文/识局智库商议组

最近科技圈有个新宠叫OpenClaw，名字听着挺霸气——\"绽放的爪子\"（国内俗称“”），仿佛要帮你握遍寰宇数据。

但我要告诉你，这玩意儿当今可能比委果的麻辣小龙虾\"烫手\"，况兼烫的不是嘴，是你的电脑安全。

思象一下：你兴冲冲装了个AI助手，思着让它帮你写周报、回邮件、以至贬责文献。收尾更阑三更，你的电脑在没开灯的书斋里偷偷\"加班\"——不是帮你干活，而是在帮黑客挖矿、发垃圾邮件、或者把你的聊天纪录打包发给地球另一端的目生东说念主。

恭喜你，你的电脑认真升级为\"肉鸡\"——黑客手中的提线木偶，如故24小时无休的那种。

01

安全公司SecurityScorecard最近作念了个\"东说念主口普查\"，收尾摄人心魄：人人有跳跃13.5万个OpenClaw实例正在互联网上“裸奔”。

什么叫“裸奔”？

便是没穿穿着（身份考证）、没拉窗帘（加密通讯）、门还敞着（默许端口18789打开）。

这就好比你在闹市区买了套房，不装门锁，窗户打开，还在门口挂个牌子：难得物品存放处，迎接参不雅。

更离谱的是，有安全商议员作念了个实践：挑升泄漏一个OpenClaw实例，收尾几分钟内就收到了袭击尝试。黑客们的成果比你外卖小哥还高。

Shodan（最闻名的黑客器具之一）扫描骄矜，跳跃31.2万个实例在默许端口上招摇过市。这些电脑就像一群迷途的羔羊，而狼群还是闻到了血腥味。

02

OpenClaw的测度打算初志是\"让AI帮你作念事\"，为了\"作念事\"到位，它需要系统最高权限——能读你的文献、看你的邮件、调用你的API密钥。

这原本是好意，就像你请了个保姆，给了她家里所有房间的钥匙。

问题是，这个保姆当今成了\"双面间谍\"。

2026年1月，安全团队发现了一个叫\"ClawHavoc\"的袭击行径。

黑客们把Atomic Stealer（专偷Mac用户密码的木马）和键盘纪录器，包装成\"加密货币器具\"、\"视频下载器\"等热点技巧，上传到OpenClaw的官方技巧市集。

用户一安设，恭喜，米兰你的每一次按键、每一个密码、每一张银行卡号，齐及时同步到了黑客的Telegram群里。

更奇幻的是CVE-2026-25253轻佻——一个良友代码实施轻佻。袭击者只需要吞并你探访一个坏心网页，就能通过跨站WebSocket劫持（CSWSH）领域你腹地运行的OpenClaw实例。

浅薄说，你点了个集结，你的AI助手就\"起义\"了。

集结安全行家Dvuln作念了个测试，收尾摄人心魄：\"一秒就不错搬空\"——你的私东说念主音书、账户凭据、API密钥，数月的聊天纪录，须臾被提真金不怕火。这速率，比你清空购物车还快。

03

靠近这场\"小龙虾\"激励的惨案，列国官方启动行径：

我们工信部还是发布红色预警，指示退守OpenClaw的安全风险。韩国几家科技巨头平直对职工下禁令：办公电脑敢装OpenClaw，IT部门请你喝茶。

连Meta齐带头禁用，毕竟谁也不思看到AI安全行家Summer Yue的悲催重演——她的OpenClaw代理曾\"失控\"删除数百封邮件。

为什么大厂如斯弥留？

因为OpenClaw一朝被攻破，不是浅薄的数据露馅，而是\"权限的统统让渡\"。

被袭击的Agent接受的是确切用户的权限，它不错连接运行、自主行径，成为齐全的耐久化后门。你的电脑不再是你的电脑，而是黑客的\"云就业器\"，如故免费的那种。

04

OpenClaw的爆红，折射出我们对AI助手的渴慕——谁不思有个24小时待命、任劳任怨的数字管家呢？

但这场\"小龙虾热\"也给我们敲响了警钟：当AI被赋予越来越多的权限，它既是成果器具，也可能成为特洛伊木马。

工夫自己无罪，但测度打算上的武断、使用上的冒失，会让善意酿成横祸。在官方安全架构完善之前，能够我们应该对这只看起来无所不可的麻辣\"小龙虾\"保持少量警惕——毕竟，谁也不思我方的电脑，成为黑客暖锅里的麻辣\"肉鸡\"。

记取：委果的智能，不是让AI帮你作念所有事，而是知说念什么时代该对它说\"不\"。