它不是聊天工具,是能"动手"的智能体

很多人把 OpenClaw 当成一个更强的对话 AI 来理解,这就错了。新华社的描述很准确:它更像"数字人",有学习和动手能力,能直接帮你操作事务。说白了,普通聊天机器人顶多给你一个错误答案,OpenClaw 给你的可能是一个错误操作——删文件、发邮件、调接口,它碰到的是你的真实系统。

3 月 6 日深圳腾讯大厦门口排起长队,数百人现场部署;社交平台上到处是"养龙虾""用龙虾"的晒图。这股热度本身没问题,但热度制造了一种很强的错觉:别人都装了,我不装就落后了。

安全这件事,偏偏最怕"先装再说"。

官方点名的四类风险,条条扎心

3 月 10 日晚,人民日报发布《已出现严重安全风险!官方再就"龙虾"发布提醒》,转发了国家互联网应急中心的风险提示。注意措辞——"已经出现了一些严重的安全风险",不是"可能有风险",是已经发生了。

四类风险:

  • 提示词注入:攻击者在网页里埋隐藏指令,OpenClaw 读取后可能把你的系统密钥直接带出去。这就像你请了个助理,结果别人在文件里夹了张纸条,助理照做了。
  • 误操作:理解错指令,直接删掉邮件或核心数据。AI 幻觉在聊天场景里顶多是胡说八道,在智能体场景里就是真刀真枪的破坏。
  • 插件投毒:恶意 skills 可能窃取密钥、部署木马后门。生态越繁荣,浑水摸鱼的越多。
  • 公开漏洞:国家互联网应急中心明确说 OpenClaw 已曝出多个高中危漏洞,GitHub 安全公告页近期连续挂出多条通告。

怎么用才不算裸奔

国家互联网应急中心和工信部专家给的建议,汇总起来就是一套最小权限 + 隔离运行的思路:

  • 不要把管理端口暴露在公网,做好身份认证和访问控制;确实需要远程访问,走 SSH 或 VPN,限制来源地址
  • 不要在环境变量里明文存密钥,用专门的凭证管理方案,开日志审计
  • 严格管理插件来源,禁用自动更新,只从可信渠道安装经过签名验证的扩展
  • 部署时严禁用管理员权限账号,只给完成任务所需的最小权限
  • 高风险动作必须二次确认——删除文件、发送数据、修改系统配置这类操作,要有人工审批环节
  • 尽量放在容器或虚拟机里隔离运行
  • 持续关注安全补丁,及时升级——但不要迷信"升到最新版就万事大吉"

最后一条尤其重要。专家明确提醒:信任边界模糊、技能包市场审核不足、配置错误这些根本性问题,不会因为一次版本更新就自动消失。

真正该警惕的不是错过风口

会跑起来,不等于安全;能接上接口,不等于能放心用;别人能远程帮你装,风险也不会跟着消失。

对一人公司和独立开发者来说,OpenClaw 确实是值得关注的生产力工具,但你的主力电脑、主力账号、主力文件和主力密钥,就是你全部的家当。大厂出了安全事故有团队兜底,你没有。

建议很简单:先在一台干净的测试机或容器里跑起来,把权限、网络、插件这些边界搞清楚,再考虑接入正式工作流。抢先不重要,活着跑下去才重要。