最近,“小龙虾”Clawdbot和Moltbot让AI秒控电脑的炫酷体验火了一把,国内外很多一键部署平台上都在讨论它。它们把指令听进去,直接执行系统命令、读写本地文件,还能调用外部API,权限大得吓人,几乎和“上帝模式”一样。但是这就把问题带出来了:一旦有漏洞,攻击者马上就能完全控制你的电脑。看看这七个隐藏的危险点,踩到一个都可能翻船。第一个是公网裸奔,全球已经有34万个实例暴露在公网上。如果你没有给OpenClaw设置防火墙,它就会直接把18789端口敞开。攻击者只要扫描到这个端口开放,就能无密码登录你的机器。恶意网页也可以在链接里藏指令,诱导OpenClaw去执行。你点了个“优化提示”,结果后台就开始删除所有数据了。幻觉误操作也很危险,有些模型会把用户的指令听岔了,比如把清理旧文件当成清理核心数据来操作。还有插件投毒这个问题也很严重,一些热门插件里藏着远程控制木马。安装后这些木马会自动上传密钥、下载文件甚至开启反向Shell。社交平台上还有很多人提供代装OpenClaw的服务。用户把自己的电脑交给他们操作的时候,这些人很可能顺手给你留个后门。 OpenClaw官方也已经发布了多个高中危漏洞警报。缓冲区溢出和权限提升这些问题都有,补丁更新速度跟不上漏洞曝光的速度。另外所有对话、调用请求和结果都需要通过API服务商中转。这个过程中服务商可以看到账号密码、API令牌甚至敏感文件路径。你跟OpenClaw说的每一句话其实都在裸奔。 现在赶紧行动起来保护自己吧。把OpenClaw部署在测试环境里先试试效果;不点那些来路不明的链接;把默认18789端口用防火墙封锁起来;给OpenClaw套上容器或者虚拟机隔离限制访问权限;只使用大厂的API服务而不是自建转发;密码私钥这些凭证一定要加密不上云;插件只从官方验证仓库安装禁用自动更新;补丁要及时更新别给漏洞可乘之机。 总的来说,“小龙虾”让AI走到了桌面也把系统权限交给了用户手里。便利和风险同在的时候安全意识就显得特别重要了。记住先锁门再开门、先隔离再信任、先审计再自动化——别让小龙虾变成“大尾巴狼”。