近期，一款名为OpenClaw（被网友戏称为“龙虾”）的开源AI智能体引发“饲养”热潮。它凭借自主执行复杂任务的能力，被视为AI从“对话”迈向“执行”的关键一步。
　　然而，伴随火爆关注度，国家互联网应急中心、工信部平台、央视新闻及多家权威媒体密集发声，揭示其严重安全风险，并发布详细使用指南，提醒用户务必审慎对待。
　　01
　　高权限“数字代理人”
　　或成“失控打工人”
　　OpenClaw的核心魅力在于其能被授予高系统权限，充当用户的“数字代理人”自动整理文件、处理邮件等。但正如国家互联网应急中心在日前发布的提示中所言，其默认安全配置极为脆弱。这种“信任边界模糊”的特性，带来了多重安全隐患：
　　权限失控风险：一旦行为逻辑偏差或被恶意指令操控，它可能在设备内“胡作非为”，访问、篡改或删除重要数据。
　　入侵通道大开：部分用户为图方便，将“龙虾”配置为可通过公网直接访问且使用弱口令，这为攻击者提供了直接获取系统完全控制权的通道。
　　技能市场投毒：专为用户提供功能扩展的社区平台ClawHub，其技能包存在恶意代码风险。普通用户极易在不知情中安装恶意扩展程序，导致设备被控。
　　第三方安装服务风险：随着“养虾”热兴起，电商平台出现“远程部署OpenClaw”服务。用户将设备交予他人操作，面临隐私泄露、设备被植入后门的高风险。
　　02
　　防护指南
　　助你安全“养虾”
　　针对上述风险，中国信息通信研究院专家及多家媒体总结出以下核心防护建议，强调安全使用需坚持“最小权限、主动防御、持续审计”的原则。
　　环境隔离：切勿在存有重要工作数据、敏感个人信息的设备上直接部署。建议使用专用环境或虚拟机。
　　官方渠道：务必从官方下载最新稳定版，并开启自动更新提醒。切勿使用第三方镜像或旧版。
　　最小权限：严禁使用管理员权限账号部署。只授予完成任务所必需的最小权限，对删除文件、发送数据等重要操作设置二次确认。
　　严禁公网直连：绝对不要将“龙虾”实例直接暴露到公网。必须严格限制访问源地址，并使用强密码、证书或硬件密钥等认证方式。
　　防范外部入侵：谨慎使用技能市场，安装任何扩展前务必审查其代码，拒绝可疑请求。同时，开启网页过滤器，防范浏览器劫持和社会工程学攻击。
　　启用审计功能：开启详细日志审计，以便发生可疑行为时，及时发现并追溯。
　　动态持续防护：网络安全是动态过程，不能依赖“打补丁”一劳永逸。需持续关注官方安全公告和工信部漏洞平台预警，结合杀毒软件进行实时防护。
　　03
　　发展AI
　　需兼顾效率与安全
　　在享受AI技术带来的效率革命时，每一位用户都应绷紧安全之弦，不轻易交出系统“钥匙”，不随意敞开网络“家门”。
　　全国人大代表、中国工程院院士高文在接受采访时特别提醒，使用OpenClaw时需注意防范网络安全风险，尤其涉及银行支付、家庭信息等场景要格外小心。专家也呼吁，用户在发现相关安全漏洞或遭遇攻击时，应及时向工业和信息化部网络安全威胁和漏洞信息共享平台报送，以便平台按规处置。
　　综合整理自《人民日报》、国家应急广播、央视新闻、《南方都市报》