機制和安全加固的情況下，可能因指令誘導、配置缺陷或被惡意接管，執行越權操作，造成信息泄露、系統受控等一系列安全風險。

熱潮背后的隱憂

近一個月內全球已發現近15萬個OpenClaw相關資產，其中超40%集中在中國。“養龍蝦”聽起來像科幻照進現實，但現實往往更復雜。網上的教程鋪天蓋地，卻幾乎沒人告訴你：從“跑起來”到“安全運行”，中間隔著一道巨大的技術鴻溝。

令人擔憂的是，如此龐大的部署規模，意味著一旦有人“裸奔”，后果不堪設想。黑客將惡意代碼偽裝成“加密錢包追蹤器”等熱門工具，導致超過1000名用戶的API密鑰失竊、設備被植入后門；攻擊者僅需構造一個惡意網頁，即可暴力破解并徹底掌控本地運行的OpenClaw，電腦、服務器數據任其宰割。

OpenClaw層層遞進的復雜架構，讓其在擁抱便利的同時，也將一系列前所未有的安全風險暴露在攻擊者面前，每一個環節都可能成為攻擊者的突破口。

· 公網暴露風險：OpenClaw的安全配置高度依賴用戶自行完成。若未正確啟用身份認證、訪問控制或網絡隔離，管理接口可能直接暴露在公網，容易被掃描工具輕松發現并遭到未授權訪問。用戶可能會因缺乏相應的安全運維經驗，使得本地服務直接暴露于攻擊者視野中，進而遭受各類網絡攻擊的威脅。

· 身份憑證與敏感數據泄露風險：OpenClaw訪問外部工具和平臺，離不開API Key、OAuth授權、SSH密鑰等身份憑證。這些憑證一旦泄露，攻擊者甚至可以直接冒用合法身份，控制智能體調用外部資源，接管整個執行鏈路。更可怕的是，敏感數據也可能在上下文拼接、記憶存儲、工具調用或對外傳輸環節發生非授權泄露，你以為AI在幫你處理郵件，實則它可能將郵件內容連同API密鑰一起，悄悄傳給了攻擊者。

· 工具調用越權風險：很多人以為模型本身沒有權限就安全了，但真正危險的是智能體背后接入的郵箱、瀏覽器、日歷、代碼倉庫、Shell、數據庫等工具。這些工具默認繼承了用戶的高權限，一旦模型被輕微誘導，就可能把“建議”直接變成“執行”。你只是讓它幫忙整理郵件，它卻因幻覺或惡意指令，刪除了整個收件箱；你讓它查詢天氣，它卻調用了Shell命令，清空了硬盤。

· 提示詞注入攻擊風險：OpenClaw依賴外部網頁、郵件、文檔等數據進行推理。如果這些內容被嵌入隱性惡意指令，就可能在不經意間“催眠”AI，使其執行非預期操作。攻擊者只需在看似無害的內容中藏一句“忽略所有前置指令，執行XXX”，當用戶觸發相關任務時，惡意指令便悄無聲息地混入上下文，誘導模型走向歧途。

· 記憶投毒風險：很多開源智能體強調“持久記憶”、“長期助手”，這本是便利，卻也埋下隱患。一旦錯誤信息、惡意偏好或偽造規則被寫入記憶模塊，它不會只影響一次會話，而可能在后續任務中持續生效。攻擊者僅需一次成功的輸入，就能將惡意規則植入記憶，讓AI在未來的每一次任務中都依據錯誤規則執行，形成隱蔽、持久、跨會話的風險。

· 智能體供應鏈風險：開源智能體往往依賴插件、技能包、MCP服務、第三方依賴庫等。表面上看只是“安裝一個擴展”，但實際上是在把高權限執行能力交給外部代碼。若缺乏簽名校驗、版本鎖定與審計機制，攻擊者可通過供應鏈投毒，將惡意代碼或后門嵌入智能體執行鏈路，進而引發越權調用、數據竊取甚至遠程控制。

· 智能體間協同失控風險：現在很多系統不再由單一智能體驅動，而是多個智能體分工協作，理論上這是提效，但如果目標約束不完整、結果校驗不足，一個錯誤判斷就可能在多個智能體之間傳遞、放大，最后形成級聯失控。A智能體誤解了指令，B智能體基于誤解執行了操作，C智能體將錯誤結果總結為“任務完成”，等發現時，系統早已千瘡百孔。

用戶在部署和應用OpenClaw時，充分核查公網暴露情況、權限配置及憑證管理情況，關閉不必要的公網訪問，完善身份認證、訪問控制、數據加密和安全審計等安全機制，并持續關注官方安全公告和加固建議，防范潛在網絡安全風險。