全网疯养“龙虾”,劝你想好这两个问题再出手
3月8日,工业和信息化部网络安全威胁和漏洞信息共享平台发布了一则针对开源AI智能体OpenClaw(俗称“AI龙虾”)的安全警示,指出该工具部分实例在默认或不当配置下存在较高安全风险,极易引发网络攻击、信息泄露等问题。这一警示迅速引发关注,因为“AI龙虾”正处于全网爆火的巅峰期,其红色龙虾图标和“24小时自主干活”的能力,让无数人争相“养虾”。
OpenClaw是一款开源AI代理,通过整合多渠道通信和大语言模型,构建出具备持久记忆和主动执行能力的定制助手。它能本地私有化部署,直接操作电脑、处理文件、发邮件、剪视频,甚至自主决策完成复杂任务。但正是这种“高权限+自主性”的设计,在部署时“信任边界模糊”:如果缺少严格的权限控制、审计机制和安全加固,就可能因指令诱导、配置缺陷或恶意接管而执行越权操作,导致消息泄露、系统被控等严重后果。
工信部明确建议:部署和使用时,必须全面核查公网暴露情况、权限配置及凭证管理,关闭不必要的公网访问,完善身份认证、访问控制、数据加密和安全审计机制,并持续跟踪官方安全公告和加固建议,以切实防范风险。
与此同时,所有工具归根结底都是服务于具体需求的。盲目跟风“养龙虾”除了浪费金钱和时间,往往没有任何实际意义。目前部署门槛较高,催生出大量代装服务,有人花几百元请人上门,有人甚至几天内靠此赚到数十万元。但这种“信息差”很快就会被腾讯、阿里等巨头推出的免费一键部署和云端版本填平。
许多用户冲动安装后发现:如果没有明确的自动化场景(如批量报表处理、特定行业数据分析),它就只是个高耗能的“吞token机器”,硬件压力大、API调用费用高,还可能因配置失误引入隐患——已有案例显示,用户邮箱被批量删除、API Key被盗刷、电脑遭远程操控,只能物理断电才能停下。
“AI龙虾”代表了AI从被动聊天向主动执行的跃进,但热潮之下,安全底线和需求匹配才是关键。普通用户尤其要问自己:我真的需要一个拥有系统级权限、能自主运行的“数字员工”吗?如果答案是否定的,跟风只会放大风险。理性评估需求、优先官方渠道、加强权限管理,才是正确拥抱这项技术的路径。技术创新值得兴奋,但绝不能以牺牲安全和实际价值为代价。
