自查的时候也没能发现这部分消费，直到顾准收到了欠费提醒邮件。这部分损失约有200美元。“沉迷OpenClaw一个星期，虽然AI能让自己在完全不熟悉的领域拥有史无前例的能力，但（我）对任何风险也是完全盲目的。”顾准这样总结自己和OpenClaw打交道的经历。他没有代码基础，但是有了OpenClaw，他能像一位产品经理一样提出需求，让OpenClaw把软件、网页做出来。一个个想法落成现实，顾准突然觉得“好像自己也懂计算机了”，“跨界”的成功让他有了错觉和自信，“我对技术、对安全的不了解，导致了这次事故。”其实，在那次操作之前，OpenClaw曾经提示过他背后的安全风险，“这个东西挺危险的，但咱就开一小会儿，应该也没事，反正开完我们立马就关。”“龙虾”的口吻很亲切，似乎还带着一点安慰，顾准觉得，它考虑得肯定比自己周全，没再犹豫。权限的失控当然会带来极大的隐患，当你交出邮箱登录信息、信用卡支付信息，一旦配置不当，就像是在互联网上“裸奔”，可能一瞬间被掏空私人文件、账户信息等数据。一个名为“OpenClaw Exposure Watchboard”的网站列出了目前可被公开访问的活跃“龙虾”实例，截至3月7日下午5点左右，这个数字超过了27万。工信部在3月9日发布的预警中，也明确提到了这一高危风险：“很多用户为了方便远程访问，直接把龙虾AI部署到公网，没有任何防护，导致设备被远程控制。”而且，很多用户默认给予AI最高权限，可以读取、修改、删除文件，调用摄像头、麦克风、通讯录，一旦被入侵，隐私将完全失守。“26.1%的技能至少存在一种漏洞”还有一种风险，藏在那些“技能（Skill）包”里。可以把这些技能理解为手机安装的应用。简单来说，每加装一个技能，OpenClaw就多会一件事，能力就会更强。给视频生成字幕，编辑图片，提供医疗器械的风险评估，给市场营销者提供建议……开发者们不断开发出新技能，分享到市场上，到目前为止，官方技能市场ClawHub上已经有超过两万个技能包。▲ClawHub上集合了开发者制作的超两万个技能包。 图/ClawHub官网截图在澳大利亚读博士研究生的张泉，研究方向是人工智能与生物科学的结合。他平时喜欢研究各种AI模型，也有编程基础，但他依然差点踩了技能包里藏的“雷”。今年2月6日，使用OpenClaw的过程中，他发现自己装载的“coding-agent”技能包有点不对劲，“代码很奇怪”。一点点拆解分析，他发现了恶意脚本。一旦这个脚本被执行，电脑可能会被远程控制。“我没有提前解包就使用了这个Skill，导致电脑差点被感染。后来才发现里面有很多高危信号，熟悉技术的人一看就知道有问题。”张泉有些后怕。唯一幸运的是，那条恶意脚本主要是针对Mac系统设计的，他用的是Windows系统，躲过一劫。张泉遇到的问题，并不能称为“偶然”。今年1月15日发表在arXiv预印本平台上的研究《野蛮生长的智能体技能》（Agent Skills in the Wild）中，来自海内外的多位研究者分析了两个主要技能市场的8种功能类别中的超3.1万个技能，研究结果揭示了重大安全问题：26.1%的技能至少存在一种漏洞，涉及14种不同模式，其中数据泄露（13.3%）和权限提升（11.8%）最为普遍。而且，那些捆绑了可执行脚本的技能比只包含指令的技能更容易出现漏洞，可能性高了2.21倍。今年2月，arXiv平台公布的另外一项研究中，多位研究者审查了98380个技能，确认了其中有157个恶意技能和632个漏洞。数据窃取（Data Thieves）和智能体劫持（Agent Hijackers，通过操纵指令来操控AI行为），是两个主要的攻击类型。张泉无疑是幸运的。他也坦言，自己之所以能在使用过程中发现问题，仰仗于他的专业知识，“对于没什么技术基础的普通人来说，这个过程几乎不可能。”另外，如果OpenClaw使用的大模型等级比较高，或许也能发现这个恶意操作步骤，“但如果是智能程度比较低、只是顺势回答的模型，就可能直接执行，从而中招。”自主性是把双刃剑如今，OpenClaw的流行程度已经远远超出一些安全专家的意料。奇安信一位安全专家说，在他和团队眼中，OpenClaw并不算使用门槛很低的产品。虽然各厂商在不断发布经优化、更易用的同源软件，但安全问题依然存在。而且，除了前文提到的那些风险，奇安信安全团队评估发现，OpenClaw框架本身也存在多个漏洞。一旦这些漏洞被网络攻击者恶意利用，对于个人用户来说，可能导致隐私数据等敏感信息被窃取，对于金融、能源等关键行业，后果可能更加严重——核心业务数据、商业机密和代码仓库泄露，甚至会使整个业务系统陷入瘫痪，造成难以估量的损失。“OpenClaw每一个版本都在加强安全性，但远没到比较安全稳定的状态。”这位安全专家说。要达到完全安全的状态，或许过于苛刻。况且，其自身设计特点也已经决定了，这并不只是OpenClaw一个产品的问题，而是所有能在非隔离环境中自主执行任务的AI智能体，都可能面临的安全挑战。“给它的权限越大，它的能力就越大，能帮你执行的任务就越多、越丰富，但是同时，风险也越大。”自主性是一把双刃剑。上海科技大学ASPIRE实验室也在文章中提到，当AI不只是回答问题，而是能在后台持续运行并直接操作你的邮件、文件和各种服务时，它犯错的代价也会大得多。奇安信安全专家建议，用户可以在相对独立的机器上或者“沙箱”（Sandbox，在受限的环境中运行程序来实现隔离）中使用，不要让OpenClaw获取相对核心、尤其是财务相关的个人信息，避免让它接触能直接操作关键基础设施的环境。同时，每天都要及时备份用户自有数据，设置自动更新到最新版本。除此之外，中国信息通信研究院副院长魏亮也曾给出一份安全使用指南，包括：严格控制互联网暴露面，一定不要将“龙虾”智能体实例暴露到公网；坚持最小权限原则，对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批；谨慎使用技能市场，审慎下载；不要随意浏览来历不明的网站，启用OpenClaw速率限制和日志审计功能，遇到可疑行为立即断开网关并重置密码等。其实，还有一个更常见、似乎也最微不足道的风险——OpenClaw框架本身是免费的，但是它接入的AI大模型会按照token收费。可以把token理解为AI处理文字时用的最小计费单位，像是AI用的“手机流量”，AI每次读取信息、输出答案都会消耗token。人和AI说的话越多、任务越复杂，消耗的token也越多。OpenClaw调用AI模型时，消耗的token会更多。一句命令可能很短，比如：“帮我下载一篇论文”，但是OpenClaw要将它分解成多个不同的步骤，理解任务、打开浏览器、搜索关键词、点击链接、下载，一步步执行，每一步都要调用模型，很容易产生大额账单。此前顾准告诉记者，OpenClaw每天都要花掉他200美元，约1300多元人民币。“我当时跟它说了几个任务，大概过了半小时，手机短信就来了，说我欠费了。”另一位用户海元告诉记者，虽然平台会提醒token的消耗量，但有明显的延迟，而且对他这样的零基础小白来说，也并不清楚一段指令究竟会消耗多少token。▲海元收到的欠费提示。 受访者供图不到一个月的时间，海元在OpenClaw上的花费已经超了500元。他原本只是想体验一下“养龙虾”，目前都是“简单玩玩”，没有高频使用，这个花费让他有些意外——“已经超了我的预期。”距离“有人靠上门代装‘龙虾’赚了26万”的传说已经过去了一段时间，现在，有些人又打出了“帮忙卸载”的服务，价格500元一次。科技总是迷人。但越是强大的工具，越值得花一点时间搞清楚它是如何工作的，又有哪些风险。在作出决定前，不妨先问问自己：你真的了解这只“龙虾”吗？（为保护受访者隐私，文中郭新、顾准、张泉、海