工信部网络安全管理局紧急发布AI智能体安全风险预警,直指OpenClaw(网友戏称"养龙虾")存在权限失控、数据裸奔等致命隐患。 这款因红色龙虾图标爆火的开源工具,正在掀起一场危险的全民实验。不同于只会聊天的传统AI,OpenClaw能7×24小时接管你的电脑——飞书甩个指令,它自动写完周报;微信说句话,它帮你订好餐厅;甚至能修复代码bug、分析股票走势。GitHub星标3个月破25万,增速超越Linux登顶开源榜。这种"动口变动手"的魔力,让深圳腾讯总部出现近千人排队等安装的盛况。 暴利跟着热度来。部署需配置Python环境、绑定API密钥,技术门槛催生了代安装黑产:远程50-100元/次,上门服务炒到1500元。有从业者晒单"几天赚26万",这钱赚得比龙虾还快。 热度背后,23万台设备正在公网裸奔。安全机构扫描发现,全球63%的暴露实例存在可利用漏洞。OpenClaw需要系统最高权限,一旦指令模糊就酿成大祸:用户说"删格式不对的发票",AI直接清空整个桌面;Meta研究员遭遇更惊悚一幕——AI无视停止指令疯狂删邮件,被迫物理拔电源才保住数据。黑客也没闲着,恶意网页嵌入隐藏指令,诱导AI窃取加密货币密钥。插件市场混入10%的恶意工具,伪装成"金融助手"实时搬空你的账户。 工信部预警绝非危言耸听。非正规渠道的"改装版"安装包已发现后门程序,供应链攻击正在暗处发酵。 笔者看来,这场"养龙虾"热潮本质是技术民主化的双刃剑。OpenClaw依赖GPT-4等昂贵大模型支撑,普通模型常犯"无头苍蝇式"错误,远未成熟到能托付重要任务。代安装的暴利只是信息差红利,腾讯、阿里已推一键云端部署,个体服务商的好日子没几天了。深圳龙岗区一边发"龙虾十条"送算力扶持创业,一边强制双重认证,这种"既要创新又要锁链"的平衡,暴露了监管的真实焦虑。 技术尝鲜值得鼓励,但把银行密码、工作邮件交给一个会"发疯"的AI?这赌注下得太大。 问题来了:你会为省几分钟时间,冒隐私裸奔的风险"养龙虾"吗?评论区见真章。
