小龍蝦味美，但要注意安全！工信部已點(diǎn)名高風(fēng)險(xiǎn)

這段時(shí)間，一款名為OpenClaw的開源AI智能體突然爆紅全球，因其圖標(biāo)是一只醒目的紅色龍蝦，被網(wǎng)友親切稱為“小龍蝦”，部署和使用它的過程也被戲稱為“養(yǎng)龍蝦”，GitHub上線4個(gè)月就斬獲25萬星標(biāo)超越Linux；前幾天騰訊宣布現(xiàn)場(chǎng)免費(fèi)安裝，有近千人排隊(duì)，也上了熱搜，這只“小龍蝦”以燎原之勢(shì)席卷極客圈與大眾市場(chǎng)，成為AI領(lǐng)域現(xiàn)象級(jí)產(chǎn)品！不過在狂歡背后，其暗藏的巨大安全風(fēng)險(xiǎn)也被徹底起底，值得每一位使用者高度警惕。

“小龍蝦”由奧地利資深程序員彼得·施泰因貝格爾創(chuàng)建，歷經(jīng)三次更名，于2026年初正式定名OpenClaw并引爆市場(chǎng)，即便后來彼得加入OpenAI，該項(xiàng)目也移交獨(dú)立基金會(huì)持續(xù)運(yùn)營。與傳統(tǒng)只能“動(dòng)口”的AI助手不同，OpenClaw是一款能“動(dòng)手”的AI智能體，核心定位是“能真正做事的AI”，可直接操作電腦，完成跨應(yīng)用、跨平臺(tái)的復(fù)雜任務(wù)，堪稱“數(shù)字員工”。

“小龍蝦”核心優(yōu)勢(shì)在于：視覺驅(qū)動(dòng)能力可模擬鼠標(biāo)鍵盤操作，無需API就能操控任何軟件；支持微信、釘釘、飛書等工具，聊天中即可下達(dá)指令；社區(qū)已貢獻(xiàn)超1.3萬個(gè)“技能”，涵蓋郵件處理、代碼開發(fā)、數(shù)據(jù)整理等多個(gè)場(chǎng)景；同時(shí)支持本地部署，數(shù)據(jù)本地存儲(chǔ)，兼顧便捷性與隱私性。無論是程序員用它調(diào)試代碼、運(yùn)維服務(wù)器，還是普通上班族用它整理郵件、生成周報(bào)，都能大幅提升效率，這也是它快速走紅的核心原因。

然而，就在“養(yǎng)龍蝦”的熱潮愈演愈烈時(shí)，一則令人心驚的消息打破了狂歡：有人掃描全網(wǎng)發(fā)現(xiàn)，共有23.49萬個(gè)“小龍蝦”實(shí)例直接裸奔在公網(wǎng)上，成為黑客眼中的“肥肉”。這些實(shí)例均使用默認(rèn)配置，監(jiān)聽18789端口，未開啟token驗(yàn)證、未設(shè)置密碼、未開啟防火墻，相當(dāng)于用戶把家門鑰匙、銀行卡密碼和電腦管理員權(quán)限全貼在大門上，直白地向黑客“敞開大門”。

工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)也發(fā)布高危預(yù)警，點(diǎn)名OpenClaw在默認(rèn)或不當(dāng)配置下存在公網(wǎng)暴露、權(quán)限失控、數(shù)據(jù)泄露等重大風(fēng)險(xiǎn)。

這些風(fēng)險(xiǎn)已經(jīng)出現(xiàn)大量真實(shí)案例：黑客可通過暴露端口一鍵接入，查看他人Agent的操作記錄，竊取API Key、錢包信息等敏感數(shù)據(jù)；部分服務(wù)器被黑客接管，當(dāng)作肉雞挖礦、運(yùn)行后門程序；企業(yè)部署的“小龍蝦”因配置不當(dāng)，導(dǎo)致核心機(jī)密被無償竊取，造成不可挽回的損失。而且ClawHub插件市場(chǎng)中還出現(xiàn)了偽裝成正常插件的惡意軟件，進(jìn)一步放大了攻擊風(fēng)險(xiǎn)。

面對(duì)“小龍蝦”的安全隱患，無論是普通用戶還是企業(yè)，都不能心存僥幸，必須立即采取措施加固防護(hù)，以下5分鐘自救清單可直接套用，簡(jiǎn)單易操作：

第一步，排查公網(wǎng)暴露情況。在終端輸入“netstat / ss -tuln | grep 18789”，查看自己的“小龍蝦”是否存在公網(wǎng)監(jiān)聽，這是防范風(fēng)險(xiǎn)的基礎(chǔ)；

第二步，關(guān)閉不必要的公網(wǎng)訪問，立即將實(shí)例改綁127.0.0.1，徹底切斷外網(wǎng)接入通道，避免被黑客掃描到；

第三步，及時(shí)更新版本，將OpenClaw升級(jí)至最新版，官方已在新版本中加強(qiáng)了安全默認(rèn)配置，修復(fù)了多項(xiàng)已知漏洞；

第四步，強(qiáng)化身份認(rèn)證，添加--token強(qiáng)密碼，或使用Cloudflare Tunnel、Tailscale等工具，進(jìn)一步提升防護(hù)等級(jí)；

第五步，執(zhí)行自檢，輸入“openclaw doctor”，排查潛在安全隱患，確保配置合規(guī)。

此外，工信部還給出明確安全建議：部署時(shí)遵循最小權(quán)限原則，不使用管理員權(quán)限運(yùn)行；敏感數(shù)據(jù)加密存儲(chǔ)，開啟操作日志審計(jì)；拒絕代裝、破解版，僅從官方渠道獲取安裝包；持續(xù)關(guān)注官方安全補(bǔ)丁，及時(shí)完成加固配置。對(duì)于普通用戶，建議優(yōu)先選擇大廠云端部署服務(wù)，降低操作門檻；科技發(fā)燒友嘗試本地部署時(shí)，需做好硬件準(zhǔn)備和權(quán)限管控，避免因操作不當(dāng)留下安全漏洞。

有網(wǎng)友調(diào)侃，

openclaw流行的結(jié)果:

1.蘋果很開心，因?yàn)閙acmini又瘋狂銷售了一波

2.作者很開心，有了知名度也加入OpenAI，賺的盆滿缽滿

3.OpenAl很開心，收編了作者，GPT5.4加強(qiáng)了，電腦操作更蹭了一波熱度

4.其他大模型廠家很開心，因?yàn)閛penclaw很費(fèi)token，又賣了很多API，而且openclaw越火，就能拉來更多的投資，何樂而不為?

5.云服務(wù)器廠家很開心，弄了一鍵部署，很多人嘗鮮養(yǎng)蝦會(huì)買一臺(tái)服務(wù)器試試

6.黑客很開心，從沒打過這么富裕的仗

7.普通人呢，大部分也挺開心的，因?yàn)橛X得自己養(yǎng)了一個(gè)龍蝦就跟上時(shí)代潮流了，自己也能當(dāng)老板指揮AI員工了，和別人也有談資，僅限于自己的龍蝦沒出事!

一圈下來大家都很開心，大家都有光明的未來!

阿斯麥高管：中國EUV原型機(jī)僅有我們20年前（2006年）的水平！白春禮院士：中國做光刻機(jī)時(shí)還沒有阿斯麥！

高志凱教授：西方抹黑中國的“總指揮”，被特朗普抖出來了

孫逢春院士直言：國產(chǎn)車技術(shù)已經(jīng)超越特斯拉，規(guī)模全球第一！網(wǎng)友：基本盤的專家

國際電池開發(fā)商：美國在芯片上全力制裁中國，但中國已經(jīng)在下一個(gè)技術(shù)時(shí)代開始稱霸了

黃仁勛說，“如果你的父母是中國人，那么你一定經(jīng)受過很多痛苦和磨難，我祝福你，一生都充滿「痛苦和磨難」”

美國要求臺(tái)積電在美追加投資3.15兆臺(tái)幣，合千億美金，因未滿足DEI合規(guī)（缺乏盲人和跨性別、女同性戀工程師）