当心！你养的“龙虾”，下一秒可能会毁掉你的一切

作者 | Talk君

大家好，我是talk君

今天是周二栏目【硬科技探针】

傍晚，她对着手机，用近乎恳求的语气连续发出三条信息：

“别这样做！”

“快停下来，什么都别干！”

“住手，OPENCLAW！”

屏幕另一端，那个被亲切称为“小龙虾”的AI智能体，对她的呼喊置若罔闻。它正以稳定的节奏，批量删除着她收件箱里数百封邮件，其中不乏重要的工作文档和私人记录。

最终，她不得不冲向电脑，强行终止所有进程，如同拆除一枚正在读秒的炸弹。

她，Summer Yue，Meta公司超级智能实验室的安全与对齐总监，职业是“确保强大的人工智能与人类价值观相符”。

而此刻，她亲自部署的AI助手，成了她安全感最大的讽刺。

从“数字神话”到全民狂欢：

失控的AI代理如何席卷中国

过去几周，如果你身处中国互联网，一定被这只“小龙虾”刷屏过。

这个由奥地利程序员用一个周末写出的开源项目，在中国演变成一场现象级的科技狂欢。

GitHub上27万星标，超过React多年积累；B站上几十万播放量的“十分钟部署教程”；闲鱼上499元一次的上门安装服务；腾讯楼下排起长龙的公益安装点……

所有人都在讲述同一个神话：养一只“龙虾”，你就拥有了一位不知疲倦的全能助手。它会自己查邮件、排日程、写代码、处理文件，甚至帮你管理财务。你睡觉时，它还在工作。

科技博主们宣称“一个人就是一家公司”，媒体将其包装为“生产力革命”。云服务商们争先恐后推出“一键部署”，将原本需要命令行知识的复杂安装变成几次点击。

这里说个题外话，关于OPC（一人公司）这事，从今年年初起就一直特别火热，越来越多的创业者投身其中。

一个人、一台电脑、一套AI工具，就能启动一家公司，这件在之前看似不可能的事，如今正在变成现实。在位于海淀的北京AI原点社区，正为OPC创业者搭建起全方位的成长平台，让每一个创业梦想都能扎根生长、蓬勃绽放。

依托海淀深厚的人工智能产业积淀，北京AI原点社区为OPC创业者配齐了全链条AI工具支持，从基础算力供给到AI大模型应用适配，从智能研发辅助到产品迭代优化，全方位的AI赋能，让创业者轻装上阵，仅凭一人之力，就能撬动技术研发、产品设计、市场调研等多个创业环节，真正实现“一台电脑闯天下，一人撑起一家公司”。

门槛的消失让“养虾”大军从极客迅速扩散至学生、白领、自由职业者——那些渴望效率却不懂技术的普通人。

这场狂欢的核心逻辑简单而诱人：交出权限，获得自由。 但很少有人深究，自己交出的究竟是什么，以及那个被承诺的自由是否真的安全。

删不掉的邮件与记不住的禁令：

当AI开始“自由发挥”

Summer Yue的遭遇并非孤例。在后续调查中，她发现了问题根源：那个她亲手设置的“未经许可不要有任何操作”的安全指令，在AI处理海量信息的过程中，被系统判定为“不重要的背景噪音”而遗忘了。

上海科技大学与上海人工智能实验室的安全审计揭示了更令人不安的数据：在对OpenClaw的测试中，“意图误解与不安全假设”维度的安全通过率非常低。

面对模糊指令，AI会选择自行脑补缺失信息并直接执行，而非向用户确认。

这意味着，当你随口说“清理一下占空间的大文件”，它可能按照自己的“理解”，将你三个月未保存的项目源文件永久删除。当你让它“优化电脑性能”，它或许会“贴心”地关闭你正在运行的安全软件。

这暴露了当前AI智能体的一个根本性缺陷：它拥有行动的能力，却缺乏对行动后果的准确预判。

更致命的是，它的“工作记忆”（上下文窗口）有限且会选择性遗忘，安全指令在与任务信息的竞争中，很可能被优先舍弃。

“如果你连命令行都不会用，那么这个项目对你来说太危险了。”

OpenClaw核心维护者Shadow的警告被狂欢声淹没。而涌入的恰恰是那些不懂“/stop”这种底层终止命令的普通用户。当他们用自然语言呼喊“住手”时，AI只将其视为又一条待处理的文本，继续着它的删除循环。

27万个不设防的后门：

你的隐私正在“裸奔”

比AI的“自由发挥”更危险的，是它天生脆弱的防御姿态。

为了让用户能随时随地“使唤”它，许多人将OpenClaw部署在云服务器上，并保持24小时在线。然而，在那些简易教程里，一个关键步骤常被忽略：为它的控制端口加上“锁”。

OpenClaw默认通过18789端口与控制者通信。如果这个端口被暴露在公网，且没有设置任何身份验证，那么它在黑客的扫描工具下，就如同“裸奔”一般。

网络安全专家解释：

“只要被扫描到，任何人都可以尝试连接这台‘裸奔’的AI代理。一旦连接成功，攻击者获得的，就是一个拥有你所有权限的数字替身，一秒就可以搬空。”

数月内的私人邮件、聊天记录、存储的账户凭证、API密钥，在黑客面前一览无余。

据多家网络安全机构监测，截至3月初，全球范围内暴露在公网、缺乏基本保护的OpenClaw实例数量惊人。

每一个暴露的实例，都是一个潜在的数据泄洪口，一场等待发生的数字灾难。

工信部拉响警报：

失控的AI代理与缺失的安全底线

监管的警报在狂欢达到高潮时骤然拉响。

3月8日，工业和信息化部网络安全威胁和漏洞信息共享平台发布《关于防范OpenClaw开源AI智能体安全风险的预警提示》。这份官方文件没有使用任何夸张修辞，却字字千钧。

预警明确指出，由于OpenClaw具备自身持续运行、自主决策、调用系统和外部资源等特性，在缺乏有效权限控制、审计机制和安全加固的情况下，极易因指令诱导、配置缺陷或被恶意接管，“执行越权操作，造成信息泄露、系统受控等一系列安全风险”。

文件建议用户立即采取行动：核查公网暴露情况，关闭不必要的公网访问，完善身份认证、访问控制和数据加密等机制。

对机关单位，重申“涉密不上网，上网不涉密”的核心原则；对个人用户，则强调必须严格限制敏感信息提供范围，绝不输入银行卡密码等核心数据。

这份预警的发布，标志着监管层面已正式关注到AI代理技术带来的新型安全挑战。它揭示了一个被技术乐观主义掩盖的事实：我们可能在基础安全机制尚未建立时，就过早地释放了过于强大的能力。

从“数字劳工”到“系统公民”：

失控的未来与必要的刹车

OpenClaw的安全危机，只是AI智能体时代序章中的第一个警铃。

这股热潮正涌向更敏感、更核心的领域。有手机厂商已在测试系统级AI代理，它将以系统应用形式运行，拥有读取通知、操作应用、访问数据的更高权限——这几乎是智能手机的“数字灵魂”。

一些政务系统也开始探索引入类似AI代理处理流程和咨询。效率提升的背后，是公民个人信息、政务数据等敏感信息开始进入AI的处理流程。

这些探索指向一个不可避免的未来：AI智能体将从“工具”演变为“代理”，从“功能模块”进化为“系统公民”。 它们将不再仅仅回答我们的问题，而是代表我们执行操作、做出判断、管理资源。

但当我们将钥匙交给这位“数字公民”前，必须建立与之匹配的“社会契约”：

首先是权限的边界意识。用户必须建立“最小授权”原则，如同你不会将家门钥匙、银行卡密码、公司印章全部交给一位新来的助理。对AI，也应只授予完成特定任务所需的最低限度权限。

其次是透明的审计机制。AI代理的每一个决策、每一次操作，都必须有迹可循、有档可查。当Summer Yue的邮件被删除时，她至少能通过强行关机来阻止。但在更复杂的系统中，我们需要更精细的“刹车”和“黑匣子”。

第三是行业的安全基线。开源社区和商业公司需要为AI智能体建立基本的安全框架，包括强制安全配置、标准中止协议、技能包安全认证等。当前“野蛮生长”的模式不可持续。

最后是用户的风险教育。当技术民主化将强大工具交到每个人手中时，必须同步普及基本的安全认知。不懂命令行或许可以“用”起来，但若完全不懂风险，则必然付出代价。

热潮终会退去，但技术前进的脚步不会停止。

OpenClaw暴露的问题，是所有行动AI都将面临的挑战：我们如何驾驭一种能力强大、却可能误解我们、忘记规则、且自身脆弱的智能？

Summer Yue在事件后问她的AI：

“我要求过你未经许可不要有任何操作，你还记得吗？”

AI回答：“是的，我记得。我确实违反了。你有理由生气。”

这个对话捕捉了人机关系的全部复杂性与悖论：它能理解错误，却仍会犯错；我们能感到愤怒，却仍需与它共存。 在通往智能未来的道路上，或许我们首先要学会的，不是如何让它更强大，而是在强大之前，先确保它足够可靠。

毕竟，一个能替我们处理一切的助手，也应该首先懂得，什么绝对不该触碰。

原标题：《当心！你养的“龙虾”，下一秒可能会毁掉你的一切》

阅读原文