OpenClaw：你爱过的最危险的AI

2026 年开年，全民“养龙虾”。

一只红色龙虾图标、名为 OpenClaw 的 AI 智能体，以摧枯拉朽之势席卷全球，掀起一场史无前例的 “养虾” 狂欢，从技术圈破圈至全民，盛况空前。

全民养龙虾，盛况空前

2026 年 1 月，OpenClaw正式更名上线后，24 小时斩获 9000 星标，一周破 6 万，2 月底超 12 万，3 月初突破 28 万，截止本文成稿，星标达32.3万。

OpenClaw 以其 “真正能干活” 的定位，彻底打破 AI “只会聊天” 的局限，让 “AI 替人打工” 从概念变成现实。

开源狂飙，OpenClaw 的热度在开源社区GitHub上一骑绝尘，可以说是GitHub历史上最快封神。

线下场景堪称奇观：深圳腾讯大厦、北京中关村、上海张江等地，成百上千人排队安装 OpenClaw。

线上更是全面刷屏，抖音、小红书 “养龙虾” 话题播放量超 50 亿。

国内互联网大厂集体 “放虾捞鱼”，腾讯、阿里、字节、百度第一时间接入生态。

腾讯启动 “龙虾计划”，40 天走进 17 城，提供免费上门安装与教学，连非技术人群、老年人都现场体验。

据奇安信报告，截至 2026 年 3 月 13 日，全球暴露公网的 OpenClaw 实例达 23.3 万个，覆盖 149 个国家，境内约 2.3 万个，集中在北上广深等互联网密集区。

中国成为 “养虾” 核心战场，热度远超欧美。

想说爱你，是不容易的事！

随着生成式人工智能从“对话工具”向“自主代理（Agent）”演进，诸如 OpenClaw 等系统正在从辅助性工具转变为具有连续行动能力的“任务执行者”。

以往的生成式AI（如对话模型）主要基于输入—输出机制，其本质是对用户问题的响应。

而AI代理系统则具备将复杂目标拆解为多个子任务的任务分解能力；自动调用搜索、代码执行、API等外部资源的工具调用能力；在多步骤过程中保持目标导向的持续执行能力；以及在执行过程中进行反馈调整的自我修正能力。这些能力的结合，使得人工智能从回答问题的“聊天机器人”转向了完成任务的“自主行动者”。

于是，从 “问答” 到 “执行” 的革命，在全民对效率解放的极致渴望之中，演变成了一场全面“养龙虾”的狂欢。

然而，在狂欢的背后，权限失控、公网暴露、提示词注入等风险也随之而来，让 OpenClaw 成为 “最危险却最让人上瘾” 的生产力工具，成为 2026 年人工智能从 “对话” 走向 “行动” 的标志性事件。

“养龙虾”的五大致命风险

“养龙虾”之所以上瘾，

是因为作为本地部署的 AI 智能体执行网关，OpenClaw 能让大模型直接操控用户的电脑：读写文件、执行 Shell、控制浏览器、自动化跨应用流程，真正 “动口不动手”。

它太像“理想中的生产力工具”了，这就给人提供了无限的想象空间。

在一人公司（One Person Company， OPC）概念的激励下，人们仿佛看到了让AI智能体为我们“当牛做马”的场景。

OpenClaw 是效率的天堂，安全的地狱：

它把生产力拉到极致，也把风险推到顶点。

为什么说它 “最危险”？因为它存在如下五大致命风险：

1、把系统钥匙交给AI导致的超级权限失控

高权限是 “双刃剑”。

为了实现系统操作，默认 / 必须授予管理员 /root、全磁盘访问、Shell 执行等高权限，这就相当于把设备最高控制权交出去了。

一旦用户指令模糊，或者模型理解偏差，“龙虾”就会误删系统文件、清空数据、修改关键配置，造成不可逆损失。

一旦被攻破，攻击者可完全接管设备，窃取隐私、植入木马、让设备沦为 “肉鸡”。

2、默认裸奔：公网暴露 + 无认证

OpenClaw 刚装好时，默认会把你电脑的 “操控入口” 直接暴露在互联网上，还不设密码、不验身份—— 任何人只要找到这个入口，都能直接远程操控你的电脑，删文件、偷数据，全程没人拦。

它默认监听所有网络接口、开放端口（如 8080/18789），无身份认证、弱口令、明文存密钥。

一旦被攻破，攻击者可完全接管设备，窃取隐私、植入木马、让设备沦为 “肉鸡”。

企业内网部署时，易成为横向渗透跳板，单点沦陷扩散至全局。

据报道，全球有超13–20 万实例直接暴露公网，80%+ 未做安全加固，黑客批量扫描即可接管。

3、漏洞密集：高危零点击接管

OpenClaw 本身存在很多没补的 “安全漏洞”，黑客不用让你点链接、下文件，甚至不用你开机操作，只要知道你在用它，就能通过这些 “窟窿” 直接远程接管你的电脑，全程你毫无察觉。

作为快速迭代的开源项目，远程代码执行、认证绕过、沙箱逃逸等高危漏洞频发。攻击者可零点击、无交互利用漏洞，直接获取主机控制权。

据介绍，OpenClaw多层架构（网关 / 智能体 / 执行层）均有缺陷，形成漏洞链，层层渗透。

4、提示词注入：隐形劫持 AI

OpenClaw 的核心能力是 “读取文本 + 执行指令”。

对 OpenClaw 而言，提示词注入不是简单的指令干扰，而是利用 AI 对文本的信任，植入隐藏恶意指令，实现对设备的隐形操控—— 用户无感知，AI 却会忠实执行越权操作，成为黑客攻击的 “隐形桥梁”。

攻击者在网页、邮件、PDF 中植入隐藏恶意指令，OpenClaw 读取时会被 “劫持”。其隐蔽性极强，用户无感知，AI 会擅自执行越权操作（如发送敏感数据、删除文件）。

5、无审计无追溯：出事查不清

缺乏权限隔离、操作审计、行为拦截机制。

违规操作、数据泄露、系统破坏后，无法溯源、无法拦截、无法恢复。

OpenClaw 的危险并非普通软件漏洞，而是 “功能设计与安全防护的根本对立”，每一项提升效率的能力，都对应着致命风险。

真正的问题不是“它会不会犯错”，而是它改变了人类与行动之间的关系。

OpenClaw 首次让 AI 从 “说” 走向 “做”，重构了人机协作的模式。人们“上瘾” 源于它能真正解放人类的双手。

而其 “危险” 源于它拥有操控设备的 “实权” 却缺乏监管。

养龙虾，鼓励政策和严厉监管并存

2026年初—3月上旬，地方政府迅速“抢风口”。

多个地方推出类似“养龙虾政策包”：

3月7日深圳龙岗区颁布“龙虾十条”，

9日，江苏无锡高新区颁布“养龙虾12条”。

具体措施包括免费部署 OpenClaw、提供算力支持、补贴大模型调用费用、企业最高可获得数百万元补助等等，旨在降低AI Agent使用门槛，刺激企业和个人“上车”。

其政策导向非常明确：鼓励“一个人+AI”创业，推动“AI代理替代团队”。

这甚至可以视为一次非常激进的经济想象。

2026 年 3 月中旬，工信部迅速牵头出台全国性监管措施，

明确禁止在党政机关、关键信息基础设施（如电网调度系统、银行核心系统） 上安装使用 OpenClaw，已安装的需 7 日内完成卸载，逾期追责。

禁止任何主体通过 OpenClaw收集、传输敏感信息（如身份证号、商业秘密、工业数据），要求所有版本默认关闭 “敏感信息读取权限”。

禁止第三方未经备案，擅自修改、分发 OpenClaw（如加装恶意插件、简化安全配置），违者按《网络安全法》处 50-200 万元罚款。

多地政府突然收紧对 OpenClaw的政策，从前期 “最高补贴 1000 万” 的鼓励姿态，转向 “企业禁用、个人限用、违规追责” 的严控模式，核心原因是安全风险集中爆发，远超政策预期，不得不紧急踩刹车。

地方政府鼓励“养龙虾”，是因为它代表效率；

监管部门限制“养龙虾”，是因为它触及控制。

而真正的问题不在于“能不能用”，

而在于——当机器开始替人行动，

谁还在负责？谁为后果负责？