2026年初，開源AI項目OpenClaw(俗稱“AI龍蝦”)在GitHub平臺迅速升溫，僅用時一天即收獲超過9000次星標(biāo)，兩周內(nèi)便達(dá)到17萬的熱度。其標(biāo)志性的小龍蝦圖標(biāo)一時間成為科技社群討論焦點，吸引大量開發(fā)者和普通用戶跟進(jìn)部署。

　　然而，伴隨OpenClaw的快速走紅，大規(guī)模暴露的安全問題也接踵而至。為了讓這個智能體實現(xiàn)全天候在線運行，不少用戶直接選擇在云服務(wù)器上進(jìn)行部署，但由于多數(shù)人不具備相應(yīng)安全基礎(chǔ)，項目配置中普遍留下了嚴(yán)重隱患。

　　主要風(fēng)險集中在一處——OpenClaw在默認(rèn)狀態(tài)下會通過18789端口來提供控制功能。許多部署方?jīng)]有設(shè)置足夠的身份驗證，更沒有進(jìn)行訪問限制，這使得該接口暴露于公網(wǎng)，很容易被網(wǎng)絡(luò)掃描工具探測并侵入。據(jù)當(dāng)前統(tǒng)計，已經(jīng)掃描到的未受保護(hù)的“龍蝦”實例高達(dá)27萬以上。

　　一旦攻擊方連入這個接口，便能直接獲得具備最高系統(tǒng)權(quán)限的AI代理操控權(quán)。原本用來提高效率的人工智能工具，轉(zhuǎn)眼會淪為他人控制服務(wù)器或主機的前站。面對這種局面，OpenClaw核心維護(hù)人員Shadow在公開表態(tài)中警告說，若連基本命令行操作都不了解，則該項目對使用者來說風(fēng)險過高，盲目部署并缺乏安全保障就如“將家門鑰匙直接掛在街上”。

　　安全專家也隨之警示，OpenClaw模糊的信任邊界及其本身持續(xù)運行、自主調(diào)配系統(tǒng)資源的能力構(gòu)成了巨大隱患。在缺失嚴(yán)格的權(quán)限審核流程條件下，程序易受誘導(dǎo)指令或惡意入侵影響。由此產(chǎn)生的高權(quán)限濫用行為，不僅可能導(dǎo)致個人敏感數(shù)據(jù)外泄，更可能令整個系統(tǒng)被他人控制。

　　用戶利用這一技術(shù)的便利與紅利之際，應(yīng)對其部署狀態(tài)展開仔細(xì)檢查：確認(rèn)是否存在不必要外放端口、完善身份核實及加密防護(hù)機制，以此守住底線安全防線。畢竟，一次不經(jīng)意的配置失誤，完全可能引發(fā)一場全盤失控的危機。