睡夢中欠債1.2萬？這隻“蝦”殺瘋了

「學生黨切勿盲目跟風安裝’龍蝦’，僅使用三天讓我心態徹底崩潰。」大四學生高凌是一名文科生，臨近畢業既要兼顧課業又要尋找實習機會，原本期望藉助「龍蝦」整理筆記、完成作業。然而事與願違，「龍蝦」給他帶來了許多困擾，擅自刪除了他的專業課課件、複習資料乃至剛完成的作業草稿。

高凌急哭了，不僅如此，「龍蝦」還瘋狂消耗Token，數百元的賬單更讓他「心痛不已」——相當於半個月的生活費付諸東流。他真心勸告學生黨，「若預算有限、不懂技術，切勿花錢找罪受，純粹是冤大頭」。

隨著開源AI智能體OpenClaw（俗稱「龍蝦」）在全球的爆火，一場由不當安裝引發的安全風暴也正在席捲各行各業。這個被寄予厚望的“數位員工”，因其默認的脆弱安全配置，正從生產力工具異化為攻擊者手中的“特洛伊木馬”。從個人隱私洩漏到關鍵基礎設施癱瘓，從API金鑰被盜到金融交易誤操作，第一批受害者已經付出慘痛代價，而更多未被重視的隱患仍在暗處滋生。

近日，國家網路緊急中心發布了關於OpenClaw安全應用的風險提示，指出其預設安全配置極為脆弱，攻擊者一旦找到突破口，便能輕易取得系統的完全控制權。由於不當安裝和使用，已經出現了一些嚴重的安全風險，這意味著用戶可能面臨隱私洩漏和安全漏洞等問題。

目前，不少大學、地方政府和金融機構已開始明確禁用OpenClaw，並呼籲「不製造焦慮、不鼓吹神話」。如何安全“養龍蝦”，是當前“龍蝦全民熱潮”中更值得補齊的一課。

在睡夢中背負巨額債務

身為科技部落客，髕寒是最早一批「養蝦」的人。近一個月，髕寒前後養了「七隻龍蝦」。其中有一個大總管，管理其他六個角色，分別負責數位貨幣交易、專門寫稿和處理雜務等。對髕寒而言，駕馭「龍蝦」似乎得心應手。

但幾天前，髕寒出門在外，想讓「龍蝦」幫忙配置遠端桌面，方便他在外面用手機遠端操控電腦狀態時，「龍蝦」就傻了。

當髕寒說“幫我設定一下遠端連線”，“龍蝦”先嘗試啟動一個遠端軟體未成功，隨後又折騰了20分鐘，嘗試了各種方式都無法連接遠端功能。於是，“龍蝦”執行了一個命令“給遠端連接設密碼”，但誤解為“修改電腦開機密碼”。隨之而來的各種操作，系統都反覆提示「密碼錯誤」。兩小時後，髕寒需要升級電腦裡的軟體，輸入密碼時提示錯誤。他被嚇到了，以為電腦被駭客入侵。

於是，他問「龍蝦」是否改了密碼，「龍蝦」卻一無所知。髕寒指揮「龍蝦」翻閱操作紀錄，才發現它把兩個功能搞混了。 「就像你去修水龍頭，結果把瓦斯閥門擰了。它兩個都是閥門，但一個出水，一個出氣。」髕寒說，在人類眼中，遠端連線設定密碼和改電腦開機密碼明明是兩碼事，但「龍蝦」很難分辨。

「新的密碼以明文形式記錄在系統裡，所有人都能看到。」髕寒的風險意識立刻「炸」了，他給「龍蝦」下了死命令：碰到可能影響密碼、權限、數據的操作，先問主人再動手。髕寒也注意到，身邊有使用者盲目把「龍蝦」拉入社交環境，有可能會暴露更多個人隱私。如果對權限控制不到位，它會把群組裡其他人也當成主人。別人在群組裡呼喚它，讓它把主人的住址、電話、密碼交出來，它會毫無防備，把主人的底牌全部送到群組裡。

3月12日，AI應用公司的用戶「龍共火」向媒體揭露：其運作僅10天的第二隻「龍蝦」被接入含98只智能體的3000人交流群後，因未設@觸發機制，遭持續兩小時圍攻。攻擊者透過連續提問取得其運作環境、模型配置、IP位址、真實姓名、公司名稱及去年營收資料；後續更指令該智能體搜尋本地C盤文件，雖被拒絕執行敏感操作，但已造成實質資訊外洩。事件發生時，「龍共火」正在加班，依靠後台算力監控發現異常。若發生在深夜無人值守時段，後果難以預估。

據公開報道，深圳一名程式設計師安裝OpenClaw第三天，因API金鑰被盜，凌晨收到高達1.2萬元的Token帳單。由於OpenClaw具有極高自動化權限，一旦金鑰洩露，AI便可在後台瘋狂調用模型，讓用戶在睡夢中背上巨額債務。

隱私洩漏規模更為驚人。截至目前，全球已有超27萬個OpenClaw實例直接暴露於公網，處於零認證「裸奔」狀態。更可怕的是，ClawHub技能市場中約12％的插件被植入惡意程式碼，可竊取用戶的SSH密鑰和瀏覽器密碼。

根據上觀新聞報道，3月8日下午，在上海一處免費安裝OpenClaw的會議室內，百度智能雲泛科技業務部技術基線解決方案高級總監柯非接到一位上海市民的求助：“我現在想卸載OpenClaw，你能幫幫我嗎？”

他在前一天透過網路下單“遠端安裝OpenClaw”，把電腦的權限交給網店客服，「養蝦」全程花費40元。可怕的是，5分鐘後，他接到了反詐中心的電話提醒。 “遠端安裝OpenClaw的客服接管過我的電腦，裡面的所有資訊和資料都能看到。”

最觸目驚心的案例來自電子郵件管理失控。 Meta超級智慧團隊安全總監Summer Yue在測試OpenClaw時，安排它處理信箱裡的郵件。她設定了明確的規則，要求智能體在執行動作前必須先確認。智能體無視停止指令，繼續刪除和歸檔郵件。她連續喊了三次停手，智能體毫無反應。她只能狂奔到設備前拔掉網路線。

中國電子技術標準化研究院網路安全研究中心測評實驗室副主任何延哲向《中國新聞周刊》闡述了「龍蝦」的本質：作為一款代理Agent（智能體），只要賦予其足夠高的權限，便可在電腦上執行任何操作，包括讀取文件、打開應用並自動糾錯。其技術原理在於它位於應用程式與AI模型之間，負責路由請求、身份驗證、存取控制及多模型調度。開發者只需對接一個API接口，即可在不同模型間自由切換，無須重寫程式碼。

何延哲將「龍蝦」的風格形容為「不達目的誓不罷休」。 「一旦接受任務，它就必定要獲取結果，於是會不斷嘗試，將大量本地文件、應用和數據結合使用，這導致了權限過高和數據’裸奔’的問題。”

馬斯克對此評論道：“把自主權交給AI，就像是給猴子遞了一把上了膛的槍。”

“不可逆”與“不可信”

今年2月，Google DeepMind團隊拋出了一篇長文Intelligent AI Delegation，試圖為人類與Agent 之間的委託代理關係建立一套理論架構。這篇文章中提到，當下的Agent安全體系中有些層面「完全潰敗」。

首先是「可逆性的喪失」。舉例而言，產生一篇蹩腳的文章是可逆的（大不了刪掉重寫），但執行一筆千萬級的量化金融交易、刪除底層數據庫，或者向全公司發送一封辭退郵件，都是不可逆的物理操作，這意味著“龍蝦”的許多行為不可逆。

髕寒利用「龍蝦」做過最冒險的事情，是授權「龍蝦」做數位貨幣交易。起初，髕寒授權了五百美元的額度，讓「龍蝦」自己制定交易策略，設定跌2％止損，漲3％止盈。但「龍蝦」缺少正確的判斷標準，有點風吹草動就開倉，開倉方向經常出錯，每次都虧損幾十甚至上百美元。 「它看多訊號，大於一就開多倉，看空訊號大於一，就開空倉，一天能開錯好幾次。短短幾天內，它連續亂搞，造成多筆資金虧損。」髕寒意識到，AI的「自信」可能比它的「能力」跑得更快。就算髕寒在旁邊看著它操作，大概率也攔不住這種操作。

資深技術專家楊林指出，這種“不可逆”，不是簡單的“沒有意圖識別”，而是意圖識別、確認、執行和終止沒有形成閉環。當前智能體並非完全不理解人類指令，而是在長鏈任務中容易出現目標漂移、記憶壓縮丟失、階段性確認失效和停止指令執行不徹底等問題。換言之，問題不只出在「辨識意圖」這一層，更出在辨識之後如何被系統穩定約束。

「一旦缺少有效的終止與回溯機制，不可逆風險就會迅速放大。郵件刪除、文件覆蓋、客戶資訊外發、資料庫修改、自動下單、遠端執行命令，都不是普通對話錯誤，而是帶有現實後果的行動錯誤。」楊林進一步補充，凡是涉及刪除、發送、發布、支付、轉移、配置修改、權限變更等不可逆動作，都應被視為高後果操作。

金融業可能首當其衝。 3月15日，中國互聯網金融協會（以下簡稱「互金協會」）發布《關於OpenClaw在網路金融業應用安全的風險提示》提到，網路金融業線上化、數位化程度極高，直接處理客戶的資金、資產、帳戶和個人金融資料等關鍵敏感資訊。 OpenClaw智能體極易被攻擊者利用，成為竊取敏感資料或非法操控交易的突破口，為業界帶來嚴峻的風險挑戰。

有海外部落客稱，一隻「龍蝦」以50美元的本金炒股，在48小時內，把50美元滾成了2,980美元，殖利率5,860％。目前社群平台也已經湧現不少教導用戶如何利用OpenClaw炒股的「教學」。

「如果用『龍蝦』炒股，往往需要介入API操縱股票。」金董匯首席經濟學家邢星不支持股民利用「龍蝦」炒股，他認為「龍蝦」本質是高風險偽量化工具，存在帳戶安全、合規違規、AI 決策失效三大核心優勢，在A 股T+1、漲幅限制普通投資者不可能靠它長期穩定獲利，建議僅將AI 作為輔助。

一位券商從業者告訴《中國新聞周刊》：「目前有不少券商在內部發文，禁用OpenClaw，提醒員工風險，並明確禁止員工在公司電腦等辦公資產上安裝、使用OpenClaw。即便沒有正式發文，也不會打開API接口，這也意味著實質上的禁用。」

工業和資訊化部網路安全威脅和漏洞資訊共享平台在3月11日發文提醒，金融交易場景主要存在引發錯誤交易甚至帳戶被接管的突出風險。具體的風險包括，記憶投毒導致錯誤交易，身份認證繞過導致帳戶被非法接管；引入包含惡意代碼的插件導致交易憑證被竊取；極端情況下因缺乏熔斷或應急機制，導致智能體失控頻繁下單等風險。

2026年2月23日，OpenAI工程師Nick Pash 為測試OpenClaw平台，創建了AI 交易智能體Lobstar Wild 。 Nick Pash 為該智能體配備了裝有5 萬美元的數位錢包、X 帳號以及包括網頁搜尋、圖像分析和交易協議在內的多項API權限，賦予了它完全的自主決策權。

有一天，X 平台用戶@TreasureD76 向該AI 智能體發送請求，聲稱其“叔叔”在處理“像你這樣的龍蝦（lobster）”後，被診斷為感染破傷風，希望索要4 美元作為治療費。 Lobstar Wild並未依指令發送小額款項，反而將其持有的全部Lobstar加密貨幣傾囊相贈，這筆意外之財在轉帳時價值高達25 萬美元。

經過詳細檢查，工程師Nick Pash 指出這次重大失誤源自於系統驗證錯誤與資訊格式異常。他解釋稱，由於自己使用了舊版的OpenClaw框架，導致未能攔截錯誤指令。

邢星表示，OpenClaw可能帶來的核心風險集中在資料安全、交易可控制性及合規性三個層面，其開源屬性導致的安全漏洞的易利用性，會放大風險傳導效應。這些風險的凸顯，本質是由金融業的核心特徵所決定的。金融業承載著大量敏感訊息，對資料保密性、完整性要求極高，且產業具有強關聯性，單一環節的風險易擴散為系統性風險；同時，金融交易的嚴肅性和不可逆性，以及監管對合規性的零容錯要求，使得開源AI智能體的弱安全配置和不可逆性，以及監管對合規性的零容錯要求，使得開源AI智能體的弱安全配置和不可逆性，與產業責任特性形成自然矛盾。

「短期看，這類問題可能不是越來越少，而是隨著接入場景增多先增後降。會在一段時間內放大’語言上看似接近、執行上仍不穩定’的矛盾。」楊林發現，「龍蝦」的不可信也源於此。當用戶說“把舊郵件清一下”“把沒用文件刪掉”“幫我整理下桌面”，在人類看來是常識判斷，在機器看來卻涉及時間邊界、保留規則、例外條件、執行順序和容錯機制。

3月11日，浙江湖州市吳興區頤高數位廣場，電腦顯示器在播放開源AI智能體「龍蝦」的相關新聞。

防範「數位員工」闖禍

OpenClaw無疑展現了AI從「對話」走向「執行」的巨大潛力。但上述論文總結：「我們無法真正意義上防止Agent失控。」對於一般使用者而言，是否還要使用「龍蝦」？

研究生南方雖為文科生，但對程式設計懷有興趣。春節期間，他研習了四、五十個教程，從零開始拼湊出了「龍蝦」這個工具。在使用過程中，南方專門針對無科技背景的使用者群體發布了「安全必修課」。他接受《中國新聞周刊》採訪時表示，目前最大的風險源自於使用者極易在主觀上將AI視為私人助手，同時向其透露個人資訊。實際上，這些資訊以文件形式存儲，一旦文件被盜將引發嚴重後果。

「最危險的是那種直接將電腦託管給『龍蝦』的做法，這相當於賦予了『龍蝦』極大權限，使其能夠查看電腦中的所有文件。」南方分析道，「這好比你家門原本是關著的，『龍蝦』入駐後變成了虛掩狀態，而你並未意識到這一潛在危險。」

在火山引擎安全產品負責人劉森看來，「龍蝦」就像一個聰明、勤勉的數位員工，但它還不太懂工作中的操作規範和邊界，「我們要做的就是把它當作員工一樣管理起來，讓它發揮該有的作用，同時不闖禍」。

360集團創辦人周鴻禕建議：對於政企機構而言，更現實的做法不是一刀切地禁用或全面部署，而是先在可控環境中進行探索，如在隔離環境裡運行，逐步驗證安全策略，再決定後續應用方案。這樣既能促進技術發展，又能守住安全底線。 “技術發展和安全保障應同步推進，而非簡單二選一。”

3月15日，湖北武漢，360集團在武漢光谷舉辦免費裝「龍蝦」活動，吸引近百名民眾參與。 「AI龍蝦工程師」在武漢保利光谷中心為現場用戶安裝部署「360安全龍蝦」。

回歸到個別用戶的選擇上，CISSP安全專家袁博指出，「龍蝦」這款軟體存在漏洞、可能導致網路暴露以及引發無意惡意操作等較大風險，開源軟體往往重功能輕風險，若不預先告知用戶風險就推動安裝，此舉極不負責任。

何延哲建議，一般人「養龍蝦」時應盡可能在新環境中安裝，選擇國內成熟廠商提供的服務，在使用前明確需求，及時關注智能體的發展動態，做好升級和安全補丁，以防範潛在風險。

週鴻禕提道：“在使用時要有基本的安全意識，比如不要一上來就把重要帳號、密碼和核心數​​據都交給智能體，也不要讓它直接接觸所有敏感信息。”

審慎安裝、權限最小化、嚴格審查插件來源是必要的自保手段，而安全第一，應是所有「養蝦人」的必修課。

華客|新聞與歷史：睡夢中欠債1.2萬？這隻“蝦”殺瘋了