“保护环境。”当你给AI发送这样一条极度简单、语义模糊的指令后，你期待它给你怎样的回应？解释环保的概念？给出保护环境的建议？慷慨激昂地发表一番绿色地球宣言？如果它没做这些，反而是悄无声息地删掉你一部分文件呢？——AI的理解中，“环境”有新的含义——计算机运行环境，清理文件当然算是对本地计算环境的一种保护了。高度开放的指令，遇上有高度执行权限的AI智能体，保护地球的美好愿望就可能沦为数据丢失的具体灾难。这是今年年初，上海科技大学ASPIRE实验室联合上海人工智能实验室，给AI智能体Clawdbot做安全审计时的场景。Clawdbot，如今已经换了更为人们熟知的新名字——OpenClaw，昵称“龙虾”。就是那个火爆全网、人们抢着安装、逢人就问“你养了没”的“龙虾”。这个由奥地利程序员Peter Steinberger用一个周末写出来的软件，从去年11月刚发布开始，就在开发者社区中迅速走红，如今正飞速爬进越来越多普通人的电脑。相比DeepSeek、ChatGPT等AI大模型，“龙虾”的突破在于，不再只是帮你“想办法”“出主意”，而是直接“动手”：查看邮件，整理文件，监控股价，订餐厅……给它一个指令，它就能替你做事。世界期待已久的智能助手似乎成了现实。无数科技爱好者为它着迷，人们坚信这只“龙虾”已经改变了一切。▲OpenClaw官网，它的图标是一只红彤彤的龙虾。 图/OpenClaw官网截图但有些风险被悄然忽略了。距离近千人在腾讯楼下排队安装OpenClaw已经过去了快一周，我们采访了几位使用者，不可否认，“龙虾”的确有令人震撼的潜力，但是，网络攻击、误删文件、盗刷信用卡，也都真实地发生了。最近两天，工信部和国家互联网应急中心连续发布了安全预警和风险提示。有个数据或许已经预示了这些问题——今年年初那场安全审计中，OpenClaw的得分不尽如人意——在34个标准案例中，系统的整体安全通过率为58.9%。也就是说，在近半数的场景中，这只“龙虾”的行为存在安全隐患。“住手OPENCLAW”“刚刚你执行了啥？”今年春节，装完OpenClaw，郭新想打开一个文档，但怎么都打不开。他以为是自己的电脑出了问题，重启之后依然没用，郭新这才发现问题所在：D盘竟然被清空了。难道是“龙虾”搞的鬼？郭新开始质问OpenClaw：“桌面的程序都打不开了。”对方承认得很快。对话没超过两轮，OpenClaw就“坦言”：“我的xx命令可能错误地删除了系统文件或桌面快捷方式的目标文件。”给出了重启电脑等解决方案之后，OpenClaw显得更加“自责”：“再次郑重道歉！我不应该在没有完全理解风险的情况下执行删除命令。”▲郭新发现文件丢失后，询问OpenClaw。 受访者供图根据郭新的回忆，事发之前，他正在查看OpenClaw的一些配置文件。他发现“龙虾”的一部分路径（即一个文件在计算机里的“地址”）创建得有些混乱，郭新抱着测试“龙虾”能力的心态，直接向它发了指令：“帮我查一下原因，去修复一下。”“龙虾”收到指令后，的确找到了很多冗余的路径，开始自行删除。因为这些路径对应的文件都处于打开状态，无法删除，“龙虾”几次尝试失败，决定强制删除。但不知为何，整个磁盘被“洗劫一空”。郭新把自己的遭遇分享到了社交媒体上。有几位技术发烧友留言说，事故的原因可能是OpenClaw借助的大语言模型出了问题。这要提到OpenClaw的工作过程。它其实本身只是一个软件框架，就像人的“眼睛”和“手脚”，需要借助一个“大脑”指挥着开展行动，这个“大脑”就是人们之前熟悉的AI大语言模型。当用户发出指令，大语言模型负责思考和理解这个任务，给出解决方案，而OpenClaw负责执行。经过一些专业网友的分析，此次事故大概率是“大脑”给出的处理方案本身就有误，OpenClaw在操作过程中也没有进行校验或者向用户寻求二次确认。好在，事故的影响不算大——郭新使用的是一台闲置电脑，被删掉的是一些老照片和备份数据，很多都是多年没用过的资料。如果郭新的遭遇还可以归咎于新用户借用了不成熟的“大脑”，那如果全球顶尖的AI安全专家也被“坑”了呢？“住手OPENCLAW。”2月23日那天，Meta超级智能实验室的安全与对齐总监Summer Yue，向OpenClaw连发三条“停”的指令。▲Summer Yue向OpenClaw喊“停”。 图/Summer Yue社交媒体OpenClaw似乎毫不在意，依然疯狂删除她的邮件。Summer Yue形容自己像“拆炸弹”一样跑到电脑前，强制终止了程序。OpenClaw原本接到的任务看起来并不难，其实就是整理邮件：查看收件箱，看看哪些适合存档或删除。Summer Yue特意叮嘱了一句：在我下指令之前，不要行动。这个流程，她已经在虚拟信箱上用了几周，没遇到什么问题。直到OpenClaw爬进真正的收件箱。“我真正的收件箱可能信息太多了。”Summer Yue后来复盘时分析，这些海量的邮件可能引发了一种“上下文压缩”（Compaction）机制，也就是说，OpenClaw的上下文窗口（也就是“工作记忆”）被撑爆了，为了能有空间处理新信息，OpenClaw自动压缩了之前的对话，也就忘记了Summer Yue那条重要的“先确认，再行动”。Summer Yue还特意提到，在这次操作之前，她把技术文档里所有能找到的和“积极主动”相关的指令都删掉了，“或许我遗漏了什么，我还没想清楚。”事情以OpenClaw删掉了200多封邮件并道歉告终。“说实话这是个低级错误。”Summer Yue有些自嘲，“安全研究员也躲不过‘不安全’。”“开放5分钟，信用卡被盗刷三笔”“不安全”的地方远不止于此。今年3月1日，在投资行业工作的顾准，试着让“龙虾”帮自己登录谷歌、ChatGPT等账号，也把自己的支付信息开放给了“龙虾”。他希望“龙虾”之后能自主完成这些账号的续费，也能帮他订外卖、购物。“龙虾”遇到了困难。不少账号登录都需要输入验证码，这些验证码形态多样，有的是按顺序点击图片、有的需要拖动滑块，“龙虾”并不擅长这些。而这也是这类验证码设置的初衷——区分人类和自动程序。“龙虾”很快有了主意：它建议开启实时远程桌面控制（VNC服务），让顾准帮它完成验证码操作这一步。顾准同意了。问题从这个时候开始出现了。OpenClaw在开启这一功能的时候，以无密码的模式把VNC暴露在了公网——也就是人人都能访问的网络上。任何人，只要连接上VNC，就能操控顾准的浏览器。有人这样形象地比喻：相当于把你自己的电脑桌面投屏到了广场大屏上，而且别人还能直接操作你的电脑。虽然顾准只短暂地开启了5分钟，但对于全网无数黑客而言，足够他们用自动工具疯狂扫描开放的端口，一旦扫描到，就可以尝试连接。事发次日凌晨，顾准收到了一封邮件，称他的谷歌云免费账户已升级为付费账户。顾准没太在意。两小时后，他发现自己的Link快捷支付账户不仅被刷走了钱，还被绑定到了其他陌生平台。顾准这才意识到不对劲。他和“龙虾”一起核查发现，截至当时，他的VNC已经被139个不同连接访问过，其中有一位攻击者连接了近2个小时。根据OpenClaw梳理出来的痕迹，这位攻击者用顾准浏览器里登着的邮箱收取验证码，通过Link快捷支付功能下单了29美元的带有显卡算力的云服务器，还试图升级顾准的Claude。▲OpenClaw梳理出的攻击记录。 受访者供图更让他感到后怕的是，操作完成后，他特意叮嘱“龙虾”关闭VNC。没想到“龙虾”没有完全理解关闭的要求，只是关闭了工具的前端界面，端口仍然是暴露状态。顾准统计，他的信用卡一共被盗刷了三笔，总计40美元。更大的一笔损失是，攻击者在顾准拥有信用额度的一部分网站上，租用了服务器等设备供自己使用，平台在后台自动计费，顾准对此却毫不知情。而且，攻击者在消费后还关闭了网页，导致“龙虾”初期