慢霧資安長示警:別盲目追逐 OpenClaw,基礎不足恐讓小龍蝦成資安重災區
慢霧科技資安長 23pds 警告:缺乏技術基礎的團隊盲目部署 OpenClaw 毫無意義,只是在製造新的漏洞。
(前情提要:第一批 OpenClaw 受害者出現了!安裝小龍蝦前必須瞭解的 4 個安全底線 )
(背景補充:OpenClaw 爆火之後:一隻開源小龍蝦,撬動了哪些美股?)
最近 AI Agent(人工智慧代理)的開源項目 OpenClaw 被許多人視為「自動化金礦」。然而,慢霧科技資安長 23pds 於今(11)早發出警告:若不具備技術基礎,只想蹭熱度跟風部署,收穫的可能不是財富,而是暴露在極高風險下的災難。
OpenClaw 是一种筛选器,具备算力与安全能力的企业,会把它变成生产力. 而缺乏技术基础的团队,只会把它变成新的风险。想浑水摸鱼的企业、蹭热度的个人,应先审视自己的真实需求。如果原本业务体系和安全能力都一塌糊涂,就不必盲目跟风。
真正的机会,永远属于懂行者而不是投机者。— 23pds (山哥) (@im23pds) March 11, 2026
OpenClaw 是雙面刃:機會與漏洞並存
23pds 在 X 平台發文指出,OpenClaw 對於具備安全能力的公司而言,確實能轉化為生產力工具。但對於系統基礎「一塌糊塗」的團隊,盲目跟風毫無意義,只是在製造新的漏洞。
同時他提到,從技術門檻來看,運行 7B-14B 模型至少需配備 NVIDIA RTX 3060/4060 以上顯卡(顯存 ≥ 8GB),記憶體建議 32GB 以上。若選擇雲端 API(如 Claude),每月 Token 費用可能高達數十至數百美元。
這些成本對於缺乏技術評估能力的投機者而言,往往被低估。
三大資安威脅:從惡意安裝包到 AI 幻覺
目前 OpenClaw 常被點出有以下三大安全威脅:
首先是惡意安裝包入侵。目前已發現不少偽裝成「openclawai」的惡意 npm 包,專門竊取加密錢包私鑰與 Apple Keychain 中的敏感資訊。市面上流通的「U盤版」也可能夾帶惡意 Skills,一旦安裝即授予駭客高權限存取系統底層的能力。
其次是搜尋結果投毒。駭客針對 Bing 等搜尋引擎進行 SEO 投毒,讓想下載 OpenClaw 的用戶誤入偽造網站,進而下載含有後門的程式。
第三是AI 幻覺風險。曾有案例顯示,AI Agent 因幻覺產生虛假的倉庫 ID,導致開發過程中出現「部署偏移」,讓整個專案偏離預期軌道。
OpenClaw 的崛起標誌著 AI 代理時代的進步,但技術熱度不應掩蓋基本的資安常識。守住私鑰與系統權限,比跟風任何開源項目都來得重要,畢竟看不懂的代碼,就是資產最大的威脅。
相關文章