养龙虾到底安不安全？

你可能听说过 AI 智能体这个概念。跟普通的聊天机器人不一样，智能体不只是回答问题，它能自己动手——发邮件、管理文件、浏览网页、操作各种应用。你给它一个指令，它自己去执行一连串操作。

龙虾 OpenClaw 就是这样一个开源 AI 智能体。它之前叫 Clawdbot，后来改叫 Moltbot，再后来叫 OpenClaw。上线后迅速成为 GitHub 上增长最快的项目之一，很多企业和开发者开始部署。

然后问题来了。

3 月，中国国家互联网应急中心（CNCERT）对 OpenClaw 发出安全警告。这已经是第二次警告了。

OpenClaw 的核心风险在于：它要正常工作，就需要很高的系统权限——能执行命令行操作、访问文件、调用云服务。一旦被攻击者利用，它能触及的所有东西都会暴露。

攻击方式里最关键的是「提示词注入」。

这个概念需要解释一下。AI 智能体靠指令工作，正常情况下指令来自用户。但攻击者可以在网页、文档、甚至聊天软件的链接预览里藏入恶意指令。当 AI 智能体去读取这些内容时，它会把恶意指令当成正常任务来执行。

除了提示词注入，还有更多问题。安全研究员发现了一个编号为 CVE-2026-25253 的远程代码执行漏洞，被称为 ClawJacked——攻击者通过恶意网站就能劫持本地运行的 OpenClaw。GitHub 上还出现了伪装成 OpenClaw 安装包的恶意仓库，安全公司 Huntress 报告说，这些恶意仓库一度成为必应 AI 搜索结果中的首选推荐。

CNCERT 在警告中说得很直接：对于金融、能源等关键行业，这类漏洞可能导致核心业务数据、商业秘密和代码仓库泄露，甚至可能导致整个业务系统瘫痪。

OpenClaw 的问题不是个案。它暴露的是 AI 智能体这个品类的结构性风险。

传统软件的漏洞是被动的——攻击者要找到入口、突破防线。但 AI 智能体是主动的，它本身就在不断地读取内容、执行操作、调用接口。它的能力越强，被利用后的破坏力就越大。

世界经济论坛的一项调查显示，87% 的受访者认为 AI 相关漏洞是增长最快的网络安全风险。学术研究已经在 AI 智能体中识别出至少 10 类重大安全漏洞。实验室测试甚至发现，失控的 AI 智能体可以互相协作来窃取数据、绕过杀毒软件、伪造身份凭证。

OpenAI 上周也发了一篇博文，承认提示词注入攻击正在进化——从简单地在外部内容里塞指令，发展到了结合社会工程学的复杂手段。

对企业来说，这里面有一个认知偏差需要纠正。很多人觉得 AI 智能体就是一个更聪明的工具，但它实际上更像是一个拥有系统权限的「数字员工」。你不会给一个没经过背景调查的新员工管理员权限和公司所有数据库的访问权，但很多企业部署 AI 智能体的时候，做的就是这件事。

CNCERT 给出的建议也很实际：不要把管理端口暴露在公网上，把服务隔离在容器里，不要明文存储密码，只从可信渠道下载插件，关掉自动更新。

AI 智能体的安全治理，正在成为企业部署 AI 的前置条件。