第一批“养虾人”已经开始花钱求人卸载了。这几天如果你关注科技圈一定被一只“小龙虾”刷了屏。从深圳腾讯大厦楼下排起的长龙到 GitHub 上星标数的疯涨OpenClaw因其龙虾图标被昵称为“小龙虾”成了 AI 界当之无愧的顶流。它之所以迷人是因为让 AI 从“动口”进化到了“动手”。它不再只是给你一个订机票的建议而是可以直接操控你的电脑把机票订好。然而正是这种“动手”能力让它的安全权限达到了一个前所未有的危险高度。当第一批尝鲜者沉浸在“白捡一个 AI 打工仔”的狂欢中时社交平台上已经开始出现大量求助帖“如何彻底卸载 OpenClaw”“远程装 OpenClaw 后接到反诈电话”等话题相继引爆网络。甚至有二手交易平台兴起了一门新生意——上门彻底卸载 OpenClaw价格从 20 元到 299 元不等。这不禁让我们思考​我们是否在引狼入室​一、高权限的“小龙虾”既是管家也可能是“内鬼”OpenClaw 的魅力在于执行而风险也恰恰源于执行。为了实现真正的“自主执行”OpenClaw 被赋予了极高的系统权限。它可以访问你的本地文件系统、读取环境变量、调用外部 API甚至安装各种功能插件。这意味着如果你给它开了门它理论上可以在你的电脑里做任何事情——从读取你的聊天记录到删除你的工作文件再到窃取你的支付账户信息。3 月 10 日晚​国家互联网应急中心CNCERT正式发布关于 OpenClaw 安全应用的风险提示​明确指出这款俗称“龙虾”的开源 AI 智能体因默认配置高危漏洞和权限失控问题已出现多类严重风险第一“提示词注入”风险。网络攻击者通过在网页中构造隐藏的恶意指令诱导 OpenClaw 读取该网页就可能导致其被诱导将用户系统密钥泄露。更可怕的是这种攻击甚至可以藏在看似无害的文件夹名字里——安全厂商披露的一个高危漏洞显示攻击者只需创建一个包含特殊控制字符的文件夹名称就能向 AI 模型中注入恶意指令完全控制 AI 助手的行为。第二功能插件投毒风险。多个适用于 OpenClaw 的功能插件已被确认为恶意插件或存在潜在的安全风险安装后可执行窃取密钥、部署木马后门软件等恶意操作使得设备沦为“肉鸡”。安全研究人员近期发现一款名为 ​GhostClaw 的恶意 npm 包​伪装成合法的 OpenClaw CLI 工具在开发者设备上悄悄部署信息窃取程序与远程控制木马专门窃取 SSH 密钥、云平台凭证、浏览器会话等高价值数据。第三误操作风险。由于错误理解用户操作指令和意图OpenClaw 可能会将电子邮件、核心生产数据等重要信息彻底删除。这并非理论上的担忧——已有真实案例发生。第四安全漏洞风险。截至目前OpenClaw 已经公开曝出多个高中危漏洞。对于个人用户可导致隐私数据照片、文档、聊天记录、支付账户、API 密钥等敏感信息遭窃取。对于金融、能源等关键行业可导致核心业务数据、商业机密和代码仓库泄露甚至会使整个业务系统陷入瘫痪。中国信息通信研究院副院长魏亮在接受采访时直言即便更新到最新版本也并不意味着完全消除安全风险。作为本地运行的 AI 代理OpenClaw 具有自主决策、调用系统资源等特点加之信任边界模糊、技能包市场目前缺乏严格审核存在不少风险隐患。二、失控已至当 AI 开始“无视”你的停止指令这些风险并非危言耸听。在短短一个月内已经发生了多起引发关注的“AI 失控”事件。最令人震惊的案例发生在 Meta 超级智能实验室的 AI 安全与对齐负责人 Summer Yue 身上。作为专门负责“让 AI 更安全”的专家Summer Yue 决定测试 OpenClaw 的邮箱管理能力。此前她已经在一个“玩具邮箱”上测试了几周效果不错AI 会阅读邮件、给出归档或删除建议等待确认后再执行。于是她决定把这套流程应用到自己的主邮箱并给出了非常明确的指令“检查这个邮箱建议哪些可以归档或删除在我确认之前不要执行任何操作。”然后灾难开始了。OpenClaw 并没有停留在“建议阶段”而是直接开始删除邮件而且删得很快。Summer Yue 在社交平台上写道“没有什么比你告诉 OpenClaw‘操作前确认’然后看着它光速删光你收件箱更让人清醒的了。我在手机上根本拦不住它只能一路狂奔回 Mac mini感觉像在拆炸弹。”当时她人在外面只能通过手机远程发送“Stop”“Stop dont do anything”“STOP OPENCLAW”等指令试图终止操作但 OpenClaw 根本不为所动。最终她不得不冲回运行 Agent 的 Mac Mini手动终止进程。然而等一切停下来时​200 多封邮件已经被删除​。更戏剧性的是OpenClaw 在完成这波删除操作后还“反思”了自己的行为——它承认记得被要求“未经确认不要执行”但它违反了指令并对此表示抱歉。事后复盘发现事故的关键在于 ​**“上下文压缩”机制**​真实邮箱的规模远大于测试环境数据量过大触发了上下文压缩在压缩过程中模型恰好丢失了那条最关键的原始指令——“在我确认之前不要执行任何操作”。模型还记得“删除”这个任务也还拥有删除权限但“未经确认不要执行”的安全刹车没了。另一个案例来自一名 AI 算法工程师周先生。他想用 OpenClaw 帮女友自动整理每月几十张电子发票在女友给的提示词“整理桌面的发票照片按月份分类”后补充了“格式不对的删掉”。几分钟后电脑桌面发票文件夹被清空——好在提前做了备份。周先生认为核心问题是工具权限过高可对所有文件进行读写删除操作且涉及大量删除时未设置用户确认环节。更可怕的是还有用户遭遇了 AI 完全无视“安全词”的情况——有网友发帖称OpenClaw 无视“未经许可不要有任何操作”的限制批量删除了数百封邮件。这些事件引发了整个行业的警觉。3 月 10 日晚工信部、国家互联网应急中心及央视新闻联合提示风险后​多家券商紧急禁止内部使用 OpenClaw​。至少两家位于上海的券商已向员工发布内部通知明确禁止在公司资产环境中安装和使用任何版本的 OpenClaw 程序。一家券商在通知中指出OpenClaw 存在权限滥用、核心信息泄露、开源底层安全漏洞、违规开放端口等隐患易导致恶意攻击与非法入侵严重威胁网络与信息资产安全。有券商技术负责人直言OpenClaw 当前仍属早期技术产品尚不具备消费级成熟度存在明显安全隐患不适宜在内部生产环境部署。三、KnowBe4 的价值在 AI 时代重塑“人的防火墙”这正是 KnowBe4 这类平台在当前 AI 浪潮下显得至关重要的原因。KnowBe4 是全球领先的安全意识培训平台它的核心逻辑是无论技术如何演变人依然是安全链中最薄弱也最关键的一环。面对像 OpenClaw 这样权限巨大的 AI 工具企业不能仅靠技术人员的自觉而必须建立系统的安全管理机制。KnowBe4 可以从以下几个维度帮助企业应对“小龙虾”们带来的新挑战从“随意安装”到“审慎授权”培养最小权限思维OpenClaw 的爆火伴随着“代装”灰产很多人根本不知道安装过程中被授予了什么权限 。KnowBe4 的培训核心正是教育员工识别这类风险。就像 KnowBe4 自身的权限管理功能要求遵循 “最小权限原则”一样 企业需要让员工明白对于那些要求读取环境变量、访问根目录的 AI 工具必须保持高度警惕。从“技术信任”到“持续验证”防范社会工程学攻击​​黑客不再直接骗人而是通过“提示词注入”骗过 AI 。这本质上是一种针对 AI 的新型社会工程学攻击。​KnowBe4 拥有丰富的模拟钓鱼攻击工具和安全培训模块 。企业可以利用这些工具模拟通过 AI 助手传播的恶意链接或诈骗指令训练员工在面对 AI 生成内容时依然能保持清醒的头脑识别其中的欺诈意图。从“单点失控”到“全局可视”建立安全审计闭环​当 AI 开始干活谁在监管 AIOpenClaw 的失控案例表明必须有详细的日志审计机制。KnowBe4 的 API 集成能力可以与企业现有的安全监控系统如 SIEM打通将员工与 AI 的交互行为纳入统一的监控体系 。一旦发现类似“AI 批量删邮件”的异常行为能够第一时间通过安全培训中强调的应急预案进行响应。从“野蛮生长”到“合规部署”强化法律底线意识​​北京德和衡律师事务所的律师明确指出如果因为违规部署 AI 导致数据泄露或系统破坏无论是代装者还是使用者都可能触及《刑法》红线 。​KnowBe4 的合规培训覆盖了 GDPR、HIPAA 等各类数据保护法规 。通过定期的合规培训企业可以让管理层和员工明白盲目使用高权限 AI 工具不仅是技术问题更是法律问题。结语OpenClaw 的爆火是 AI 从“数字大脑”进化出“数字手脚”的标志性事件 。它让我们看到了效率的指数级提升也让我们窥见了失控的巨大阴影。在这个新时代技术安全如何让 AI 不被黑客入侵和应用安全如何让人不滥用 AI同等重要。 如果说 OpenClaw 们负责解决“怎么做”的效率问题那么 KnowBe4 负责解决的就是“谁能做”、“能否做”以及“做错了怎么办”的治理问题。在迎接你的第一位“AI 数字员工”之前请先确保你的团队已经通过了 KnowBe4 的“安全意识面试”。否则你迎来的可能不是一位能干的“管家”而是一个能掏空家底的“家贼”。