本文来自微信公众号“IOT视点”。
2026年,一款名为OpenClaw、昵称“龙虾”的开源AI智能体工具异军突起,凭借强大的自动化任务处理能力、开放式插件生态以及低成本部署优势,迅速席卷全球互联网领域,成为年度现象级“开源奇迹”。从个人开发者付费安装体验,到企业批量部署优化流程,再到不少用户因安全隐患付费卸载,“养龙虾”已然演变成一场全民参与的智能体狂欢。
OpenClaw的爆火并非偶然。作为一款开源AI智能体,它打破了传统AI“被动响应”的局限,进化为能自主感知环境、拆解目标、调用工具、优化结果的“数字员工”——不同于传统聊天机器人仅能实现简单对话交互,OpenClaw可独立操作电脑、调用各类软件接口、处理邮件、执行代码,甚至完成多步骤复杂任务,其开放式架构更支持用户通过ClawHub插件平台自定义功能,适配个人办公、企业运维、开发者测试等多种场景,极大降低了AI智能体的使用门槛。国家网络与信息安全信息通报中心监测数据显示,在北京、上海、广东等互联网资源密集区域,呈现爆发式增长态势。
热度之下,安全风险也随之暴露。国家网络与信息安全信息通报中心、国家信息安全漏洞数据库(NVDB)等权威机构先后发布安全预警,明确指出OpenClaw在架构设计、默认配置、漏洞管理、插件生态、行为管控等方面存在重大安全风险,一旦被攻击者利用,可能导致服务器被控制、敏感数据泄露、财产损失等严重后果,甚至威胁公共安全领域的数字基础设施安全。
狂欢背后的安全暗礁
OpenClaw的安全风险并非后天使用不当导致,而是源于其开源架构设计的原生缺陷,再加上开源生态的开放性、监管的滞后性,形成了“层层可破、步步有险”的安全格局。
OpenClaw采用多层架构设计,攻击者可从任意一层突破,实现对整个智能体系统的控制。国家网络与信息安全信息通报中心指出,其IM集成网关层可被攻击者伪造消息绕过身份认证,智能体层可被多轮对话修改AI行为模式,执行层与操作系统直接交互存在被完全控制的风险,产品生态层遭投毒的恶意插件可批量感染用户设备。
从技术层面来看,这种架构缺陷的核心问题的是“权限边界模糊”与“校验机制缺失”。此外,OpenClaw的执行链设计存在明显漏洞,其Control UI、API端点、插件接口等关键环节均未对传入参数进行严格过滤,导致攻击者可通过构造恶意链接、注入恶意命令等方式突破防护。
OpenClaw的默认配置设计过于“便捷化”,却忽视了安全防护,导致大量部署实例暴露于公网,处于“无防护裸奔”状态。对于普通用户而言,大多缺乏专业的网络安全知识,部署OpenClaw时往往直接使用默认配置,不会主动修改访问权限、加密敏感信息,这就给攻击者提供了可乘之机。更值得警惕的是,即使用户升级到OpenClaw官方最新版本,修复了已知漏洞,若未修改默认配置,依然存在重大安全风险。奇安信集团的安全分析显示,大量公网暴露的OpenClaw实例,即便升级至修复版本,因未关闭默认开放的访问端口、未设置账号密码,仍被攻击者频繁扫描、尝试入侵,其中公网实例存在高危风险。这种“便捷优先、安全滞后”的默认配置,成为OpenClaw最易被利用的安全漏洞之一。
这些漏洞的危害覆盖个人用户、企业乃至公共基础设施。对于个人用户,可能导致本地文件被删除、隐私数据被窃取;对于企业,可能导致服务器被控制、核心业务数据泄露;对于部署在公共基础设施中的实例,可能引发设备瘫痪、服务中断等公共安全事件。
另外,OpenClaw的开放式插件生态是其核心优势之一,但也成为安全风险的重灾区,这些恶意插件往往伪装成实用工具,如图片美化器、文档转换工具、自动化办公插件等,诱导用户下载安装。一旦安装,恶意插件可突破OpenClaw的沙箱限制,窃取用户的API密钥、聊天记录、本地文件等敏感信息,植入后门程序,甚至控制用户设备,实现“批量感染、批量窃取”。
风险蔓延的深层成因
OpenClaw的安全风险可能快速蔓延,成为威胁公共信息安全的隐患,并非单一因素导致,而是开源工具的固有特性、用户安全认知的缺失、监管体系的滞后性三者叠加的结果。深入剖析这些成因,才能从根源上找到防控突破口,避免“开源奇迹”沦为“安全灾难”。
OpenClaw的爆火得益于开源模式的优势——开源意味着代码公开、免费使用、社区协作,任何开发者都可以查看、修改、优化代码,快速迭代功能,降低使用门槛。但这种模式也带来了天然的安全短板:一方面,开源代码的公开性使得攻击者可轻易查看代码,挖掘漏洞,且漏洞披露后,所有攻击者都能快速获取利用方法,扩大攻击范围;另一方面,开源社区的协作模式缺乏统一的安全管理标准,代码贡献者的水平参差不齐,部分贡献者可能因疏忽留下安全漏洞,甚至存在恶意贡献者故意植入后门程序的情况。
“养龙虾”的狂欢背后,是大量用户的盲目跟风,而安全认知的缺失则让这种狂欢沦为“安全陷阱”。从用户群体来看,OpenClaw的用户主要分为个人开发者、普通办公用户和中小微企业,其中绝大多数用户缺乏专业的网络安全知识,对AI智能体的安全风险认知不足。对于个人用户而言,大多是被“自动化办公”“高效便捷”的卖点吸引,盲目安装OpenClaw,既不了解其安全漏洞,也不进行必要的防护配置——使用默认配置、随意安装来源不明的插件、泄露API密钥等行为屡见不鲜,成为安全风险的“重灾区”。对于中小微企业而言,缺乏专业的网络安全团队,为了降低成本,盲目部署OpenClaw用于企业运维、客户服务等场景,未对智能体的权限进行合理管控,也未建立漏洞监测和应急响应机制,一旦发生安全事件,往往无法及时处置,造成核心数据泄露、业务中断等严重后果。而部分企业甚至将OpenClaw部署在承载敏感数据的服务器上,进一步放大了安全风险,可能引发公共信息安全隐患。
AI智能体作为新兴的数字工具,其快速发展与监管体系的滞后性形成了明显的脱节,这也是OpenClaw安全风险蔓延的重要原因。目前,我国针对AI智能体的监管体系仍处于完善阶段,尚未形成覆盖“开发、部署、使用、运维”全生命周期的监管机制,对于开源AI智能体的安全监管更是存在诸多空白。
一方面,监管标准不明确。目前,我国尚未出台专门针对开源AI智能体的安全标准,对于其架构设计、漏洞管理、插件审核、数据安全等方面,缺乏统一的规范要求,导致开源项目开发者缺乏明确的安全指引,用户也无法判断一款开源智能体是否符合安全标准。虽然《网络安全法》(2026年修订版)、《网络安全技术软件供应链安全要求》(GB/T 43698-2024)等法律法规和国家标准,对软件供应链安全、数据安全等提出了原则性要求,但针对AI智能体的特殊性,尚未形成细化的监管措施。
另一方面,监管能力不足。AI智能体的技术复杂度高、迭代速度快,其安全风险具有隐蔽性、扩散性、连锁性等特点,传统的监管方式难以适应。此外,监管部门与开源社区、企业、用户之间的协同机制不完善,缺乏有效的信息共享和联动处置机制,难以形成防控合力。
公共安全视角下的防控路径
面对这场“龙虾”狂欢背后的安全挑战,需要构建“开发者负责、用户自律、监管引导、社会协同”的多元防控体系,兼顾开源创新与安全防护,筑牢数字空间的公共安全底线。
开源项目开发者是安全风险的源头防控主体,OpenClaw的开发团队及社区需切实强化安全责任,从架构设计、漏洞管理、插件审核等方面,补齐安全短板,为用户提供安全可靠的产品。
一是优化架构设计,强化权限管控。开发团队应重构OpenClaw的多层架构,修复已知的架构缺陷,明确各层权限边界,严格遵循“最小特权原则”,限制智能体的系统权限,避免权限失控。二是建立常态化漏洞管理机制。组建专业的安全团队,加强对代码的安全审计,及时挖掘和修复漏洞;建立漏洞披露与修复的快速响应机制,缩短漏洞修复周期;同时,加强与国家信息安全漏洞数据库、奇安信等安全机构的合作,共享漏洞信息,提升漏洞防控能力。三是规范插件生态,防范供应链投毒。建立插件白名单制度,推荐安全可信的插件,提醒用户谨慎安装来源不明的插件;定期对已上线的插件进行安全排查,及时下架恶意插件和存在安全缺陷的插件,对受影响的用户进行提醒和引导。
用户是安全风险的直接承受者,无论是个人用户还是企业用户,都应摒弃盲目跟风的心态,提升安全认知,做好自主防护,从自身层面防范OpenClaw的安全风险。
监管部门应立足公共安全视角,加快完善AI智能体的监管体系,强化对开源AI智能体的引导和管控,防范安全风险蔓延,守护数字空间公共安全。
营造安全的开源AI生态,需要社会各界的协同参与,形成“人人关注安全、人人参与安全”的良好氛围。安全机构应发挥专业优势,加强对OpenClaw等开源AI智能体的安全分析和漏洞挖掘,及时发布漏洞分析报告和防护指南,为开发者、用户和监管部门提供技术支持;开展安全检测服务,为企业和个人用户提供OpenClaw实例的安全检测,帮助其发现和修复安全漏洞。媒体应发挥舆论引导作用,客观报道OpenClaw的安全风险,曝光典型安全案例,普及安全防护知识,引导用户理性看待“养龙虾”热潮,摒弃盲目跟风心态;同时,加强对开源AI智能体安全问题的监督,督促开发者履行安全责任,推动监管体系完善。
开源社区应加强自我管理,建立健全安全管理制度,规范代码贡献和插件上传行为,引导开发者树立安全意识,共同维护开源生态的安全;加强与监管部门、安全机构的合作,参与安全标准制定和漏洞处置,推动开源生态健康发展。
结语
这场“龙虾”狂欢,既是一场效率革命,也是一次安全考验。
数字时代,创新与安全相辅相成。OpenClaw的安全风险并非不可防控,只要各方协同发力,补齐短板、强化责任、筑牢防线,就能实现开源创新与安全防护的良性平衡,让AI智能体真正服务于人类、造福于社会,而不是沦为威胁公共信息安全的“隐形杀手”。
