第一批养虾人已经失眠了：不知道它会偷偷删掉什么

短短一个月内，“OpenClaw”迅速跃升为国内科技圈的热门话题。这款开源AI智能体因图标形似龙虾，被开发者亲切称为“龙虾”；而其训练与部署过程，则被形象地戏称为“养虾”。

随着“养虾”热潮持续升温，用户群体呈现出鲜明的两极分化：一方面，市场热度空前高涨——近千人曾自发在腾讯大厦楼下排队，只为免费安装“龙虾”；二手交易平台上，“代装龙虾”服务更是一度日入过万，供不应求。另一方面，用户焦虑情绪日益蔓延。不少使用者反馈，安装OpenClaw后反而出现严重失眠，根源在于该智能体具备高度自主性，引发对后台行为失控的深切担忧：它是否正在悄悄删除或篡改关键文件？个人电脑是否正暴露于不可控的隐私泄露风险之中？

究其技术成因，OpenClaw的大量代码源自所谓“氛围编程”——即由人类仅作需求描述，再交由AI自动生成实现代码。这种开发模式虽显著提升了迭代效率，却也埋下隐患：代码冗余严重、逻辑耦合松散、安全边界模糊。尽管其代码库规模已达数十万行，但真正承载核心功能的逻辑占比极低。这种“臃肿架构”不仅拖累系统运行效率，更可能隐匿难以识别的后门与漏洞。

正因如此，工业和信息化部（工信部）已正式发布安全预警。据工信部网络安全威胁和漏洞信息共享平台监测发现：OpenClaw在默认配置或配置不当的情况下，存在较高安全风险，极易成为网络攻击入口，诱发大规模信息泄露事件。

进一步分析表明，该智能体的信任边界定义不清，且具备长期驻留运行、自主调用外部资源等能力。若缺乏严格、细粒度的权限管控机制，极易遭受指令诱导、上下文劫持或恶意接管，进而执行越权操作，如窃取敏感数据、横向渗透内网、甚至远程控制终端设备。

为此，工信部明确提醒：相关单位及个人在部署OpenClaw前，务必全面核查公网暴露面与凭据管理状况；部署后，须立即关闭非必要公网访问端口，同步强化身份认证、最小权限访问控制、敏感数据加密存储与传输等基础安全机制，切实防范系统被远程操控的风险。

开源与开放，是AI创新的重要引擎；但安全，永远是不可逾越的底线。开发者应秉持“安全左移”理念，在设计与编码阶段即嵌入安全考量；用户亦需提升风险意识，不盲目追求功能新奇，而要主动关注官方安全公告，及时完成版本升级与配置加固。唯有在技术红利与安全防线之间取得平衡，我们才能真正守护好数字世界中的每一寸隐私与信任。