OpenClaw(“小龙虾”)应用下载与使用情况火爆,国内主流云平台均提供了一键部署服务。然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。
据新华社报道,国家互联网应急中心、中国网络空间安全协会为此于3月22日联合发布OpenClaw安全使用实践指南,面向普通用户、企业用户、云服务商以及技术开发者等,提出安全防护建议。
其中,对于普通用户的建议包括:使用专用设备、虚拟机或容器安装OpenClaw,并做好环境隔离,不宜在日常办公电脑上安装;不使用管理员或超级用户权限运行OpenClaw;不在OpenClaw环境中存储、处理隐私数据;及时更新OpenClaw最新版本等。
对于云服务商,建议包括做好云主机基础安全层面的安全评测与加固;做好安全防护能力部署、接入;做好供应链及数据安全防护。
OpenClaw被不少用户视为“7×24小时工作的AI员工”。抓取数据、分析信息、生成内容——一整套工作流程,它都能够自动化完成。
2026年3月初,一个名为OpenClaw Exposure Watchboard的监控页面列出了超过二十二万个暴露在公网的实例。工信部网络安全威胁和漏洞信息共享平台也发布预警,指出部分实例在默认或不当配置下存在较高安全风险。
首当其冲的是权限与隐私。作为能自主执行任务的AI智能体,OpenClaw 需要用户提供极高权限来调动本地资源。这意味着设备里的敏感信息在它面前近乎透明。一旦配置不当或遭到恶意利用,误删文件、泄露数据都可能发生。
3月8日,工信部网络安全威胁和漏洞信息共享平台发布预警,指出OpenClaw部分实例在默认或不当配置下存在高危安全风险;3月10日,国家互联网应急中心发布安全风险提示,直指该工具默认配置脆弱、权限过高带来的网络与数据隐患。