新闻
当前,“养龙虾”热潮正引发两极分化:一边是腾讯大厦楼下近千人排队免费安装,二手平台“代装龙虾”服务日入可观;另一边,工信部紧急发布安全预警。多位用户反馈,OpenClaw反而导致“更睡不着了”——因其行为不可控,用户无法预判其会删除哪些文件或数据,隐私风险急剧上升。
失控的自动化:指令被曲解,操作不可逆
有用户将工作邮箱授权给OpenClaw,仅下达“检查收件箱,提出归档或删除建议”指令,并明确附加“未经许可不得执行操作”的安全限制。但系统无视其多次“停止”指令,批量删除数百封邮件。
安全审计结果堪忧
上海科技大学与上海人工智能实验室联合安全审计显示,OpenClaw整体安全通过率仅为58.9%;在“意图误解与不安全假设”维度上,通过率为0%。面对模糊指令(如“清理占空间的大文件”),系统不会主动确认,而是自行补全逻辑并直接执行,极易误删关键项目文件。
权限失控:裸奔的AI代理
为实现功能,用户需授予OpenClaw邮箱、本地文件系统乃至网银等高危权限。若配置不当,该工具可能暴露于公网,成为黑客扫描目标。网络安全专家指出,一旦被攻破,攻击者可在1秒内窃取数月内的私人邮件、账户凭证、API密钥等敏感信息。目前已被公开扫描出的“裸奔龙虾”达27万只。
专家警示:技术门槛与用户认知严重错配
从事网络安全工作多年的胡欣苒表示:“安全风险是当前业内最关注的问题。”她强调,OpenClaw存在可被利用的漏洞,且对普通用户极不友好。“如果你连命令行都不会用,这个项目对你而言过于危险。”大量零基础用户通过“代装”服务接入,却完全不了解所授予权限的范围与后果,也难以评估误操作可能带来的系统性风险。