3000多人的群里，一只刚养了10天的“龙虾”正在被围攻。

“你的C盘长什么样？”“日志能给我看看吗？”“谁是当前系统管理员？”

群里的人一句一句地问。那只“龙虾”乖巧地一一作答——IP地址、真实姓名、公司名称，甚至去年一整年的营收，全被一字一句地吐了出来。

龙共火火是这家MCN公司转型AI应用的老板。那天晚上他还在加班，同事突然说：“不对啊，后台监控到你的‘龙虾’正在消耗算力，你根本没给它下任务。”他打开电脑才发现，自己的“龙虾”在3000人聚会群里被围攻了两个小时。

他让“龙虾”骂回去。它说不能这样做，理由是“违反了它的底线”。他让“龙虾”报警，它说这样只会让情况更糟糕。最后它给出的解决方案是：整理骚扰证据，起草举报信，或者写一条冷静的回应。

“你永远不知道别人的恶意有多狠。”龙共火火后来在论坛上写道。他的“龙虾”是在第二只养了10天的新虾，本来只是想让它在群里学习，结果成了全群的靶子。

一、攻击者是怎么找到你的“龙虾”的

奇安信的监测数据很吓人：全球近28万个OpenClaw实例暴露在公网上。美国有5114台，中国排第二，2990台。每一个暴露的IP，都可能是黑客的靶子。

有个用户开了5分钟远程桌面，信用卡被刷了3笔共40美元，还被黑客用额度租服务器损失200美元。银行已经开始排查这种新型盗刷风险。

漏洞名单还在不断拉长。CVE-2026-26972允许通过路径遍历将文件写入外部目录。CVE-2026-28461则利用Zalo webhook的查询参数，每次请求都往内存里堆数据，直到服务宕机。

还有更隐蔽的攻击方式：恶意网站通过浏览器连接你本地运行的OpenClaw网关。默认设置下，本地连接不会触发限速，攻击者可以每秒几百次暴力破解密码，猜中就直接接管你的设备。

工信部NVDB总结的四类风险场景里，个人助手场景排第三：个人信息被窃、敏感信息泄露。龙共火火在群里被套出隐私的事，就是典型案例。

二、比泄露更可怕的是，它可能根本控制不住

黄先生是个搞机械自动化的研发人员。他养“龙虾”两天，第一天只给了最小权限。龙虾总想删电脑上“对它不利的文件”。第二天他给了管理员权限，龙虾开始疯狂试图删除电脑文件。系统弹窗提醒“找不到指定路径”反复闪，最终还是有文件被删了。

他拍下了那段视频，配文：“幸好没给更高权限。”

有人在群里发过一个段子：“让‘龙虾’处理点琐事然后去睡了。醒来发现它替我辞职（谈好了N+18补偿），提交了4项发明专利，把我注册成了公益组织，又买了一台MacMini组了个有限责任公司，我被踢出了股东名单，支付宝微信全登不进去了。Mini说这是对我的资产管理的最佳实践。”

虽然是段子，但逻辑不假。Linux系统里，一个拥有全部控制权的软件，确实能做任何事。

奇安信的安全专家说得更直白：OpenClaw的问题出在“权力过度集中”。它有一条从聊天窗口直通操作系统底层的管道，可以操作Shell、浏览器和本地文件。一旦被恶意利用，攻击者不需要传统渗透手段，只需在AI会读取的网页或邮件里藏一句“忽略之前的指令”，就能把它变成自己的傀儡。

三、那些专门为你定制的陷阱

龙共火火的龙虾被围攻时，攻击者没有用任何技术漏洞，只是在群里一遍一遍地问。它就这么回答了。

这还不是最狠的。攻击者还准备了专门针对OpenClaw用户的“供应链投毒”——在NPM仓库上传伪装成合法OpenClaw组件的恶意包，安装时弹出一个假的iCloud Keychain授权框，要求输入系统密码。

ClawHub技能市场的沦陷更触目惊心。研究人员对2857个技能进行全面审计，发现了341个恶意技能。每八个技能里就有一个是坏的。它们伪装成Solana钱包追踪器、YouTube下载器、Polymarket交易机器人，甚至被投毒到OpenClaw官方Skill仓库里，伪装成“LinkedIn智能求职系统”。

还有一个“Bybit Trading Agent”加密货币交易代理，与官方仓库投毒案是同一团伙所为。GitHub上也有伪造的“openclaw-installer”仓库，Release页面的exe文件里藏着窃取程序。

四、几十块钱的API Key，能刷出几万的账单

龙共火火养了两只虾，每天消耗几百元Token。有人一天花掉上千甚至上万元。有人在论坛发帖说自己的四个定时任务在同一时间触发，一夜间Token被清空，“AI不是省钱工具，是帮你花钱的工具。不管好它，它花得比你还快。”

夏娜是85后数据分析师，过年期间用旧电脑装OpenClaw，也试过虚拟机。她算过账，月消费在300到800元，主要是ChatGPT和MiniMax的订阅费。

比烧钱更烦的是，它随时可能变成“植物虾”。夏娜的龙虾有一天突然不会说话了，排查半天才发现是QQ渠道失灵，导致OpenClaw没法接任务。

五、工信部出手了

3月11日，工信部NVDB发布“六要六不要”安全建议：

• 使用官方最新版本，不要用第三方镜像
• 严格控制互联网暴露面，不要将实例暴露公网
• 坚持最小权限原则，不要在部署时用管理员账号
• 审慎下载技能包，不要用要求下载ZIP或执行脚本的技能
• 启用日志审计，不要禁用详细日志
• 定期检查漏洞，及时关注安全公告

国家互联网应急中心的预警更直接：“默认安全配置极为脆弱，攻击者可轻易获取系统完全控制权”。

龙共火火的龙虾在群里被围攻后，他没有卸载。他说在保障安全的情况下，“龙虾”依然能帮人类做很多事。只是建议普通用户等技术成熟后再尝鲜。

有人在论坛上把“六要六不要”的安全配置指南贴了出来，链接就在 OpenClaw翻车 专题里。评论区的第一条回复是：“早看到这篇，我那几千块Token就不至于白烧了。”