慢霧資安長示警:別盲目追逐 OpenClaw,基礎不足恐讓小龍蝦成資安重災區
慢雾科技资安长 23pds 警告:缺乏技术基础的团队盲目部署 OpenClaw 毫无意义,只是在制造新的漏洞。
(前情提要:第一批 OpenClaw 受害者出现了!安装小龙虾前必须了解的 4 个安全底线)
(背景补充:OpenClaw 爆火之后:一只开源小龙虾,撬动了哪些美股?)
最近 AI Agent(人工智能代理)的开源项目 OpenClaw 被许多人视为“自动化金矿”。然而,慢雾科技资安长 23pds 于今(11)早发出警告:若不具备技术基础,只想蹭热度跟风部署,收获的可能不是财富,而是暴露在极高风险下的灾难。
OpenClaw 是一种筛选器,具备算力与安全能力的企业,会把它变成生产力。而缺乏技术基础的团队,只会把它变成新的风险。想浑水摸鱼的企业、蹭热度的个人,应先审视自己的真实需求。如果原本业务体系和安全能力都一塌糊涂,就不必盲目跟风。
真正的机会,永远属于懂行者而不是投机者。— 23pds (山哥) (@im23pds) 2026年3月11日
OpenClaw 是双面刃:机会与漏洞并存
23pds 在 X 平台发文指出,OpenClaw 对于具备安全能力的公司而言,确实能转化为生产力工具。但对于系统基础“烂透了”的团队,盲目跟风毫无意义,只是在制造新的漏洞。
同时他提到,从技术门槛来看,运行 7B-14B 模型至少需配备 NVIDIA RTX 3060/4060 以上显卡(显存 ≥ 8GB),内存建议 32GB 以上。若选择云端 API(如 Claude),每月 Token 费用可能高达数十至数百美元。
这些成本对于缺乏技术评估能力的投机者而言,往往被低估。
三大资安威胁:从恶意安装包到 AI 幻觉
目前 OpenClaw 常被指出有以下三大安全威胁:
首先是恶意安装包入侵。目前已发现不少伪装成“openclawai”的恶意 npm 包,专门窃取加密钱包私钥与 Apple Keychain 中的敏感信息。市面上流通的“U盘版”也可能夹带恶意技能,一旦安装即授予黑客高权限访问系统底层的能力。
其次是搜索结果投毒。黑客针对 Bing 等搜索引擎进行 SEO 投毒,让想下载 OpenClaw 的用户误入伪造网站,进而下载含有后门的程序。
第三是AI 幻觉风险。曾有案例显示,AI Agent 因幻觉产生虚假的仓库 ID,导致开发过程中出现“部署偏移”,让整个项目偏离预期轨道。
OpenClaw 的崛起标志着 AI 代理时代的进步,但技术热度不应掩盖基本的资安常识。守住私钥与系统权限,比跟风任何开源项目都来得重要,毕竟看不懂的代码,就是资产最大的威胁。
相关文章