“你养‘龙虾’了吗？”最近这段时间，这句话火爆了朋友圈。

这里说的“龙虾”，并非绝美的海鲜，而是今年年初爆火全球的开源AI智能体OpenClaw（“龙虾”，曾用名Clawdbot、Moltbot）。近期，OpenClaw应用下载与使用情况火爆，国内主流云平台均提供了一键部署服务。因图标是一只红色龙虾，网友们便昵称其为“龙虾”，而部署、训练OpenClaw，就被大家形象地称为“养龙虾”。

广东、江苏、安徽等多地发文支持“养龙虾”。例如，安徽省合肥市高新区发布《合肥高新区打造人工智能OPC创业生态示范区行动计划（征求意见稿）》，推出15条硬核举措，称全方位护航OpenClaw等开源AI项目落地深耕，致力打造“AI+超级个体/一人公司（OPC）”新业态标杆，最高予以1000万元资金扶持；江苏省常熟市发布《常熟市加快打造OpenClaw 等开源社区推动产业高质量发展的若干措施（征求意见稿）》，推出13条举措。

但是，值得提醒的是，“养龙虾”亦有风险。工业和信息化部网络安全威胁和漏洞信息共享平台监测发现，OpenClaw开源AI智能体部分实例在默认或不当配置情况下存在较高安全风险，极易引发网络攻击、信息泄露等安全问题。

3月10日，国家互联网应急中心也发布相关风险提示称，由于其默认的安全配置极为脆弱，攻击者一旦发现突破口，便能轻易获取系统的完全控制权。

前期，由于OpenClaw智能体的不当安装和使用，已经出现了一些严重的安全风险。例如，网络攻击者通过在网页中构造隐藏的恶意指令，诱导OpenClaw读取该网页，就可能导致其被诱导将用户系统密钥泄露；此外，由于错误的理解用户操作指令和意图，OpenClaw可能会将电子邮件、核心生产数据等重要信息彻底删除。

同时，根据国家互联网应急中心发布信息，目前，OpenClaw已经公开曝出多个高中危漏洞，一旦这些漏洞被网络攻击者恶意利用，则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户，可导致隐私数据（像照片、文档、聊天记录）、支付账户、API密钥等敏感信息遭窃取。对于金融、能源等关键行业，可导致核心业务数据、商业机密和代码仓库泄露，甚至会使整个业务系统陷入瘫痪，造成难以估量的损失。

全国两会期间，也有代表委员和行业人士发声，为大家“降温”，提醒理性看待“养龙虾”热潮。全国政协委员、360集团创始人周鸿祎指出OpenClaw仍面临三个问题：第一是安全性；第二是安装门槛高，普通用户操作不便，难以在大众层面普及；第三是技能范围有限，目前能干的事情相对“高端”，离真正服务日常生活还有距离。

国家互联网应急中心提示，相关单位和个人用户在部署和应用OpenClaw时，采取以下安全措施：

1.强化网络控制，不将OpenClaw默认管理端口直接暴露在公网上。

2.加强凭证管理，避免在环境变量中明文存储密钥；建立完整的操作日志审计机制。

3.仅从可信渠道安装经过签名验证的扩展程序。

4.及时进行版本更新和安装安全补丁。

来源：金融时报