【#龙虾正成为黑客眼中的金矿#：超4万个OpenClaw实例暴露于公网】
是什么能够让近70岁的非遗专家、60多岁的退休航空技术工程师、怀抱2岁小孩的妈妈和只有9岁的四年级小学生都齐聚一堂抢着排队的？答案是最近火遍科技圈的OpenClaw（俗称“龙虾”）的免费安装现场。然而作为一款走在科技前沿的AI产品，OpenClaw真的是老少皆宜吗？

据南方+记者获悉，自今年1月以来，多家官方安全机构接连发布警报：火爆的OpenClaw正成为黑客组织眼中的“金矿”。安全监测显示，已有超过4万个OpenClaw实例暴露于公网，其中63%存在可被利用的漏洞，超过1.2万个实例已被标记为可完全远程控制。

“想跑通这个项目，你就得照着教程装Node.js（_javascript 运行环境）和 Git（开源的分布式版本控制系统）。这两样东西对程序员来说是吃饭的家伙。对咱们普通人来说，等同于在你家厚实的防盗门旁边，硬生生凿了两扇没装防盗网的窗户。只要它沦陷，这两个工具秒变黑客手里的凶器。”有业内人士表示，安装OpenClaw本身就具有隐形的安全代价，平时一般用户根本用不上的环境代码，为了尝鲜OpenClaw而打开高危之门“完全是引狼入室”。

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）就监测发现了OpenClaw开源AI智能体部分实例在默认或不当配置情况下存在较高安全风险，极易引发网络攻击、信息泄露等安全问题。相关风险提示就指出，由于OpenClaw在部署时“信任边界模糊”，且具备自身持续运行、自主决策、调用系统和外部资源等特性，在缺乏有效权限控制、审计机制和安全加固的情况下，可能因指令诱导、配置缺陷或被恶意接管，执行越权操作，造成信息泄露、系统受控等一系列安全风险。工业和信息化部网络安全威胁和漏洞信息共享平台建议，相关单位和用户在部署和应用OpenClaw时，充分核查公网暴露情况、权限配置及凭证管理情况，关闭不必要的公网访问，完善身份认证、访问控制、数据加密和安全审计等安全机制，并持续关注官方安全公告和加固建议，防范潜在网络安全风险。

不难看出，OpenClaw虽然能够通过AI技术带来更前沿的科技体验，但是目前对于大多数用户而言，“养龙虾”还需要更关注安全风险。正如SecurityScorecard的威胁情报和研究副总裁Jeremy Turner所说的那样：“在跳入海洋之前学会游泳。”