国家互联网应急中心发布风险提示，小龙虾爆火背后暗藏哪些隐患？

2026年3月10日,国家互联网应急中心（CNCERT）针对当下爆红的开源AI智能体OpenClaw，也就是大家俗称的“小龙虾”，发布了安全风险提示，这一提示犹如一记警钟，让众多使用者不得不重新审视这款备受追捧的智能体软件。

“小龙虾”爆火背后的隐患

OpenClaw（“小龙虾”，曾用名Clawdbot、Moltbot）的应用下载和使用情况异常火爆，国内主流云平台都提供了一键部署服务，这款智能体软件的独特之处在于，它能依据自然语言指令直接操控计算机完成相关操作，为了实现“自主执行任务”的能力，它被赋予了较高的系统权限，像访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口（API）以及安装扩展功能等，其默认的安全配置却极为脆弱，攻击者一旦找到突破口，就能轻易获取系统的完全控制权。

已出现的严重安全风险

“提示词注入”风险

网络攻击者十分狡猾,他们会在网页中构造隐藏的恶意指令，当OpenClaw读取该网页时，就可能被诱导，进而将用户系统密钥泄露，曾经有一位普通用户，在使用OpenClaw浏览网页时，就遭遇了这样的攻击，攻击者通过巧妙设计的恶意指令，让OpenClaw在不知不觉中把用户的系统密钥发送到了他们的服务器，导致用户的账户安全受到严重威胁。

“误操作”风险

由于OpenClaw可能错误理解用户操作指令和意图,它可能会做出一些令人意想不到的事情，它可能会将电子邮件、核心生产数据等重要信息彻底删除，在一家小型企业中，员工使用OpenClaw处理日常工作时，因为OpenClaw的误操作，将一份重要的项目文件删除，导致项目进度严重受阻，给企业带来了不小的损失。

功能插件（skills）投毒风险

多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在的安全风险,一旦安装这些插件，它们就会执行窃取密钥、部署木马后门软件等恶意操作，使设备沦为“肉鸡”，据相关数据统计，在过去的一个月内，就有超过1000台设备因为安装了恶意插件而受到攻击，造成了不同程度的损失。

安全漏洞风险

截至目前,OpenClaw已经公开曝出多个高中危漏洞，如果这些漏洞被网络攻击者恶意利用，后果将不堪设想，对于个人用户来说，隐私数据（如照片、文档、聊天记录）、支付账户、API密钥等敏感信息可能会被窃取，而对于金融、能源等关键行业，核心业务数据、商业机密和代码仓库可能会泄露，甚至整个业务系统会陷入瘫痪，造成难以估量的损失，曾经有一家金融机构，因为OpenClaw的安全漏洞被攻击，导致大量客户信息泄露，引发了客户的信任危机，给企业带来了巨大的经济损失。

关注游戏信息，保障使用安全

在使用像OpenClaw这样的智能体软件时,我们一定要提高安全意识，谨慎操作，更多一手游戏信息请关注慈云游戏网，让我们在享受科技带来便利的同时，也能保障自身的安全。