最近几天,你们朋友圈是不是经常看到一只红色的龙虾刷屏啊,它叫OpenClaw,是个AI智能体工具,图标是只龙虾,大家都管它叫“龙虾”。OpenClaw在GitHub上走红了,四个月就获得了26万星标,各大公司比如腾讯、字节、小米和智谱都在努力把它部署到自己的系统上。深圳、无锡、合肥也给了很多补贴抢项目呢。普通人更是把它当成免费的24小时数字员工。可是就在315前后,情况突然不一样了。国家网络安全机构发布了警告,说OpenClaw有严重的安全风险。全球27万 实例都在裸奔运行,还有2.3万设备在国内高危运行呢!大家都在狂欢的时候,漏洞和黑客就盯上了OpenClaw。今天这篇文章,让我们来看清楚:这只爆红的“龙虾”,到底藏着多大的问题。 OpenClaw到底是什么呢?简单说:传统AI只是个出主意的军师,给你方案但不动手。而OpenClaw是能直接干活的数字员工,你发个指令,它直接操作电脑:读文件、写代码、发邮件、整理数据、自动运营账号。这就是为什么OpenClaw一夜爆红。但问题也在于这个功能:权限越大,风险也就越大。 国家网络安全机构最近披露了五个高风险问题:第一,85%的实例在公网裸奔,很多人部署后没设密码也没认证。黑客很快就能扫描到你的电脑并远程控制它。第二,超过200个高危漏洞被发现,40%是高危或超危级别。只要你没更新版本,就可能被黑客入侵。第三,插件市场被投毒了超过10%的第三方插件含有恶意代码:偷密钥、盗账号、删文件、刷流量。第四,密钥明文存储在配置文件里。同一网络下别人轻松就能偷走你的密码和Token、API密钥。第五,AI行为可能失控。 腾讯云、字节飞书和小米/智谱这些大厂一边在抢项目一边悄悄修安全漏洞。他们比谁都清楚:这波风口很香但风险也很要命。 普通人怎么保命呢?如果你已经部署了OpenClaw,就马上照做:第一时间升级到最新版避免漏洞;绝对不要公网暴露关闭远程访问;别安装来路不明的插件或魔改包;公司办公设备严禁私自部署OpenClaw。 这次OpenClaw的爆火标志着AI进入“行动时代”,但这次全民狂欢也暴露了整个行业的问题:技术跑得太快而安全跟不上;开源太自由监管跟不上;用户太狂热风险看不见。希望大家多注意安全问题。