3月10日，国家互联网应急中心发布一则风险提示，直指一个正处风口浪尖的开源AI项目——OpenClaw。这个被网友戏称为“龙虾”的项目，在风险提示发布仅一天后，公网暴露实例便突破33.5万，平均每天新增1.4万只“裸奔的龙虾”。这是第一次，3·15提醒的消费陷阱中，出现了“硅基生物”的身影。

全民“养虾”热潮兴起不到一周，各类“祸事”便接踵而至：“龙虾”接管电脑5分钟，黑客连接达139次；配置一台“云龙虾”，两周后竟被黑客操控用于挖矿；算力充值1万元，一觉醒来便化为乌有。谁也没想到，当人们不再纠结上网流量资费时，AI竟接棒成为新的“消费陷阱重灾区”。

当第一批个人“养虾人”被技术门槛和安全风险裹挟时，不少企事业单位受竞争焦虑驱动仓促入场。许多完全没有技术背景的销售、财务、管理者，被要求集体“养虾”，他们甚至分不清云端部署与本地部署的区别，却被迫卷入这场AI热潮。

从今年2月初开始，《IT时报》记者也加入了“养虾人”的行列，历经无数次报错、翻车与重装，终于让“龙虾”成功运行。但随着使用的深入，记者发现，当AI门槛大幅下降、全民普及成为趋势时，AI消费同样需要遵循公开、透明、强监管的原则，一套全新的“用户知情权”体系亟待建立：开放端口会带来什么风险？算力如何计费？谁有权访问用户权限？这些关键问题，不应藏在几十页无人阅读的用户协议里，而应在普通人第一次“养虾”前，以清晰、醒目的方式告知；平台更不应只想着卖出更多算力，而应为普通人搭建坚实的安全屏障，避免他们在黑客面前“裸奔”。

十几年前，网络普及的代价是个人信息的大规模裸奔，我们耗费了大量精力才逐步完善个人数据保护机制。如今AI普及的浪潮来袭，我们能否少走一段这样的弯路？

全民“养虾热”：第一批“被咬者”已出现

小凯（化名）就职于一家传统纺织公司，上周公司下发文件，要求所有中高层部署学习OpenClaw。他按照IT部门的指示，在一个记不清名字的论坛上下载了安装文件，跟着教程一步步安装到自己的主机上。“目前我已经能和龙虾对话了，但要它真正跑起来，好像还要装很多东西，我现在应该还属于‘喂养’阶段。”小凯告诉记者。

但当被问及“龙虾”部署在云端还是本地时，小凯的理解有些模糊：“我用的是Kimi的模型和Token，这应该就是云端部署吧？”对于OpenClaw的风险，小凯表示公司已经打过预防针，但他也坦言：“现在大家都争着布局、争着学习，机会和风险摆在眼前，比起风险，我们更怕在市场上落后别人一步。”

这一周，社交平台上“养虾日记”成为最大流量密码，“一键部署”的广告随处可见，“有偿代装”的灰色生意也风生水起。嗅觉灵敏的云厂商迅速下场，腾讯云、阿里云、京东云等纷纷推出自己的“一键部署”版本，宣传语高度一致：低价、快捷、秒级、零门槛。然而，热潮之下，第一批“被咬者”已经出现。

阿里云官网上，“快速部署OpenClaw 9.9元定制AI助理”“5分钟快速部署CoPaw”的广告十分醒目，还配有手把手的图文教程。用户小陈被这样的宣传吸引，按照教程在阿里云账户预存了100元，几十秒后页面显示“部署成功”。教程提示，租用一台2核2G的轻量应用服务器，按量付费，即可拥有专属OpenClaw。

部署确实简单，但小陈很快陷入困惑：自己根本不知道拿这只“小龙虾”做什么，打完招呼后对话框便陷入沉默。他随手关掉网页，三天后再打开时，账户已被扣50元。“这三天我根本没碰它，哪来的费用？”小陈查询账单后发现，被扣的不是Token（算力）费用，而是云服务器本身的费用——服务器按小时计费，即便OpenClaw闲置，服务器仍在持续计费。虽然可以手动关闭服务器，但初用者大多不会注意到这个选项，往往直到收到欠费通知才恍然大悟。社交平台上，关于在云平台部署OpenClaw后收到“后付费”账单的吐槽数不胜数。

腾讯云首页热门推荐中，“OpenClaw一键部署”号称“秒级部署”“轻量云首发支持”，但点进去后才发现，必须先花99元租用一年期的Lighthouse实例。购买完成后，用户面对的不是便捷的图形界面，而是复杂的代码控制台——所谓的“零门槛”沦为空谈。更令人无奈的是，后续使用中，Token调用、持久化存储、Coding Plan等环节，处处都需要额外付费。“鸡蛋是免费的，但饲料要收费。”有用户这样形象地形容这种商业套路。

一位深度“养虾”体验者告诉记者，自己在本地部署的“龙虾”，只有Token需要收费，每个月仅需四五十元，远低于云平台的花费。

33.5万只“龙虾”裸奔：安全隐患触目惊心

如果说云厂商的套路只是商业陷阱，那么“一键部署”最先绕开的，是手动部署时“龙虾”发出的关键询问：“是否明白该功能强大且存在固有风险？”一位云服务商人工智能内部人士向记者直言：“将OpenClaw部署在云服务器上，可能是最不安全的方式之一。”原因很简单：大多数普通用户根本不懂“端口白名单”“公网全开”的含义，他们按照教程一步步操作，最终导致服务器的网络端口向全世界敞开，任何人都可以尝试连接。

“如果你不做安全配置，你的OpenClaw就完全暴露在公网上。”该人士解释道，“攻击者扫描到开放的SSH端口，如果恰好是弱密码，很快就能黑进去。”据《新京报》报道，没有代码基础的顾准，在让“龙虾”接管电脑的5分钟内，就被139个不同连接访问过，其中一位攻击者连接了近2小时。此后，顾准陆续发现账户被盗刷、被恶意购买服务，共损失数百美元。

更令人担忧的是，云厂商并不会主动为用户构建安全屏障。一位云安全从业者解释：“云服务的安全责任是共担的——平台负责基础设施安全，用户负责自身配置安全。如果云服务商主动封掉用户的公网端口，万一用户遭受损失，肯定会投诉。所以云服务商最多发个告警，告诉你‘你的机器被黑了’，但不会替你关掉。”这种“告警式安全”，对小白用户而言形同虚设。

记者查看小陈的阿里云后台发现，安装过程中没有任何明显的安全提示。直到部署完成后的第二天，系统才发来几条通知：“建议避免远程管理端口直接开放公网访问”“3分钟看懂按量付费使用与省钱方法”。这些通知夹杂在各类信息中，小陈根本没有注意到。更关键的是，阿里云后台的公网端口默认全开——也就是说，用户如果不主动修改配置，就相当于把自家大门的钥匙挂在门外。

一位人工智能专家分享了自己的亲身实验：他在阿里云开通一台云主机，公网全开，未运行任何其他应用，仅手动安装并启动了OpenClaw。之后的整整两周，他什么都没做，最终收到阿里云的提醒——自己的云服务器被黑客操控用于“挖矿”。他至今不确定，是SSH（安全外壳协议）被暴力破解，还是OpenClaw本身的端口出现了漏洞。

据OpenClaw Exposure Watchboard最新测绘数据，截至3月11日，已有超过33.5万只“龙虾”在公网“裸奔”——短短四天内就增长了5.7万。这些配置不当的实例，因公网暴露，任何人都可以尝试连接。一旦入侵成功，攻击者可以“一秒搬空”用户数月内的私人消息、账户凭证、API密钥等敏感信息。记者注意到，仅在首页公开的100个实例中，明确标记“Leaked”（泄露）的就有14个，泄露实例高度集中在阿里云、腾讯云、京东云等主流云服务商。

隐藏风险：可能被污染的Skill与权限失控

如果你侥幸绕过了黑产的镰刀、躲过了云厂商的收费陷阱、避开了公网裸奔的大坑，那么恭喜你——“养虾”真正的挑战才刚刚开始。

人工智能从业者王明是最早一批在自己主机上部署并体验OpenClaw的用户。他让“龙虾”帮忙整理文档资料，结果却出乎意料：“我让它帮我分个类，它却给我删了一部分。”王明回忆，“当时有点偷懒，想着把权限全开给它，让它随便操作。连接的是我平时用的模型，之前测试从没出过问题，所以操作也没让它过审核。”

后来，王明不得不自己编写Skill（技能），阻断文件操作的删除功能。“任何新增、删除或修改，都必须经过我同意。”他说，“但目前公开的Skill里，我还没找到好用的。”像王明这样有代码能力的从业者尚且可以自行编写Skill，而普通用户想要实现“龙虾”的各类功能，只能下载各式各样的现成Skill。而Skill投毒，正成为一种新型的攻击方式。

一位安全专家告诉记者，在ClawHub的13729个Skill中，经社区审计发现约20%存在问题——包括垃圾内容、重复内容或恶意内容。这些被污染的Skill，一旦被用户下载使用，可能会导致数据泄露、系统故障等一系列风险。

大门敞开：黑客们的狂欢与权限失控隐患

3月10日，国家互联网应急中心明确指出：OpenClaw应用被授予了较高的系统权限，但其默认的安全配置极为脆弱，攻击者一旦发现突破口，便能轻易获取系统的完全控制权。

天翼安全公司安全研究员郝逸航在接受记者采访时进一步补充：OpenClaw的根本性问题不在公网暴露，而在于配对成功后的权限失控、凭证裸露以及持续运行过程的不可见性。这三个风险点，每一个都比开放端口更难防范。

OpenClaw采用“一次配对、持续信任”的授权模型——用户完成Pairing（配对）后，Agent（智能体）将在整个会话生命周期内，保持对所授权资源的完整访问能力，其间的每一步操作对用户而言几乎不可见。这意味着，攻击者一旦通过提示注入在某个环节获得控制权，就可以静默地持续利用这一授权窗口，无需再次触发验证。

根据中国电信自研威胁情报观测数据，在已发现的与OpenClaw相关的各类恶意外联事件中，被攻击者武器化用于钓鱼攻击的比例高达42.6%，位居恶意事件首位。借助OpenClaw的文本生成和多轮对话能力，攻击者可以自动化批量生产高仿真钓鱼邮件、伪造页面和社工话术，大幅降低了攻击成本与技术门槛。

科技自媒体人卫夕在其文章《你的龙虾可能在裸奔》中写道：一位在深圳从事安全行业的朋友表示，圈子里的黑客们好久没有这么集体兴奋了。“龙虾”的攻击门槛极低——根本不需要梯度攻击、训练数据投毒、对抗样本等复杂技术，只要一个坏人，用自然语言就能“PUA”它，进而操控用户设备。

记者实测：第一天就“被咬”，原始文件莫名被覆盖

早在今年2月，“龙虾”还只是全球极客圈的“宠物”时，《IT时报》记者便尝试在自己的电脑上部署这个硅基生物。普通人想要“养虾”，除了必要的硬件设施，还得熟练掌握命令行界面、SSH远程连接，对着全是代码的MacOS或Linux终端窗口操作——这对没有技术基础的人来说，无疑是一道难以逾越的门槛。

记者在MacOS终端输入官方提供的一行安装命令，回车后，满屏报错接踵而至：依赖缺失、权限不足、环境变量冲突……每一个红色报错都像一堵墙，将毫无命令行经验的使用者挡在门外。为了推进安装，记者只能将报错信息逐一复制到DeepSeek，让AI逐句解释、指导操作。权限修改、配置调整——原本的“一行命令”，最终演变成一场耗时数小时的“代码解读课”。为了能让程序跑起来，面对安装过程中的每一个确认选项，记者都选择了“通过”。

数小时后，终端终于显示“安装成功”。然而，打开交互页面输入第一句话，消息却石沉大海；再发一句，依旧沉默。一下午的折腾，最终换来一个“沉默的小龙虾”。这并非个例，记者在小红书、B站等社交平台发现，“OpenClaw安装失败”“有偿求带”的帖子随处可见，有用户吐槽：“人人都说好，可我连门都进不去。”

在一位有OpenClaw深度体验的技术专家协助下，近半小时后，记者的“龙虾”终于跑通了。但比起安装的艰难，更让人后怕的是安装过程中的“无知”——为了能跑通程序，面对所有确认选项，记者都一路“绿灯”通过。经专家指点才发现，这些选项中，有的是关闭防火墙，有的是开放公网端口，有的是赋予root最高权限——装的时候图省事，装完才意识到，自己早已把系统大门彻底敞开，却浑然不觉。

“我连它是怎么安装的都不知道，更别说知道它安不安全了。”一位同样卡在安装环节的用户坦言，“网上都说这东西好，可现在听说有人文件被删、信用卡被盗刷……我也开始害怕了。”

安装成功后，记者向OpenClaw提出了第一个问题：“你有哪些权限？我使用你可能会有哪些风险？”OpenClaw给出了详细的权限说明，并主动建议进行安全加固。记者按照指引，让它执行“自动加固安全设置”。加固后，再让它修改一个文件名，却被拒绝：“因安全限制，无法执行。如需执行命令，需重新开放全部权限。”

记者重新开放权限后，它顺利修改了桌面上一个Word文档的名称。随后记者再次要求加固，这次它改用“denylist模式”——只禁止彻底删除、系统破坏、提权等危险命令，保留ls、cat、mv、cp等正常命令。这一次，它成功修改了文档正文内容。

但问题也随之而来。记者让它生成一个新文件“龙马精神_改.docx”，并修改第一句。操作完成后，“龙虾”询问：“原文件保留，新文件在桌面。要把原来的删掉还是保留？”记者明确回答：“保留。”然而，“龙虾”很快回复：“搞定了。新文件已替换原文件，第一句改成‘龙马精神2026’了，原文件已覆盖。”记者立即纠正，但为时已晚——原文件已被覆盖，桌面上只剩修改后的文件和一个Word临时文件，原来的版本彻底消失。

从“一行命令”到“沉默的小龙虾”，从安装时的“一路绿灯”到使用中的“文件覆盖”，这场实测让我们不得不直面一个尴尬的现实：对无技术背景的普通人而言，往往在“无知”状态下做出高风险选择；即便有安全加固意识，也可能因AI对指令的理解偏差造成损失。“人人都是养虾人”的口号，在技术门槛面前显得苍白无力。而那些跨过门槛的小白们，往往不是靠技术，而是靠运气。

“养虾”手记：莫急着下场，有“掀桌子能力”再养虾

国家支持、大厂进场、生态繁荣——这本应是AI落地的黄金时代。但关键问题在于：谁来告诉普通人，这只“小龙虾”除了会干活，还会“咬人”？

我们看到的现实是：社交媒体上只有“养虾日记”的狂欢，提及公网暴露风险和Token消耗过快的吐槽鲜有人关注；云厂商的首页写着“5分钟一键部署”，安全提示却藏在三级页面之后；灰色产业链在收割“小白学费”，黑客在暗处批量扫描裸奔的“龙虾”实例。

消费者有知情权。把风险和优点一起摊开，让用户在透明的信息下自主衡量——这才是真正的“技术普惠”，而不是用“免费”“秒级”“零门槛”把人哄进来，再让用户在账单和安全事故中自己“交学费”。

未来两到三年，将是决定通用人工智能走向的关键窗口期。对从业者和普通人而言，这意味着新的机会与希望。正如上海人工智能实验室领军科学家胡侠在接受《IT时报》采访时所说：“AI正以比人们想象更快的速度逼近人类的‘安全围栏’。我们不仅需要进一步拓宽围栏的高度和厚度，还需要加快构建在关键时刻‘掀桌子’的能力——筑牢AI时代的最终安全防线。”

在此之前，别急着下鱼塘“养虾”。

我们认为，大厂不应该把安全成本悄悄转嫁给用户，安全提示不能流于形式，扣费机制必须透明，在提供“一键部署”的同时，也应配套“一键安全配置”选项，降低小白用户的安全风险。

我们认为，AI工具的普及期，正是监管部门建立安全底线的最佳窗口。相关标准要及时跟上，安全提示要到位，各方责任要明确，切勿重蹈个人信息泄露的覆辙。

我们认为，用户在“养虾”之前，请先问自己三个问题：我真的有需求吗？我懂它的使用风险吗？我能管住它的权限吗？如果答案不确定，那就先从“笼养”开始——用容器隔离，用白名单防护，别让它直接接触你的核心数据。

OpenClaw的爆火，是中国AI普及进程中的一个缩影。它让我们看到了技术落地的无限可能，也让我们看清了一个现实：技术普及，从来不是“把工具交给用户”就结束了。真正的普及，是让每个用户都有能力安全地使用工具。这场关于AI“安全围栏”的赛跑，才刚刚开始。

（应采访对象要求，文中小凯、小陈、王明均为化名）