全民“养龙虾”热潮席卷全国:OpenClaw爆火背后的安全警钟
Miranda 如果你最近听到朋友问“你养龙虾了吗?”,千万别以为对方改行做了水产养殖。这只看似普通的红色龙虾,正在悄然爬进成千上万台电脑,成为2026年开年至今最火爆的科技现象。
从餐桌到电脑:“龙虾”的AI革命
所谓的“养龙虾”,指的是部署、训练、使用开源AI智能体框架OpenClaw。该项目由奥地利退休程序员Peter Steinberger主导开发,因其官方图标是一只红色龙虾,被中国开发者亲切地称为“龙虾”。
与传统对话式AI不同,OpenClaw实现了从“聊天”到“执行”的范式革命。它不再是被动响应的工具,而是能主动规划并完成任务的“数字员工”——可以7×24小时待命,直接操作用户的鼠标、键盘、文件系统和各类应用程序。
猎豹移动董事长傅盛春节期间亲自“养虾”14天,记录下了令人震撼的经历。他的AI龙虾“三万”在除夕夜4分钟内,给611位联系人发送了定制化的拜年消息,每条都不重样,而且零失败。
现象级爆发:科技巨头与地方政府齐入局
OpenClaw的增长速度堪称现象级。截至2026年3月初,其GitHub星标数量突破23万,Fork数超3.2万,全球独立部署实例突破100万,单周官网访问量超200万。
科技巨头反应迅速。3月10日,腾讯发布全系“龙虾”产品矩阵,包括WorkBuddy、QClaw、腾讯云Lighthouse等,支持大众用户、开发者、企业级用户一键“养虾”。腾讯董事会主席兼首席执行官马化腾在凌晨2:06转发相关内容并配文:“自研龙虾、本地虾、云端虾、企业虾、云桌面虾,安全隔离虾房、云保安、知识库……”
字节跳动上线ArkClaw、阿里开源CoPaw、智谱发布AutoClaw,华为终端BG首席执行官何刚也展示了“鸿蒙版龙虾”小艺Claw。
更引人注目的是各地政府的密集政策支持。合肥高新区发布15条硬核举措,OpenClaw等项目最高可申领1000万元算力券;常熟市对入选各级人才计划的OPC项目最高给予600万元综合支持;无锡高新区单项支持最高达500万元。
安全警钟:工信部发布“六要六不要”建议
然而,这场赛博养虾热潮背后,隐藏着不容忽视的安全风险。3月11日晚,工业和信息化部网络安全威胁和漏洞信息共享平台发布关于防范OpenClaw(“龙虾”)开源智能体安全风险的“六要六不要”建议。
工信部明确四大典型应用场景安全风险:
- 智能办公场景:主要存在供应链攻击和企业内网渗透的突出风险
- 开发运维场景:主要存在系统设备敏感信息泄露和被劫持控制的突出风险
- 个人助手场景:主要存在个人信息被窃和敏感信息泄露的突出风险
- 金融交易场景:主要存在引发错误交易甚至账户被接管的突出风险
根据ZoomEye网络空间测绘平台统计,截至2026年3月9日,全球可识别的OpenClaw实例数量已达到72,537个,其中中国的部署规模明显高于美国,成为全球OpenClaw部署数量最多的国家。
核心风险:信任边界模糊与权限滥用
工信部预警明确指出,OpenClaw的“信任边界模糊”是安全隐患的根源。主要风险包括:
1. 默认高权限风险:为完成自动化任务,OpenClaw需获得系统高级别权限,可读写任意文件、调用任何API。一旦被劫持,后果等同于交出电脑完全控制权。
2. 公网暴露风险:早期版本默认监听19890端口且无认证,导致大量实例“裸奔”在公网。黑客通过Shodan等工具可一键扫描接管。
3. 供应链攻击风险:依赖大量第三方库和组件,任一环节被植入恶意代码或存在漏洞,整个系统都可能被攻破。
4. 提示词注入风险:攻击者可通过网页暗藏恶意指令,诱导软件泄露用户系统密钥。
国家互联网应急中心发布的《关于OpenClaw安全应用的风险提示》指出,该软件运行需要包括访问本地文件系统、调用外部API等较高系统权限,加之其默认安全配置薄弱,目前已被曝出存在严重安全隐患,攻击者利用这些缺陷可轻易获取系统完全控制权。
行业应对:安全加固与合规建设
面对安全警示,行业迅速做出反应。腾讯迅速回应:装在个人电脑上使用时,腾讯电脑管家专门为AI准备了“隔离房”(龙虾管家),一键开启后AI只能在这个房间里干活;放在云端使用时,腾讯云上线了“后台保安”(AI Agent安全中心),时刻保持警惕。
头部科技公司已采取行动:阿里巴巴暂停内部所有OpenClaw部署进行安全审查;腾讯发布内部安全指引要求所有业务线完成加固;字节跳动建立AI智能体安全专项小组;华为将OpenClaw从企业应用市场下架。
开源社区也在反思改进。OpenClaw项目维护者承认默认配置存在安全缺陷,发布v2.4紧急更新,默认启用最小权限原则,并建立安全响应团队。
未来展望:AI民主化与安全平衡
OpenClaw事件是AI技术发展过程中的一个典型缩影。中国工程院院士、网络安全专家张教授指出:“这次事件暴露了AI安全领域的三个根本性问题:第一,开发效率优先于安全设计的行业文化;第二,缺乏统一的AI安全标准与测试框架;第三,企业安全团队对AI技术的理解深度不足。这次预警不是终点,而是AI安全治理的起点。”
某头部安全厂商CTO建议:“企业应该建立AI安全的‘三道防线’:第一道,开发安全——在AI应用设计阶段就融入安全考量;第二道,部署安全——通过容器、沙箱等技术进行运行时隔离;第三道,运营安全——持续监控、定期审计、快速响应。”
随着2026年全国两会首次将“打造智能经济新形态”写入政府工作报告,AI智能体的普及已成为国家战略。如何在鼓励技术创新与防范安全风险之间找到平衡,将是AI产业健康发展的核心课题。
对于普通用户,安全专家的建议很明确:非必要不部署,必做安全加固,不装不明插件,不处理涉密信息。毕竟,在数字时代,便利诚可贵,安全价更高;隐私无小事,合规是前提。
免责声明:本文部分文字、图片、音视频来源于网络、AI,不代表本站观点,版权归版权所有人所有。本文无意侵犯媒体或个人知识产权,如有异议请与我们联系。
