AI“龙虾”虽香，可别盲目乱装！官方安全提示——

最近，

你的朋友圈是不是也被

一只红彤彤的“龙虾”刷屏了？

这不是什么新派海鲜，

而是一款名为OpenClaw的

开源AI智能体（AI Agent）软件。

因其图标酷似龙虾，

被网友戏称为“龙虾”。

装它、用它，圈内都叫“养虾”。

从科技圈到两会代表委员的讨论，

这只“龙虾”彻底火了。

腾讯公司创始人马化腾坦言

“没想到会这么火”，

全国政协委员周鸿祎也计划推出

“一键安装版”以降低门槛。

然而，在全民狂欢的背后，

一只无形的网络“黑手”

也正在暗处伺机而动。

爆火的“数字员工”：

能干，但不能过于“信任”

OpenClaw与传统聊天AI最大的不同在于：它不只是“动嘴”，而是真的“动手”。

只要你给它授权，它就能自主浏览网页、写邮件、安排日程，甚至替你完成复杂的购物和支付。

这让AI助理变成了既“嘴严”又全能的“7X24小时的数字员工”。这个数字员工可以记住你的偏好和任务历史，不断学习新技能，并自主分配任务执行。这种主动性使得它在处理重复性繁琐工作方面，展现出极高的价值。

一些吸引眼球的标题开始占领你的社交媒体首页：“10分钟用OpenClaw开发一个小程序”“赛博龙虾打工养活你”“聪明的人已经用OpenClaw开始赚钱了”。

B站上出现播放量几十万的保姆级教程，小红书上有人教你零基础十分钟搞定OpenClaw本地部署。

云厂商们也很快加入。阿里云、腾讯云、百度云争着推一键部署，把原本需要折腾命令行的安装压缩成几个按钮。

还有看起来更有趣的玩法，有人让OpenClaw给不同的AI分配角色，让它们分别负责市场、客服和财务，号称一个人就能开公司。

然而，正是这种“能干”，埋下了巨大的安全隐患。

工信部紧急预警：

存在严重安全风险！

“小龙虾”的热议很容易让人产生一种错觉：只要养好一只龙虾，它就会替你打工。

但是，读文件、操作浏览器、自己调用新的AI agent、甚至直接花钱买东西——要实现这些功能，它必须拿到大量权限、邮箱权限、文件系统权限、各种服务的API密钥或是你的网银与信用卡信息。

权限越高，风险越大。

除了像外部攻击漏洞夺取本地AI代理以至于主机的控制权，通过骗用户安装高危软件（或skill）窃取信息之类的传统戏码，龙虾本身如果失控也会带来让人哭笑不得的问题，甚至专业人员也会中招。比如Meta超级智能实验室的一位工作人员有一天就惊恐地发现，龙虾突然开始疯狂删除自己邮箱中的邮件！

面对新技术带来的效率变革，我们既要热情拥抱，更要冷静审慎。

工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）近日紧急发布了《关于防范OpenClaw开源AI智能体安全风险的预警提示》。

建议相关单位和用户在部署和应用OpenClaw时，充分核查公网暴露情况、权限配置及凭证管理情况，关闭不必要的公网访问，完善身份认证、访问控制、数据加密和安全审计等安全机制，并持续关注官方安全公告和加固建议，防范潜在网络安全风险。

更多安全建议可能对你有用：

第一，不要在装有重要文件的工作机上安装和使用。用Docker、虚拟机，或者一台闲置的电脑（使用大厂提供的云端版本更方便，也可以避免影响本地系统，但隐私和功能方面稍逊）。

第二，安装好龙虾后，先更改端口号，设置只允许本地电脑访问Web界面，不要暴露到公网。再从官方渠道安装一个用于审核技能是否包含恶意信息的技能（例如skill-vetter等）用来参考。

第三，尽量缩减权限，特别是和财务、本地文件、运行命令或程序相关的权限。要执行这些任务时，一定要手工确认。

第四，设定token上限并监控API用量，也可以考虑使用包月套餐。因为龙虾在执行某些复杂或自动化任务时可能消耗大量token，如果没有合理设置额度，可能带来不小的经济损失。

第五，不要指望它能代替你完成所有工作。

如果你符合以下情况，请慎重考虑安装龙虾：

第一，如果即使借助AI的帮助，你仍然难以理解上面建议中的大部分术语，也不清楚网络安全的基本原则，说明你目前对相关技术还不够熟悉，可以先多了解一些再考虑安装。

第二，如果你目前没有明确的使用需求，只是觉得“装了龙虾就能帮你干活”，那很可能即使安装了也难以发挥它的作用。

“AI龙虾”这道“菜”确实很香，

但烹饪不当很容易“炸厨房”。

在享受技术红利的同时，

只有筑牢安全的“防火墙”，

才能让这只“龙虾”真正

成为助力发展的好帮手，

而不是反噬隐私和财产的“网络木马”。

网络空间不是法外之地，

技术创新更需安全护航。

请转发提醒身边正在“养虾”的朋友！