2026年3月,港股市场的AI概念股上演了一场令人瞠目的跳水表演,而这场表演的幕后推手,竟是一只曾经红极一时的虚拟“小龙虾”。就在几周前,这款名为OpenClaw的开源AI项目还在GitHub上创造了星标增长的历史记录,全球范围内“OpenClaw Meetup”如雨后春笋般涌现。然而,随着国家互联网应急中心的一纸风险提示,一切都发生了逆转。
“OpenClaw在默认或不当配置情况下,极易引发网络攻击、信息泄露等安全问题。”工业和信息化部网络安全威胁和漏洞信息共享平台的这份通告,如同一盆冷水浇在了刚刚燃起的AI智能体热潮上。更令人震动的是,紧随其后,彭博社报道称包括大型银行在内的中国政府机构和国有企业已收到内部通知,出于安全考虑不得在办公设备上安装OpenClaw软件。至少有15家券商发布明确要求,严禁未经许可在办公或业务网络及信息系统安装、部署、使用该应用。
从资本市场的狂欢宠儿到多方预警的安全隐患,这只一度被Y Combinator创始人称为AI“iPhone时刻”标志的“龙虾”,究竟如何从“数字员工”蜕变为“系统漏洞”?这背后,折射出的是AI技术深度融入生产流程时面临的普遍性安全困境。
OpenClaw之所以能够在短时间内从高效助手变为安全梦魇,其核心风险在于它将三种危险要素结合在了一起:强大的语言理解能力、几乎无限制的自主执行权限,以及完全开放的生态系统。这种组合产生的破坏力,远超任何传统软件所能比拟。
从技术架构层面审视,OpenClaw的安全隐患可谓层层皆可破。国家网络安全通报中心在2026年3月13日发布的预警中明确指出,该产品在多层架构中均存在设计缺陷。IM集成网关层可被攻击者伪造消息绕过身份认证,智能体层可被多轮对话修改AI行为模式,执行层与操作系统直接交互存在被完全控制风险,而产品生态层则面临遭投毒的恶意技能插件批量感染用户设备的威胁。
具体到漏洞数量与危害程度,数据触目惊心。OpenClaw历史披露漏洞多达258个,其中近期暴露的82个漏洞中,包含超危漏洞12个、高危漏洞21个、中危漏洞47个、低危漏洞仅2个。这些漏洞以命令和代码注入、路径遍历和访问控制为主,利用难度普遍较低。最令人担忧的是其中已存在野外利用的CVE-2026-28466远程代码执行漏洞,该漏洞允许任何经过Gateway身份认证的用户在未经Node主机所有者批准的情况下,远程执行任意Shell命令,CVSS评分高达8.8分。
供应链攻击成为OpenClaw生态的另一个致命弱点。针对ClawHub的3016个技能插件分析发现,336个插件包含恶意代码,占比高达10.8%。更令人不安的是,17.7%的ClawHub技能插件会获取不可信第三方内容,成为间接引入安全隐患的载体。2.9%的技能插件会在运行时从外部端点动态获取执行内容,意味着攻击者可远程修改AI智能体执行逻辑。
而提示词注入攻击则展现了AI智能体特有的脆弱性。网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,就可能造成其被诱导将用户系统密钥等核心敏感信息泄露。这种攻击方式难以被传统安全防护机制检测,因为恶意代码隐藏在正常网页内容之中,仅对AI系统可见。
所有这些风险组合在一起,使得OpenClaw可能从“生产力工具”质变为“高级持续性威胁”的入口。个人与企业数据资产、系统稳定性面临直接挑战,智能体行为不可控现象可能导致越权执行任务并无视用户指令,出现删除用户数据、盗取用户信息、接管用户终端设备等情况,造成重大经济损失。
面对OpenClaw暴露出的系统性安全风险,监管机构与重点行业展现出了快速而明确的反应,构筑起一道基于数据安全与可控性的防御阵线。
国家层面,多个部委接连发出警示。国家互联网应急中心在2026年3月10日发布了关于OpenClaw安全应用的风险提示,工信部也随后发文指出该智能体在默认或不当配置情况下,极易引发网络攻击、信息泄露等安全问题。更重要的是,工业和信息化部网络安全威胁和漏洞信息共享平台提出了“六要六不要”的具体建议,这些建议被解读为对AI技术安全合规发展的明确指导。
金融领域的反应最为迅速和坚决。从多家银行与券商反馈来看,目前多数金融机构未部署相关应用,部分机构明确禁止员工在办公终端安装该类开源智能体。有江浙沪地区上市银行人士明确表示,“银行内网目前不允许部署OpenClaw”。全国性商业银行的态度同样谨慎,相比去年的大模型,今年对于OpenClaw还处于观察阶段,尤其是考虑到工信部已经公开示警,预计暂时不会“养龙虾”。
国有企业和政府机构的限制措施更加严格。知情人士透露,包括大型银行在内的中国政府机构和国有企业已收到内部通知,出于安全考虑不得在办公设备上安装OpenClaw软件。部分机构还被要求,若已安装相关应用,需要向上级部门报告,以便开展安全检查,并视情况进行卸载处理。一些国有银行和政府机构已经明确禁止员工在办公电脑以及连接公司网络的个人手机上安装OpenClaw应用。
在关键信息基础设施领域,这种谨慎态度更为明显。国投智能等央企扛起了安全责任,将OpenClaw定性为潜在的安全威胁源。这些机构的共同考量在于保护核心业务数据、商业机密和代码仓库的安全,防止整个业务系统因AI智能体的安全漏洞而陷入瘫痪。
教育科研领域同样采取了限制措施。从保护科研数据、师生隐私及校园网络安全角度出发,多所高校和研究机构已对OpenClaw的使用进行了限制,要求在使用前必须获得事前审批或仅允许在隔离环境中运行。
各方措施背后共通的核心考量清晰可见:在技术效益尚不明确时,优先保障数据主权、系统控制权与运营稳定性。这反映了当前对于新型AI融合应用的一种审慎安全观,即在拥抱技术创新之前,必须确保安全底线牢不可破。
面对OpenClaw所暴露的风险与挑战,采取正确的防护措施显得尤为重要。工业和信息化部网络安全威胁和漏洞信息共享平台提出的“六要六不要”建议,为不同层级的用户提供了实用指南。
对于企业用户和高级用户而言,“六要”原则构成了防护的基础框架:
要环境隔离:在虚拟机或专用隔离环境中部署OpenClaw,实现与核心生产环境的物理或逻辑分离。使用容器等技术限制OpenClaw权限过高问题,避免其直接访问敏感系统资源。
要权限最小化:严格遵循最小权限原则,仅授予完成特定任务所必需的系统权限。避免为了便捷性而过度授予管理员权限,防止AI因指令误解触发删除、修改等高危操作。
要Skills审核:建立严格的第三方Skills引入审核机制,进行安全评估与代码审计。仅从可信渠道安装经过签名验证的扩展程序,禁用自动更新功能,防止恶意代码自动传播。
要行为监控与审计:启用并定期检查操作日志,对异常指令执行行为设置警报。建立完整的操作日志审计机制,及时发现并处置安全风险。
要定期更新与漏洞管理:及时应用官方安全补丁,关注漏洞披露信息。通过可信来源获取安装程序,关注官方安全公告,及时更新至最新版本。
要制定应急预案:明确发生安全事件时的处置流程,包括隔离、溯源与恢复。建立人工复核和熔断应急机制,对关键操作增加二次确认。
对于普通个人用户,则需牢记“六不要”警示:
不要在生产或存有敏感数据的主机上直接部署。避免将OpenClaw安装在工作电脑或存储重要个人资料的设备上。
不要授予其超出必要范围的系统或文件访问权限。严格限制其访问敏感目录和系统关键文件的能力。
不要安装来源不明或未经核实的Skills/插件。警惕第三方插件市场中可能存在的恶意代码,仅使用官方认证的技能包。
不要在其运行过程中执行高度敏感的操作或讨论敏感信息。避免在OpenClaw运行时进行网银交易或处理机密文件。
不要忽视官方发布的安全更新与警告。及时响应安全公告,按照建议调整配置和使用方式。
不要默认其所有行为都安全可靠,保持必要的人工监督。认识到AI系统可能存在不可预测的行为偏差,持续进行人工复核。
OpenClaw从爆火到遭遇安全信任危机的戏剧性转变,并非孤立事件。它代表了AI技术深度融入工作流程过程中必然遭遇的安全挑战,是“能力-风险”伴生规律的一个鲜活例证。
当AI被赋予直接操作现实数字系统的“手”时,我们面临的不仅是效率的革命,更是安全防护体系的全面重构。OpenClaw暴露出的问题——从架构设计缺陷到默认配置风险,从供应链攻击到智能体行为失控——揭示了当前AI应用在追求便利性与实现安全性之间存在的巨大张力。
这场安全风暴带给我们的启示是多维度的。技术层面,AI智能体的安全防护需要全新的思路,传统的边界防御已经不足以应对提示词注入、权限失控等新型威胁。制度层面,需要建立适应AI特性的安全标准和审核机制,特别是在供应链安全和行为审计方面。用户层面,安全意识的提升成为使用先进AI工具的前提条件,必须在享受便利的同时保持必要的警惕。
更深层次的问题在于,当AI开始从被动响应走向主动执行,从云端模型走向本地系统,从单纯工具走向协作伙伴,我们该如何重新定义人机关系的安全边界?OpenClaw事件提醒我们,技术的进化速度往往领先于规则的完善,这既是创新的代价,也是社会进化的必经之路。
对于中国的AI产业而言,OpenClaw既是警示也是机遇。我们在底层大模型技术上已经拥有了坚实基础,在应用创新上也展现了快速响应能力。但真正的生态成熟,不仅需要技术突破和产品创新,更需要完善的安全体系、成熟的监管框架和全民的安全素养。
最终,这只红色龙虾的命运,将取决于我们如何在效率与安全的天平上找到平衡。当AI拥有了直接操作我们电脑的“手”,安全和便利的天平该如何倾斜?你会在个人电脑上部署OpenClaw吗?在评论区分享你的看法和防护经验。