半月談記者 郭宇靖 張驍

由春晚上展示拳腳的機器人引發的AI熱潮尚未褪去，“養龍蝦”又成一時潮流。此“龍蝦”可不是水產，而是一款“能者多勞”的AI智能體——OpenClaw。

“養龍蝦”為何人人爭先恐后？這樣一只神通廣大的“龍蝦”養在手機、電腦里，會不會被“鉗”呢？

今天，你“養龍蝦”了嗎？

OpenClaw由奧地利技術人員彼得·斯坦伯格研發，2025年11月推出原型版本，2026年1月正式確定名稱。發布以來，它已成為全球用戶增長最快的AI開源項目之一。OpenClaw使用紅色龍蝦作為標識，將其部署安裝在個人終端上訓練開發的行為，被網友形象地稱為“養龍蝦”。

奇安信安全專家汪列軍表示，OpenClaw之所以廣受關注，主要是因為與當前主流的生成式大模型相比，它實現了從被動應答向主動決策、自主執行的轉變，具備主動執行任務的能力。舉例來說，如果用戶詢問北京有哪些美食，普通大模型通常會搜索一番給出答案，對話就此結束。但OpenClaw不同，它甚至能幫用戶點一份外賣。

這意味著，用戶一旦將這款智能體部署在手機、電腦等終端，并賦予其充分權限，它就具備調用生產生活工具的能力，乃至召喚出一個“虛擬大腦”遠程控制和操作個人設備。

半月談記者在國內一家云平臺上花費近100元購買了OpenClaw相關云服務器和大模型套餐，約1小時完成部署。調試后發現，它可以完成文件整理，具備持續學習和模仿等功能，記憶力強大，還可自主進行迭代優化。

眼下，哪些群體熱衷于“養龍蝦”？

科技自媒體、博主“打頭陣”。有的宣稱“不趕緊‘養龍蝦’，你就Out(落伍)了”；有的更標榜OpenClaw能“自主執行、自動賺錢”，“養龍蝦”可輔助炒股、“掛機躺賺”，相關代理安裝與訓練教學已成為生意。目前，國內不少老年人、學生也為這股潮流所裹挾。

部分國內企業、廠商聞風而動，火速開放部署通道。截至3月10日，騰訊云、阿里云、百度智能云、火山引擎等多家國內云服務商均已上線OpenClaw部署功能，宣稱“零代碼、5分鐘快速上線”。部分平臺為吸引用戶，默認開放較高權限和公網端口。此外，部分券商、電商乃至中小企業也開始嘗試將其應用于客服、數據處理等場景。

部分地方政府也鼓勵“嘗鮮”。3月7日，廣東深圳龍崗區發布引導文件，就OpenClaw一類應用提供免費算力、數據要素乃至最高1000萬元股權投資等支持；3月9日，無錫市高新區發布“養龍蝦”12條，單項支持最高500萬元。

全民“養龍蝦”，安全置何處？

用上OpenClaw這樣的AI智能體，可以“撒手不管”嗎？正如摩爾線程創始人張建中所言：“如果你是老板，雇了一名能力超強的新員工，就會直接把自己的電腦給他使用嗎？”OpenClaw這位新員工，可能帶來哪些風險隱患呢？

——權限太大，可能失控。安恒信息終端安全專家胡宇介紹，OpenClaw需要較高系統權限才能完成復雜任務。如果配置不當或遭惡意引導，可能繞過人為設定的安全限制。

有報道稱，此前美國Meta公司相關負責人在使用OpenClaw清理郵箱時，就發現它會無視“未經許可不得操作”的安全提示，置緊急叫停于不顧，最終將工作郵件也全部清空。

——插件眾多，后門須防。汪列軍介紹，OpenClaw的各類插件固然有文件讀寫、代碼執行、網絡訪問的“三頭六臂”，但一旦遭到非法控制，用戶的各類密碼、加密錢包、API密鑰等信息都可能泄露。

美國網絡安全機構SecurityScorecard監測發現，有大量OpenClaw相關框架存在遠程代碼執行漏洞，攻擊者可借此控制設備。這些插件還可能偽裝成常用應用，竊取瀏覽器Cookie、SSH密鑰、API密鑰等敏感信息。

——信息泄露，不容小覷。汪列軍表示，很多用戶缺乏安全意識，直接將OpenClaw管理接口暴露在公共網絡，且未修改默認賬號密碼或關閉不必要端口，很容易被黑客掃描并接管。

奇安信網絡空間測繪平臺數據顯示，目前暴露在公網的OpenClaw相關實例超過20萬個，弱口令、未授權訪問一類漏洞大量存在，極易成為攻擊目標。如果“龍蝦”部署在存儲身份證照片、財務數據乃至工作機密的設備上，一旦被入侵，相關數據極易大規模泄露。

“虛火”應退，監管跟上

那么，想“養龍蝦”，到底該注意什么專家建議，使用中應遵循“物理隔離”和“最小權限”原則。

首先，不在日常辦公電腦和存有重要資料(照片、文檔、賬號密碼)的個人電腦上直接安裝OpenClaw，力避AI失控執行刪除操作或被黑客控制時造成不可逆損失。為求穩妥，可使用閑置電腦部署，或專門為其組裝一臺未存儲重要數據的電腦。有條件者可選擇更安全的云服務器虛擬機。

其次，選擇安全可信的技能包Skills下載來源。專家建議，從通過安全檢測的官方可信來源下載，避免下載可能被“投毒”的Skills，并在本地電腦上加強權限控制，嚴格限制AI只能訪問特定的非敏感文件夾。

3月10日，國家互聯網應急中心發布風險提示，建議相關單位和個人用戶在部署和應用中，要強化網絡控制，不將OpenClaw默認管理端口直接暴露于公網，并通過身份認證、訪問控制等安全控制措施，對訪問服務作出安全管理。

此外，專家指出，個人使用辦公網絡、單位電腦進行部署需慎之又慎，警惕數據安全風險。而部分政府部門、國有企業盲目跟風，倉促開展試點、設備采購甚至出臺補貼政策等，更不可取。

針對“養龍蝦”滋生的虛假宣傳、違規培訓、遠程操控、信息竊取，以及平臺不充分告知相關使用風險和信息共享權限范圍等行為，相關部門要盡快制定并出臺約束性規范，為行業“虛火”降溫，為企業和公眾安全防護“織網”。