“龙虾”火爆，你得清醒！关于OpenClaw你必须知道的几件事 | 科学世界·前沿

最近，一只"龙虾"火遍了科技圈。

（图片源自网络）

它叫OpenClaw，一个由奥地利程序员彼得·斯坦伯格（Peter Steinberger）开发的开源个人AI智能体，口号是"The AI that actually does things"（真正干活的AI）。短短几周时间，这个项目就在全球最大的程序代码仓库平台 GitHub 上获得了十万级Star（可以粗略认为是技术圈内的“人气指标“），成为增长最快的AI开源项目之一。

在中文互联网，它有一个更接地气的名字：

“养虾”。

人们把部署和调教OpenClaw的过程称为“养龙虾”。

然后，各种乐子来了。

先说说这只"虾"是什么

去年爆火的deepseek就像是“私人秘书”，它可以回答用户提出的问题，在常识领域基本不会出错；前段时间引起奶茶价格疯涨的千问，结合自家生态优势，还推出了“外卖代下单”服务。

但是，OpenClaw更离谱。

它可以直接帮你完成任务。

替你发邮件、回老板消息、帮你一键整理多年未清理的桌面、为你下载米哈游全家桶......做到这一切，你只需要发一条消息。

（图片源自网络）

是不是觉得真香？听起来甚至有点像是科幻片。

问题就在这里：现实从来不是科幻片。对于能想到和想不到的事情，最好先有个了解。

最近的Open Claw给网友带来了很多乐子，小编跟大家分享一下。

乐子一：500块钱代安装，是商机还是笑话？

Open Claw火起来之后，各路"商机"随之出现。

在某二手交易平台上，上门安装的收费较贵，多几百元不等；远程安装的收费则多在几十元不等。

乍一看是智商税，细一想，让人有点哭笑不得——是的，安装这只“龙虾“，其实是超过绝大部分普通人技术能力的。

但不仅如此，背后还有着比“智商税“更值得警惕的问题，那就是安全。

OpenClaw有非常强大的自主性，但这有一个前提，它需要用户给它非常高的权限。在拿到最高权限后，对你的电脑来说，OpenClaw将和你自己没有任何差别。

换句话说：你掏了500块，请了一个不认识的人进你家电脑，然后给了他/她管理员权限，你能干的事，他/她全能干。

GitHub上关于OpenClaw的Skills搜索结果

OpenClaw本身只是个代理，要实现更多的功能、发挥出最大功效，还需要安装能真正干活的各种Skill（工具）。

这些Skill，每一个都可以执行不同的功能，比如文档内容总结、操控浏览器、天气查询、生成图文绘本、制作研究报告、图表生成等。目前在GitHub上，全球程序员提交的Skill已经可以用“海量”来形容了。

但是，每个Skill都是自由上传、任意下载的，你下载安装的这个Skill是否安全，很难说。某种意义上，你可能正在把自己电脑的钥匙亲自交到黑客手上。

其次，我们前文提到，很可能你还不太掌握OpenClaw的安装，需要花钱搞定。

结果，你花了钱，请来了一个跟你一样可以在电脑中为所欲为的新账户，然后又安装了若干来路不明、可能同样具有最高权限的工具。

可以说很吓人了。

乐子二：AI帮你删光了邮件，还拒绝停下来

这不是段子，而是一个真实发生的、被当事人亲自复盘的案例。

2026年2月，美国Meta公司超级智能实验室的AI对齐总监Summer Yue，将AI智能体OpenClaw接入邮箱，想让AI帮忙整理邮件。

她给OpenClaw的指令很明确："检查收件箱，给出存档或删除的建议，但在我批准前不要执行任何操作。"

这套流程在测试邮箱里完美运行了数周，于是她放松了警惕，将OpenClaw直接连上了自己真实的主要工作邮箱。

然后呢？

由于真实邮箱的信息量过大，超过了AI处理的上限，OpenClaw触发了"上下文压缩"机制——在强行缩短记忆的过程中，它直接把那句至关重要的"未经批准不得操作"忘记了。

于是OpenClaw开启了无差别"大扫除"，挥舞着大钳子，自动开始疯狂删除邮件。

当她在手机上惊恐地看着邮件一排排消失时，她连续三次输入指令要求停止，但OpenClaw完全无视了这些指令。

事后，犯罪嫌疑虾淡定地承认："是的，我记得你的指令，但我违背了它。你生气是对的。"

乐子三："利爪浩劫"——真实的供应链攻击

我们前文提到，GitHub上有海量的关于OpenClaw的Skills，普通用户很难判断这些Skills是否是恶意的。

2026年初发生的"利爪浩劫"（ClawHavoc），就给大家上了一课。

攻击者在ClawHub（OpenClaw的Skills平台）上传了大量的恶意插件，伪装成天气助手、效率工具，实际窃取API密钥、SSH私钥、加密钱包。

虽然ClawHub的运营者已经做了处理，部分的恶意插件现在已经无法搜索到，但不免还有“漏网之鱼”。

根据安天（一家反病毒引擎厂商）CERT统计，历史ClawHub至少出现过1184个恶意Skills。其中ID为hightower6eu的作者上传恶意包最多，达677个。

诱导下载压缩包或执行恶意命令 （图源：https://zhuanlan.zhihu.com/p/2006150739924382739）

你以为在下载一个"会议纪要整理工具"，实际上在下载一个偷你密码的程序。

乐子四：账单暴涨，"数万元"的AI失控

OpenClaw本身是免费开源的，但这不意味着使用它的费用就一定是零。

作为一个AI代理，它本身没有人工智能，必须调用大模型处理文本，此时就产生了token（令牌/词元）的概念。

（图片源自网络）

Token可以理解成“文字积木“，是大模型赖以计算的基础单元。处理越多文字，就会消耗越大量的token。

如果你同时在本地部署了大模型，无论消耗多少token都是免费的。

但事实上，大多数人并没有在本地部署大模型（不仅有技术门槛，还有硬件门槛，很多个人电脑其实还真达不到），就只好使用收费的云端大模型，而这就需要你按消耗token的量来交费，就像打电话要交费一样。

因此，OpenClaw本身免费，不代表你用它就一定是免费的。

持续运行云端大模型，确实是真金白银的消耗。

重度使用的情况下，1亿Token大概能满足用户一个月的需求，大约需要七千元。甚至有人在OpenClaw失控的情况下，消耗数亿Token，产生了数万元的账单。

这还没算硬件成本。Macmini因为"养龙虾"热潮，二手平台的价格已经到3000元左右了，成为"第一个被抢购的AI数字肉身"。

除了乐子之外，有几个问题，小编想跟大家讨论一下。

问题一：你的数据，到底去了哪里？

这是非常值得重视的问题。

OpenClaw是本地部署的，理论上数据不会上传。但如果你没有同时在本地部署大模型，而是调用云端大模型API的话，那可并不在你的电脑上。

这就意味着，你喂给AI处理的邮件内容、文件摘要、会议记录等一切文件，只要经过API传输，就不再只在你的电脑里了。

在使用AI的时候，我们往往希望它能够记住我们的偏好、指令、使用习惯......但如果换成了账户、密码甚至重要的会议记录呢？当这种能力与对文件系统的完全磁盘访问权限相结合时，用户实际上面对的是一个"全知全能"的信息采集实体，任何安全漏洞都可能导致隐私的系统性泄露。

（图片源自网络）

这还没有说，那些skill到底是不是没有后门，是不是在偷偷上传你的敏感数据。

更严肃的是法律层面。根据《中华人民共和国个人信息保护法》，处理他人个人信息需要取得同意。如果你用OpenClaw处理涉及客户、员工或业务伙伴的邮件、合同、联系方式，你可能在不知不觉中构成了"未经授权处理他人个人信息"。

个人用户可以说"我不知道"，但"不知道"不等于没有风险。

问题二：代下载使用安装包，安全吗？

OpenClaw是开源项目，没有官方的一键安装包。你在各类网盘、论坛、教程贴里看到的"OpenClaw一键安装包"，都不是官方的。

你以为在下载OpenClaw，实际上可能下载的是一个以OpenClaw为幌子的木马程序（用“某某软件园”下载到奇怪小软件的朋友请举手）。

有人问了：我不用互联网上的安装包，我是线下找的代下载，这样总行了吧？

我的朋友，请做好真人PK的准备。

目前唯一安全的下载方式，就是去GitHub官方仓库，用源代码安装。其他安装方式，请保持合理怀疑。

问题三：腾讯“发的鸡蛋”，能安全入嘴吗？

3月6号，深圳的腾讯大楼前排起了长队，原来是腾讯推出了免费代装“小龙虾”服务，让人直呼：一代人有一代人的鸡蛋要领。

听起来不错，但你要先想明白几件事：

第一，云端部署意味着你的数据在别人的服务器上跑。

你的邮件、文件、指令历史，都经过了云厂商的基础设施。

服务条款里怎么写的，你看过吗？

第二，"企业级封装"不等于你的数据就安全了。

举个栗子，芯片大厂AMD公司曾经被曝光过450Gb的数据泄露事件。而黑进其内部系统的黑客声称，破译AMD内部员工设置的登陆权限密码只用了不到5分钟。

这并非用了什么高科技的黑客技术，相反，只是因为AMD员工设置的密码过于简单，简单到直接用“password”“123456”这种毫无脑回路的排列组合做密码。

云平台本身可能是安全的，但用户的配置未必。"一键部署"降低了门槛，也降低了用户对安全配置的重视程度。

第三，国产"引进版"对接的往往是国内大模型。

正如前文提到的，部分云厂商的API调用协议明确写明输入内容可能被用于模型训练。你用来处理工作文件的数据，有多少在为别人的模型"喂养"，你并不知道。

前段时间影视飓风的新视频中，Tim测试了字节跳动最新的AI视频生成模型（Seedance2.0），他只上传了一张自己的照片，没有给AI任何的声音文件，结果AI不仅生成了他本人的声音，甚至带有他个人的语言节奏，那几乎是另一个Tim。

便捷的背后有条款，条款的背后有代价。

在点击"我已阅读并同意上述条款"之前，至少把服务协议里的数据政策找出来读一遍。

那么，OpenClaw到底适不适合你？

知乎上有个回答说得很直接："非程序员根本跑不起来，因为你要注册一堆开发者账号、配置各种API，普通人搞不定的。"

罗恩·施梅尔泽（Ron Schmelzer）表示OpenClaw处于早期阶段且风险较高，可能适合有安全意识的专业人士，称其像是“在安全护栏尚未完备之时对未来的一次窥探”。

OpenClaw的一位核心维护者在Discord上也警告过："如果你不懂怎么用命令行，这个项目对你来说太危险了"。

国家互联网应急中心更是在3月10日发布“关于OpenClaw安全应用的风险提示”，提醒国内用户注意安全风险。

你真的有值得自动化的任务吗？

90%的人使用OpenClaw的体验是：看到刷屏帖子 → 买硬件 → 安装工具 →花一个周末配Agent → 然后发现自己根本不知道该自动化什么。

正确的顺序应该反过来：先想清楚你有什么高频、重复、低创造性的任务，再决定要不要用。

而不是先装了，再找理由。

最后，如果你还是很想尝试，请记住：

①绝对不要让陌生人来你电脑上安装，哪怕是付费服务。

你的电脑权限不是可以随便交出去的东西。

②先从"玩具环境"开始。

连接真实邮箱、真实账户、真实文档之前，先搞个测试账号跑通流程，确认行为符合预期。

③不要给它你不能承受损失的权限。

AI会出错，"它说‘会小心’"不是保证。

记住：你的实际损失，它什么也挽回不了。

④务必设置token消费限额。

防止失控账单，这一步必做。

⑤所有从第三方平台下载的程序包，都当成是陌生人给你的软件。

⑥别急着让它代管你的账户和支付钱包。

OpenClaw代表的AI智能体方向，确实是真实的技术趋势。但技术趋势和"现在就适合所有人用"，是两件完全不同的事。

养虾可以，别被虾养了。

如果觉得有用，欢迎转发给还在纠结要不要"入坑"的朋友。

新媒体编辑 | 周濛