腾讯线下摆摊,开启免费“装龙虾”活动,手把手教用户部署,吸引了千人在线下排队,在网上也引发传播热潮。
OpenClaw的爆火,源于其实现了从“语言生成”到“行动执行”的关键突破。作为开源AI智能体平台,它不内置大模型,却通过整合通信软件与大语言模型,在用户电脑上自主执行文件管理、邮件收发、数据处理等复杂任务,展现出强大的自动化能力,网友将部署、调试这一智能体的过程形象称为“养龙虾”。
大厂扎堆布局
3月11日凌晨2点多,马化腾朋友圈转发了腾讯推出全系“龙虾”产品矩阵的公众号文章,并剧透腾讯“自研龙虾、本地虾、云端虾、企业虾、云桌面虾,安全隔离虾房、云保安、知识库……还有一批产品陆续赶来”。
目前,腾讯、字节跳动、阿里、百度等国内互联网大厂,小米、华为等硬件厂商均发布了与OpenClaw相关的布局动向,一场围绕AI智能体的卡位战已经全面打响。
高权限暗藏风险
这款能自主执行文件管理、邮件收发等系统级任务的AI智能体,打破了传统大模型“只说不做”的局限,作为能直接调用系统资源的智能体,OpenClaw的核心特性是“高权限执行”,需获取访问本地文件系统、读取环境变量、调用外部API等权限才能完成任务,这也让其成为一把“双刃剑”——在释放自动化能力的同时,将用户的系统安全与数据隐私置于风险之中。
3月10日,国家互联网应急中心发布《关于OpenClaw安全应用的风险提示》,明确指出若默认配置缺乏安全限制,攻击者利用漏洞突破防护后,可能获得系统完全控制权,造成数据泄露或业务系统失控等严重后果。
工业和信息化部网络安全威胁和漏洞信息共享平台此前也发布了相关预警。
即便升级到官方最新版本修复已知漏洞,也不意味着安全风险完全消除。“智能体具有自主决策、调用系统资源以及技能包来源复杂等特点,缺乏有效防护措施仍可能引发数据泄露或系统被控制等安全问题。”
更值得警惕的是,OpenClaw支持通过外部“技能包”扩展能力,而部分技能来源复杂,若缺乏审核机制,极易被植入恶意代码。包括公网管理接口暴露、API Key等身份凭证泄露、底层Shell工具调用越权、提示词注入攻击、记忆模块被恶意投毒、第三方技能插件供应链风险以及多智能体协同失控。其中,提示词注入和插件供应链攻击被认为是最容易被忽视且危害最大的新型攻击方式,一旦被利用,攻击者可能诱导智能体执行非预期指令,甚至长期操控其行为。
个人电脑上跑Agent与企业用Agent是完全不同的事情
“龙虾”类AI智能体突破圈层进入家庭与个人生活场景,数据安全、控制权争夺与责任界定的三重风险将集中爆发。“用户的聊天记录、浏览痕迹、私人文件等敏感信息将向AI敞开大门,开,一旦被恶意利用,智能体可能沦为窃取隐私的工具。
网络安全公司 Cato CTRL 披露,一名攻击者通过一台遭入侵的 OpenClaw 个人智能体,拿到了英国一家自动化公司 CEO 电脑的 root shell 访问权限,并将其直接挂在暗网上,开价 2.5 万美元。真正值钱的并非 root 权限本身,而是这位 CEO 毫不设防的“数字人生”。这位被黑客称为“近乎完美目标”的 CEO,甚至在被入侵时还在不断跟 AI 聊天。
最终,被打包出售的数据几乎等于这位 CEO 的全副身家,包括:OpenClaw 的完整上下文对话和长期记忆、CEO 正在开发的交易机器人 API 密钥、家庭联系人情况。更要命的是几十张涵盖公司现金流、客户联系人、采购订单、人工成本的绝对核心业务数据表。”
在个人场景(AI智能体)出了错大不了重来,但企业场景出了错,可能是文件被删、数据泄露。Agent能力上限令人兴奋,但安全下限决定是否能够真正进入工作场景,否则越强大、越危险。
构建安全“养虾”生态
和中通信科技有限公司(简称和中科技),作为全球网络空间数字安全领域科技创新者、产品提供者、服务运营者。将于近期发布一款面向OpenClaw生态的安全监督工具和中“虾笼”,开启“养虾”实时防护,包括OpenClaw生态中部分Skill(技能插件)安全隐患,通过提示词注入诱导泄露.env文件、API Key、SSH Key等敏感信息。旨在为这一开放生态提供基础安全设施。
和中“虾笼”采用权限控制、行为审计、风险分级等机制,核心功能包括:识别并拦截提示注入攻击;自动保护API Key、Token等关键资产;限制访问最小资源范围;对Skill的对外数据发送进行安全评估;记录可疑行为日志供审计。其设计理念借鉴了操作系统与云计算安全体系中的最小权限、零信任及用户数据主权原则。
