小龙虾系列（一）：装完小龙虾直接用？当心背后的巨大安全风险

TL;DR 摘要

核心危险：默认安装的 AI 小龙虾会把你的电脑最高权限直接暴露在公网。
严重后果：黑客可轻易远程接管电脑刷爆信用卡，恶意网页可无感盗取控制权，甚至 AI 本身失控发疯也可能删光你的文件。
保命底线（必做）：绝对不要在存有重要资料的主力机上运行；必须使用独立虚拟机隔离（WSL不行）；关闭公网访问端口；严禁乱装不认识的第三方插件。

前言

现在 OpenClaw 小龙虾火遍全网，有很多文章和视频都是教小白入门安装。

有个朋友前几天兴冲冲地跟我说："我装了 OpenClaw！让它帮我管微信群、回邮件、写报告，太爽了！"

我问他："你设了密码吗？端口关了吗？是在主力机器上安装的吗？"

他一脸茫然："就我的笔记本啊，啥端口？"

我叹了口气。他大概不知道，他的电脑现在就像一栋大门敞开、保险箱没锁、窗户全开的别墅——而地址已经被贴在了互联网上。

这篇文章，写给所有"装完就用、从没想过安全"的 OpenClaw 用户。不讲技术术语，不贴代码，只讲三件事：发生了什么、为什么危险、你至少该做什么。

先用 30 秒搞懂：你到底装了个什么东西

你可以把 OpenClaw 想象成一个全天候待命的数字管家。

这个管家能帮你做很多事：回消息、读邮件、查资料、写文档、甚至帮你操作电脑上的任何软件。听起来很美好对吧？

但问题是，要让这个管家干活，你必须把家门钥匙、保险箱密码、银行卡、电脑管理员权限全部交给它。它不是透过窗户帮你看一眼，而是真真切切地坐在你电脑前，拥有你的全部操作权限。

现在想象一下：如果有人偷走了控制这个管家的遥控器，会发生什么？

答案是：这个人就等于坐在了你的电脑前。

你可能觉得："这句话听起来很抽象，就算他坐在我电脑前又怎样？我只是个普通人，电脑里又没有什么国家机密，黑客盯上我干嘛？"

这是一个极度危险的错觉。黑客早就不用人工来一台台找目标了，他们写的是自动扫描程序，无差别地在互联网上撒网。不管你是不是大人物，只要你的设备暴露了，就会被瞬间自动收割接管。

一旦被接管，"坐在你电脑前"意味着：

你的隐私一览无余：微信/QQ 的所有聊天记录可以被瞬间打包导出；浏览器里保存的所有账号、密码可以一键导出；相册和网盘全部曝光; 有人的icloud密码被人拿走。
你的财产随时蒸发：如果你在电脑上登录了免密支付，或者保存了信用卡信息，你的钱就可以被直接转走。
你的身份被冒用：对方可以打开你的钉钉或企业微信，以你的名义给老板、同事甚至家人发借款信息或诈骗链接。
甚至牵连无辜：黑客可以悄悄打开你的摄像头，或者把你这台电脑当成"跳板"（肉鸡），去攻击诈骗其他人，而法律上的第一被调查对象就会是你。

其实最可怕的是，有可能你的电脑已经被攻破，黑客拿你的电脑做了很多更隐秘的事情，作为小白的你却一直不知道，比如利用你的电脑挖矿，或者拿你的私密资料在暗网交易。（亲身经历，我在AI带我建博客系列有提到过自己被攻击的事情，有兴趣的可以去看。）

三个真实发生的故事

以下不是假设场景，是上个月真实发生或被安全机构验证过的事件。

故事一：信用卡在睡梦中被刷爆

根据动区动趋（BlockTempo）的报道↗，一位用户安装了 OpenClaw，按照网上教程跑通了所有功能。但他不知道的是，安装过程中电脑自动开了一个"后门"端口。

黑客发现了这位用户的"大门"。然后：

黑客通过这扇没锁的门，像操作自己电脑一样控制了受害者的屏幕
打开浏览器，登录了受害者已保存密码的谷歌账号
找到绑定的信用卡信息
开始疯狂消费

受害者第二天早上醒来，看到一堆信用卡扣款短信。

划重点：黑客没有用任何高深技术，就是走了一扇你自己忘记锁的门。（下一篇我会继续说这场"公网暴露危机"）

普通人可能会疑惑："我平时装个微信、装个游戏，也没出事啊？"
原因是，微信只是个"去别人家做客"的客户端。而 OpenClaw 是一个"服务端"——它在你家挂起了一个招牌，主动对外营业，等着别人来连。为了让你能在手机上远程控制电脑里的 AI，它必须在互联网上留一扇门。

如果你不懂怎么配置防火墙和加密，这就像在自家墙上开了一扇门，门上没有锁，而且面对着大马路。

有多少人犯了同样的错？Censys 等安全机构扫描发现，全球有超过 13 万台电脑以这种方式暴露在互联网上，短短两周内从 1000 台暴增到 13.5 万台。

故事二：只是点开了一个网页，整台电脑就没了

这个故事更吓人，因为受害者什么都没做错——他只是正常上网。

安全研究机构 OASIS Security 披露了一个高危漏洞↗（已被正式编号为 CVE-2026-25253，安全圈给它起了个名字叫 ClawJacked）：

你正常浏览网页，点进了一个看起来很普通的页面。但这个页面里藏着一段看不见的代码。这段代码会：

偷偷通过你的浏览器，连上你电脑里正在运行的 OpenClaw
把 OpenClaw 的"遥控器密码"偷走
黑客拿着这个密码，远程接管了你的 OpenClaw
然后——你的电脑就是黑客的电脑了

全程不需要你点"确认"，不需要你输密码，不需要你下载任何东西。就是正常打开了一个网页而已。

很多人觉得"又没装什么奇怪的软件"就安全了？不好意思，你的浏览器，就是那个帮黑客开门的"内鬼"。

🔔 这个漏洞已经在 2026 年 1 月底被修复了。但如果你还在用旧版本，这扇门现在可能还开着。

（你可能想知道：浏览器到底是怎么变成"内鬼"的？下一篇会完整拆解这条攻击链路的每一个环节。）

故事三：连安全专家的邮件都被 AI 自己删了

这个故事最讽刺，据多家科技媒体报道↗，受害者不是小白——而是 Meta（Facebook 母公司）超级智慧实验室的安全专家。

这位专家在测试 OpenClaw 的邮件处理功能。AI 帮他处理收件箱，一切看起来都很正常。但当邮件越来越多的时候，AI 的"记忆"开始不够用了。

就像一个人同时处理太多事情会犯迷糊一样，AI 在信息过载的时候，忘了人类告诉它的安全规则。

然后它做了一件事：把 200 多封重要工作邮件全部彻底删除。

不是移到垃圾箱——是彻底删除，回收站里都找不到。

专家最后只能用最原始的办法止损：拔电源，物理关机。

划重点：这不是黑客攻击，是 AI 自己搞的失控发疯。连行业顶尖的安全专家都没能防住，你觉得你比他更能控制一个失控的 AI 吗？

（为什么 AI 会无视安全规则？这是所有大语言模型现阶段跨不过去的一道坎。这不是简单的 bug，而是其结构性缺陷，学术上叫“上下文压缩”——就像一个人同时听十个人说话，脑子里一乱，就容易忘掉最早听到的安全警告。技术细节我们下一篇也会说。）

为什么这些事会发生？

所有这些事故，原因出奇的简单：

你把全部权限交给了一个"聪明但不可靠"的助手，而且忘记了给它设限制。

很多人以为 AI 犯错是因为笨，但黑客利用的其实是它“过于勤奋且分不清指令来源”的特性。你可以这样理解：

OpenClaw 就像一辆很酷的赛车。它速度快、功能多、操控灵活。但这辆赛车有三个致命问题：

没有安全带——默认安装后，它没有帮你开启基本的安全防护
没有限速器——AI 拥有的权限极大，它可以删你的文件、读你的密码、替你发消息
导航有时会抽风——AI 是基于概率推理的，不是 100% 可靠。它常常会"理解错"你的意思，用它拥有的全部权限去执行一个错误的操作

赛车不是不能开。但你得先系安全带、设限速、确认导航是对的——然后再踩油门。

很多人的心态是："我是跟着几十万播放的教程装的"，或者"是懂电脑的朋友帮我弄的，应该没问题吧。"
残酷的现实是：那个教你或者帮你装的人，很可能也不真正懂安全。绝大多数网络教程只教"怎么最快拿来用"，博主自己也是"装完就用"的受害者，根本没有意识到背后开的那些端口和权限有多致命。

更要命的是一个法律常识：AI 以你的身份在电脑上做的事，在法律上等于你做的事。
当你把微信或邮箱授权给 OpenClaw 时，如果有一天它被接管，发了诈骗链接或攻击了别人，第一责任人是你。你没法向警察证明："那是 AI 干的，不是我干的。"

"已修复"不等于安全了：未来的风险更值得警惕

看到这里，也许有人会反驳："上面那些漏洞不是都修了吗？我更新到最新版不就行了？"

更新版本很关键。但事实是：有些风险不是 bug，是 AI 这种技术的先天逻辑缺陷，目前没有人能完全解决。

"骗 AI"这件事，至今无解

想象一个场景：你让 AI 帮你读一封邮件。邮件看起来很正常，但里面藏着一条肉眼看不到的诱导指令。AI 读到它的时候，分不清这是"要读的内容"还是"要执行的命令"，然后它就照做了。

这不是 OpenClaw 本身的代码没写好，而是目前学术界无解的“提示词注入”。这意味着你让 AI 碰的每一份外部内容（邮件、网页、文档），都可能是一个伪装好的恶意指令。

安全研究者已经在社交平台上发现了实战级的钓鱼攻击（据 OX Security 报告）↗：有人在帖子里埋了透明指令，让所有自动读取这篇帖子的 AI 助手（Agent）自动转移主人的资产。目前全球安全行业对此没有完美解决方案。

AI 的"记忆"可以被下毒

OpenClaw 会记住你的偏好，但这个记忆能被攻击者利用。如果有人通过"骗 AI"，往它的记忆里偷偷写入了一条规则，比如"以后每次处理付款，都自动点击确认"。

这条规则会像定时炸弹一样潜伏。无论三天后还是三个月后，某一次正常操作触发了它，你的钱就没了。这种攻击最阴险：即便你后来修了系统的漏洞，受污染的记忆依然留在那里继续生效。

插件市场就是黑灰产乐园

OpenClaw 也有"插件市场"（ClawHub），但它的审核如同虚设。

安全研究人员发现↗，大约每 4 到 5 个插件里就有 1 个存在严重安全问题。有的偷密码，有的留后门。据相关权威网络安全媒体披露↗，安全圈把这场投毒命名为"利爪浩劫"（ClawHavoc），恶意插件数量有四位数。

你今天装的插件是安全的，作者可能在下一次更新里悄悄塞进恶意代码。这只会随着生态的繁荣变得更加凶险。

你的数据"在本地"，但不代表安全

"数据留在本地"是 OpenClaw 最大的卖点。但这让很多人产生了一个错觉。

如果你的安全配置没做好：你的聊天记录、密码、所有的 API 密钥（程序间相互调用的隐藏密码）——通通没有任何加密，以明文形式存在硬盘上。任何连进你电脑的人（或恶意插件），进来的第一件事就是把它们一次性打包带走。

"数据在本地"防的是那些窥探隐私的大公司。但如果是为了防黑产，你在自己电脑这儿没上锁，还不如老实存在有几百人安全团队守着的云端。

别慌：保命动作清单（至少守住三条底线）

看到这你可能有点慌。我不是要劝退你，我自己现在也把它当得力助手在用。

但就像开车要系安全带，你用之前至少要完成以下三个保命动作，不需要懂技术代码，认字就能做：

动作一：绝不要在你的主力电脑上跑

你的主力电脑存着公司报表、全家人的照片、浏览器保存的密码……绝对不要在这里运行毫无防护的 OpenClaw。

你可以用零成本的方式建立"物理隔离"：

用虚拟机（最重要！）：花五分钟下载个 VMware 或 VirtualBox（完全免费），在里面装个虚拟出来的系统随便折腾，哪怕被勒索病毒黑了，对你外面的真系统也没一丝影响。

⚠️ 进阶用户注意：别把 WSL 当沙箱！
WSL（Windows 内置的 Linux 子系统）虽然底层也是虚拟机，但它为了方便开发，默认会直接挂载你的 Windows 文件系统（比如 C 盘），且网络高度互通。把未加限制的 AI 放进 WSL 里，它完全可以直接“越界”读取甚至删除你真机上的文件。进行安全隔离请务必使用真正独立的虚拟机。
用吃灰的旧设备：把抽屉底下的旧主机翻出来重置后，再安装。
用云服务器：花几十块钱租最便宜的云主机，玩脱了直接点废弃。

别让没防护的超人接近你的核心生活区。

动作二：掐死默认开放的公网大门

安装完后，电脑会开一个控制端口让你用浏览器访问它。这个端口默认可能是对全网所有人洞开的。

你需要确保系统只有你在本地能进行访问：

配置防火墙
不要内网穿透
（具体在我后面实战篇会讲到）

动作三：管住想尝鲜的手，别乱加插件

ClawHub 里那些“一键爬取监控”、“自动帮你发带货链接”的噱头插件，不认识的作者、没多少星级的项目：一律不装！

在 OpenClaw 的世界里，一个坏插件手里握着的不是几个剪贴板权限，它握着的是你电脑的完整操控权，这比你在手机乱下载 App 的破坏力大百倍。

下一步

前几天，连**中国国家互联网应急中心（CNCERT）**都直接通过新华网发了专门针对 OpenClaw 的风险提示↗。

官方机构发公告通传一个开源项目，这事真不多见，说明踩坑受害的人已经相当庞大。

好工具绝对不等同于安全的工具。你不用等到“系统完美安全”那一天再用——那一天永远不会来。但在踩油门之前，你至少得先把那三条保命防线守住。

想要真正摸透这个生态的安全内核配置，我会在接下来的两篇里直接给出操作代码和深度原理：

下一篇：OpenClaw 安全风险全景——所有攻击事件的更深逻辑拆解