最近 AI 圈爆火的OpenClaw相信大家都有所了解，OpenClaw也有很多人叫小龙虾。

部分朋友也开始在电脑上部署 OpenClaw，让 AI 自动帮自己处理任务，比如整理邮件、自动执行脚本、管理日程、甚至自动完成一些网络操作。

但随着越来越多人开始用上小龙虾，安全问题也开始慢慢浮出水面。

最近一段时间，安全研究机构、开发者社区、甚至国内监管部门都陆续发出了提醒：
OpenClaw 在某些情况下存在明显安全风险，如果配置不当，甚至可能导致信息泄露或系统被控制。

这篇文章就整理一下，目前社区和安全机构已经发现的一些 OpenClaw 漏洞和用户反馈问题，帮助大家避雷一些风险。

为什么 OpenClaw 的安全问题特别容易出现？

先说一个很多人忽略的事实。

OpenClaw 和普通 AI 工具不一样。

它不是只回答问题，而是可以：

读取文件
执行命令
调用 API
访问系统资源
自动执行任务

也就是说，OpenClaw 实际上拥有非常高的系统权限。

安全研究人员指出，如果一个 AI Agent 能执行系统命令、读写文件和调用外部工具，那么一旦配置不当或者被恶意指令利用，风险就会被放大。

这也是为什么很多安全团队会把 AI Agent 视为一种 新的攻击入口。

漏洞一：默认配置可能导致信息泄露

最近安全平台监测到一个问题：

很多用户在部署 OpenClaw 时，直接使用默认配置运行。

但在默认或配置不当的情况下，部分 OpenClaw 实例可能暴露在公网环境中，攻击者可以扫描到这些实例。

一旦被扫描到，可能带来的问题包括：

• API 密钥泄露
• 用户数据被访问
• 系统被远程控制

很多用户在部署时并没有意识到这一点。

漏洞二：AI 指令注入攻击

这是最近安全研究人员特别关注的一类攻击。

攻击者可以在网页、文件或消息中 隐藏恶意指令，当 OpenClaw 读取这些内容时，可能会把它当成任务执行。

这种攻击被称为 Prompt Injection（提示词注入）。

安全报告指出，如果 AI Agent 被诱导执行隐藏指令，攻击者可能会窃取敏感信息，比如 API Token、账户数据等。

简单来说：

AI 并不是在被黑，而是在被骗。

漏洞三：恶意插件已经出现

OpenClaw 的生态里有一个插件市场（ClawHub），很多功能都通过插件扩展。

但安全研究发现，已经出现带有恶意代码的插件。

研究人员扫描了数千个插件，发现其中不少插件包含恶意功能，比如：

窃取加密钱包信息
窃取浏览器数据
窃取 API 密钥

甚至有些插件伪装成常见工具，让用户误以为是正常扩展。

这类问题其实很像当年 npm 供应链攻击事件。

漏洞四：存在被劫持控制的风险

最近还出现了一个比较严重的漏洞，被安全研究人员命名为 ClawJacked。

这个漏洞的核心问题是：

攻击者可以通过网页脚本攻击本地 OpenClaw 服务，并尝试暴力破解本地认证，从而获得 AI Agent 控制权。

如果攻击成功，攻击者可以：

查看系统日志
操控 AI 功能
读取设备数据

虽然官方已经在较新版本中修复了这个问题，但很多用户并没有及时更新。

漏洞五：假安装包和恶意版本开始出现

随着 OpenClaw 爆火，黑产也开始跟进。

最近已经出现 伪造的 OpenClaw 安装包，通过 GitHub 或搜索广告传播。

这些版本会在安装时偷偷植入恶意程序，用来窃取账号信息或控制设备。

很多用户看到 GitHub 链接就直接下载，这也增加了风险。

如果你正在使用 OpenClaw，建议注意这些事情

如果已经在部署 OpenClaw，可以简单检查几个地方：

不要直接暴露在公网
插件尽量选择可信来源
敏感 API 不要长期存储
定期更新版本
不要给 AI 不必要的系统权限

这些都是目前安全研究人员普遍建议的基本操作。

写在最后

OpenClaw 的爆火，其实代表了 AI 行业一个重要变化：

AI 正在从聊天工具，变成 自动执行系统。

但在这个阶段，安全问题也会一起出现。

很多 AI Agent 的问题并不是技术漏洞，而是：

权限过高
配置不当
生态混乱

所以如果你也在养龙虾，建议保持一点谨慎。

AI 能帮你干活，但前提是它不会先把你的系统卖掉。