21世纪经济报道记者 董静怡 实习生 朱丙淇

3月11日，“第一批养虾人已经开始卸载了”登上热搜。二手交易平台上，“上门卸载OpenClaw”的服务悄然上架。这场被戏称为“养龙虾”的AI热潮，在极短的时间内完成一轮反转。

背后的原因，是逐渐暴露出的安全风险。

国家互联网应急中心3月10日发布风险提示，OpenClaw默认安全配置极为薄弱，点明已出现提示词注入、误操作删除、功能插件（skills）投毒、安全漏洞等风险，金融、能源等关键行业面临核心业务数据泄露风险。

资本市场的反应迅速。3月11日，此前连续大涨的“龙虾”概念股集体回调，3月12日下跌持续。资本市场此前追捧的是“AI接管一切”的想象空间，而安全警报撕开的，是“AI接管一切”背后的失控风险。

“现在市场对OpenClaw安全的重视，整体还是不够的。”非凡资本合伙人吴畏向21世纪经济报道记者表示。

“许多人仅关注密钥泄露或提示词泄露等表层问题，但这远非核心挑战。一旦OpenClaw接入即时通讯、工具及工作流，真正棘手的难题在于权限边界界定、工具调用控制、记忆污染防范、误触发机制建立以及审计追责体系构建等方面。”

不过，这一波安全警报也印证了AI技术发展的规律，当AI从“会说话”进化到能够“自主执行任务”的新阶段，安全问题必然成为伴随技术跃升的核心挑战。

在智能化浪潮不可逆转的今天，唯有正视并解决好伴随而来的安全问题，才能真正驯服这只“龙虾”，使其成为可靠的生产力助手。

高权限藏大风险

这一波“龙虾热”里，很多尝鲜者都是普通大众。

技术鸿沟催生了一条火爆的“代装”产业链。此前，社交平台上冒出了不少收费几百到上千元的OpenClaw“代装服务”。有从业者在社交平台宣称，短短数日内凭借这门手艺赚了26万元。

“现在涌入‘养虾’大军的是大量不懂命令行的普通人，他们通过‘代装’服务拿到了‘龙虾’，却完全不清楚自己交出了多少权限。”一位网络安全从业者向记者表示。

为实现“自主执行任务”的能力，OpenClaw被授予了极高的系统权限，包括访问本地文件系统、读取环境变量、调用外部API以及安装扩展功能等。

相比普通AI智能体，OpenClaw还多了“持久化记忆”，派拓网络向记者指出，这意味着它能把接触到的所有信息都存下来，这就让攻击变得更隐蔽——黑客的恶意指令可以先藏在正常信息里，数周后再被激活，现在的防护系统基本检测不到这种延迟攻击。

而且它对所有信息都一视同仁，网页内容、用户指令、第三方插件的代码，全都无差别存在内存里，没有任何信任分级，很容易被黑客利用，造成“记忆投毒”。

3月10日，国家互联网应急中心通过官方微信公众号发布提示，OpenClaw的默认安全配置“极为脆弱”，攻击者一旦发现突破口，便能轻易获取系统的完全控制权。

在此之前，由于OpenClaw的不当安装和使用，已经出现了多类严重风险。比如“提示词注入”攻击，网络攻击者在网页中构造隐藏的恶意指令，诱导OpenClaw读取该网页，就可能导致用户系统密钥被泄露；“误操作”风险，由于错误理解用户指令，OpenClaw可能会将电子邮件、核心生产数据等重要信息彻底删除，且不可逆。

更隐蔽的风险来自第三方插件。OpenClaw的功能被称为“skills”（技能），用户可以通过安装各类插件扩展它的能力。但多个适用于OpenClaw的功能插件已被确认为恶意插件，安装后可执行窃取密钥、部署木马后门等操作，使得设备沦为“肉鸡”。截至3月上旬，OpenClaw已经公开曝出多个高中危漏洞。

有专家指出，即便升级到官方最新版本修复已知漏洞，也并不意味着安全风险完全消除。黑客攻击手法在不断迭代，不能把“打补丁”当成“一劳永逸”的安全保障。

值得关注的是，如果出现安全问题，通过“代装”获得“龙虾”的用户维权也面临困难。浙江垦丁律师事务所主任律师张延来向记者表示，“代装”本质上是一种服务合同关系，如果因为操作失误或者主动开通了某些高危权限导致用户遭受损失，代装者是可能面临违约责任的，但在实践中认定的标准很模糊。

“毕竟OpenClaw是一个开源工具，本身就要调用一些高级权限，所以认定损失是否来自于‘代装者’的失误比较难。”张延来表示。

工信部提出建议，包括使用官方最新版本、严格控制互联网暴露面、坚持最小权限原则、谨慎使用技能市场、防范社会工程学攻击、建立长效防护机制。这些建议的本质，是将这个权限过大的工具，通过层层人为枷锁，驯化成一个相对可控的辅助者。

距离企业应用还很远

如果说个人用户的“裸奔”是个体风险的失控，那么当这只“龙虾”试图爬进企业的大门时，面临的是一场关于信任、合规与安全的终极大考。

行业普遍认为，OpenClaw当前仍属早期技术产品，远未达到消费级成熟度，更遑论企业级应用。

尤其是金融、能源这类行业，一旦中招损失会更大。核心业务数据、商业机密可能泄露，代码仓库被攻击，极端情况下整个业务系统都会瘫痪，带来的经济损失根本没法估量。

有报道称，中央网信办、工信部的官方风险通报后，商密集下发关于“小龙虾”的内部合规提醒或相关通知，针对安装、使用、接入作出明确限制，目前已有至少20家券商加入防控行列。

安全隐患之外，技术的不确定也带来了尚未明晰的法律问题。张延来向记者表示，企业部署OpenClaw主要面临以下三方面的合规风险：

第一，数据安全风险。在企业环境中，OpenClaw及其第三方技能插件可能处理大量敏感信息，若安全措施不到位，数据泄露不仅会造成企业损失，还可能引发法律责任。

第二，操作执行风险。作为可自主执行任务的AI，OpenClaw在定价、交易等关键操作中可能产生意外后果，风险高于普通对话AI。

第三，数据跨境合规风险。当企业将OpenClaw部署在境外服务器，或系统在任务执行过程中调用境外API接口时，可能触发数据出境的法律要求，需依法完成安全评估或签署标准合同条款。这对跨国经营及出海业务的企业尤为重要。

派拓网络直言，现在的OpenClaw根本不是为企业场景设计的，它缺乏可审计、可管控的底层架构，想进企业核心业务，还有很长的路要走。吴畏也认为，OpenClaw可能在个人场景或轻量级团队协作中率先落地，企业应用仍需时间。

不过，技术探索的脚步不会因此停歇。业内普遍认为，OpenClaw的安全隐患，本质上是AI能力快速扩张过程中，防护体系未能同步完善的必然产物。

虽然技术的不确定性引发了诸多担忧，但智能化的大趋势不会因此改变，各行各业仍展现出了对此类工具深度应用的高度期待。有大模型企业向记者透露出，这波热潮吸引了来自各行各业的人士主动接洽，一些政府机构也展现出了需求，希望了解该技术能为生产力带来哪些具体升级。

安全警报给这场热潮降了温，但也为技术快速发展提了醒：AI的能力有多强，对应的安全防护和治理就要有多完善。

未来，像 OpenClaw 这样的自主AI工具，安全会成为竞争的重点，这将决定它能不能从个人场景走进企业核心业务。而监管层和开发者的共同课题，就是在让 AI 变得更强大的同时，给它装上安全护栏，让它的能力始终在规则里运行。

张延来向记者表示，AI的监管趋势会从“内容监管”更多的转向“能力监管”，“未来的监管重点将逐步转向‘人工智能实施的行为’，以及相关行为的法律效力和责任认定问题，而不再仅限于‘人工智能生成的语言’。”

与此同时，他认为，部署者的责任预计将进一步强化。未来针对AI Agent的监管机制，很可能明确规定部署主体需履行安全评估、操作日志留存以及应急响应机制建设等义务，从而在应用层面有效落实AI监管要求。