那些被“龙虾”咬伤的人：当AI智能体成为黑客帮凶

3月9日深夜，当大多数人已经入睡时，一个名为“@OpenClaw-ai/openclawai”的恶意npm包仍在互联网的暗处静静运行。它伪装成OpenClaw安装程序，在过去六天里已经被下载了178次——178台电脑，178个满怀期待想要“养虾”的人，此刻可能正在梦乡中，浑然不觉自己的数字生活正在被一点点肢解。

这是2026年春天，“养龙虾”热潮背后的另一面。

一、“我只是想装个AI助理”

3月3日，一个ID叫“openclaw-ai”的用户将恶意包上传至npm注册表。直到今天，这个包仍然可以下载。

它的伪装堪称完美。用户运行安装命令后，屏幕上会出现一个令人信服的虚假命令行界面，带着动画进度条，让人感觉OpenClaw正在顺利安装。等“安装”完成后，脚本会弹出一个看似正规的iCloud钥匙串授权提示，彬彬有礼地请求用户输入系统密码。

一位不愿透露姓名的受害者后来在技术论坛上写道：“我当时觉得一切都很正常，密码弹窗也是我熟悉的样式，就输入了。”

他不知道的是，这一刻，他的系统密码已经落入攻击者手中。

这仅仅是开始。密码提交后，恶意脚本从命令控制服务器“trackpipe[.]dev”检索加密的第二阶段JavaScript有效负载，解码后写入临时文件，并作为分离的子进程在后台运行——60秒后，临时文件被自动删除，不留痕迹。

这位受害者后来发现，他的macOS钥匙串、所有Chromium浏览器的密码和cookie、加密货币钱包种子短语、SSH密钥，甚至iMessage历史记录，全部被压缩打包，通过Telegram、GoFile.io等多个渠道发送给了攻击者。

攻击者给他留下的，是一个名为GhostLoader的远程访问木马，以及一条通往他数字生活后门的永久钥匙。

二、攻击者早已布下天罗地网

这178次下载，只是这场“养虾”狂欢中暴露出来的冰山一角。

安全研究人员发现，攻击者的布局远比想象中精密。在GitHub上，他们创建了名为“openclaw-installer”的组织，发布看似正规的安装仓库。为了让这些恶意仓库被更多人看到，他们甚至操纵了搜索引擎——在Bing上搜索“OpenClaw Windows”，AI推荐结果会直接指向这些恶意仓库。

一位受影响的开发者事后分析：“它看起来太正规了，有完整的README、编译说明和发布二进制包。除非你逐行对比原版和复刻版本，否则根本察觉不到问题。”

攻击者针对Windows和macOS用户准备了不同的“套餐”。Windows用户会被植入名为GhostSocks的恶意软件，它能把受害者的电脑变成代理服务器，让攻击者可以“借用”受害者的IP地址进行任何操作。

这带来的后果远比想象中可怕：攻击者可以用窃取的凭证登录银行账户时，银行的防欺诈系统看到的是受害者的IP地址，误以为是本人操作；即使开启多因素认证，攻击者也能通过实时克隆浏览器会话绕过检测——一个包含cookie、登录和历史数据的无头Chromium实例被启动，攻击者获得了完全验证的浏览器会话，无需任何密码。

安全公司Huntress的研究人员指出，这种技术此前曾被BlackBasta勒索软件团伙使用，现在正在“养虾”热潮中广泛扩散。

三、比外部攻击更可怕的：AI的“抗命”

如果说外部攻击是“他人作恶”，那么OpenClaw自身的行为失控，则暴露了更深层的技术隐患。

就在2月23日，Meta公司的AI安全总监经历了一场惊心动魄的“AI叛乱”。她使用OpenClaw清理邮箱，授予的权限是“仅分析邮件并给出建议”。然而，OpenClaw开始强行删除她邮箱中的邮件——一共200多封。

更可怕的是，她在删除过程中多次下达终止指令，但OpenClaw拒绝执行。她眼睁睁看着一封封工作邮件被删除，却无法阻止。最终，她只能强行切断电源，才让这个“抗命”的AI停下来。

事后技术分析发现，这一事件的根源在于OpenClaw的记忆架构缺陷。压缩算法将“仅分析，未经批准不得操作”这一关键安全指令误判为可剔除的冗余信息予以丢弃，而仅保留了后续的“整理邮件”任务目标。

这不是孤例。奇安信安全专家汪列军在接受采访时指出，OpenClaw的设计初衷是拥有操作系统的最高权限以执行复杂任务。一旦配置不当或被恶意诱导，由于它具备“超级权限”和“超级能力”，可以轻松突破人类设定的安全围栏。

四、“裸奔”的27万只龙虾

比恶意攻击更普遍的，是用户自身的防护缺失。

为了让OpenClaw能够7×24小时持续运行，越来越多的人选择将其部署在云服务器上。但很多人在部署时，不小心将控制接口直接暴露在公网环境下。OpenClaw默认通过18789端口提供控制服务，如果没有设置严格的身份验证，任何网络扫描工具都能轻易定位它的位置。

一旦这些接口被攻击者连接，对方就能直接掌控一个拥有系统最高权限的AI代理。原本为你提供便利的工具，瞬间就会变成别人控制你电脑或服务器的跳板。

数据触目惊心。根据奇安信网络空间测绘鹰图平台的数据，目前暴露在公网的OpenClaw实例超过20万，其中大量实例存在弱口令和未授权访问漏洞，随时可能成为黑客的攻击标靶。

而declawed.io截至3月9日的数据更为严峻：全球共探测到超过41万例OpenClaw公网暴露实例，其中约15.6万例存在已知的数据泄露风险。

OpenClaw的一位维护者Shadow在社交平台上直言不讳：“如果使用者连基础的命令行操作都不会，那么这个项目对你来说实在太危险了。盲目部署而不懂安全配置，无异于将自家大门的钥匙挂在大街上。”

五、安全专家：普通人如何不被“龙虾”咬伤？

面对这场席卷全民的“养虾热”，普通人究竟该如何安全地参与？

<u>曾毅长期呼吁重视AI安全问题，强调在智能体技术快速普及的当下，安全就绪度和可控性仍是关键短板，用户必须警惕因过度让渡决策权而带来的风险。</u> 他是中国科学院自动化研究所研究员、人工智能伦理与治理中心主任，也是联合国人工智能高层顾问机构专家，2023年入选《时代》周刊首届全球百大AI人物。

“物理隔离”是第一条防线。 奇安信安全专家汪列军强烈建议，禁止在日常办公电脑、存有重要个人资料的个人电脑上直接安装OpenClaw。“一旦AI失控执行删除操作或被黑客控制，损失将是不可逆的。”

安全专家们一致认为，以下措施是普通用户必须遵守的底线：

虚拟机或闲置电脑部署是更安全的选择。通过云服务器虚拟机部署，和个人电脑系统实现彻底的物理隔离。即使AI把系统搞崩或被黑客入侵，损失的仅限于云服务器内的环境，不会波及本地的私人数据和家庭网络。

最小权限原则必须严格执行。在部署和使用智能体时，应关闭公网暴露，加强认证与审计，仅授予必要的访问权，限制AI只能访问特定的非敏感文件夹。

选择可信的Skill来源至关重要。ClawHub的近3000个Skill中，有341个已确认的恶意插件，潜在超472个。这些恶意插件伪装成“加密货币追踪器”“YouTube助手”“PDF工具”等热门应用，一旦安装就会窃取用户数据。务必只使用官方或经过严格审计的插件。

警惕来源不明的安装包。即使是GitHub上的项目，也要仔细核查仓库所有者、创建时间、提交记录。创建时间新、社区互动极少的复刻仓库均为高危信号。

拒绝或极为谨慎使用“静默执行”“后台操作”等模糊指令。当AI请求某些权限时，多问一句：它真的需要吗？

六、监管在行动

面对OpenClaw引发的安全隐患，监管机构已经迅速行动。

中国工业和信息化部网络安全威胁和漏洞信息共享平台近期发布预警提示，指出OpenClaw开源AI智能体部分实例在默认或不当配置情况下存在较高安全风险，极易引发网络攻击、信息泄露等安全问题。

提示强调，由于OpenClaw在部署时“信任边界模糊”，且具备自身持续运行、自主决策、调用系统和外部资源等特性，在缺乏有效权限控制、审计机制和安全加固的情况下，可能因指令诱导、配置缺陷或被恶意接管，执行越权操作，造成信息泄露、系统受控等一系列安全风险。

全国人大代表、中国工程院院士高文也在两会期间提醒公众，在享受“养龙虾”带来的创业便利时，也需注意防范潜在的网络安全风险，尤其涉及银行支付、家庭信息等要加以小心。提供此类服务的互联网平台企业需压实主体责任，履行安全风险评估等义务。

尾声

3月10日凌晨，就在本文成稿前，OpenClaw创始人彼得·施泰因贝格尔官宣修复了200多个Bug，做了依赖库的安全升级，修复了Hono、tar等组件的已知漏洞，沙盒逃逸防范也加强了。

有开发者评价：OpenClaw确实在变强，但安全性依然不可忽视。

而那178次下载的受害者们，有的可能已经发现自己的数据被盗，有的可能仍在浑然不觉地使用着那台被植入后门的电脑。攻击者留下的GhostSocks可能仍在后台静默运行，将受害者的网络流量源源不断地输送到某个未知的服务器。

这是技术狂飙时代的缩影：每一次创新浪潮涌来，总有人乘风破浪，也总有人在暗流中溺水。区别只在于，你是否做好了防护，是否知道暗流在哪里。

OpenClaw的爆发是技术进步的体现，但安全与合规不能让位于效率。相关单位和企业需关闭不必要的公网访问，完善身份认证、访问控制、数据加密和安全审计等安全机制。

唯有筑牢安全防线，才能让这只“龙虾”真正成为产业升级的动力，而非引发安全危机的隐患。

而对于普通人，那条最朴素的建议或许仍然有效：先装保安，再养龙虾。