全網“養龍蝦”，你還需要知道這些

你“養龍蝦”了嗎？最近，OpenClaw成全網熱點。這款以紅色龍蝦爲圖標的開源AI智能體，構建了具備持久記憶、主動執行能力的定製化AI助手，讓AI“養龍蝦”大火。全國人大代表、中國工程院院士高文介紹，當前OpenClaw等智能體工具的湧現極大降低了創業門檻，但也需注意防範潛在的網絡安全風險：“如涉及銀行支付等信息，要小心一點，有風險意識。”提供此類服務的互聯網平臺企業需壓實主體責任，履行安全風險評估等義務。

近期，工業和信息化部網絡安全威脅和漏洞信息共享平臺監測發現OpenClaw開源AI智能體部分實例在默認或不當配置情況下存在較高安全風險，極易引發網絡攻擊、信息泄露等安全問題。

OpenClaw（曾用名 Clawdbot、Moltbot）是一款開源AI智能體，其通過整合多渠道通信能力與大語言模型，構建具備持久記憶、主動執行能力的定製化AI助手，可在本地私有化部署。由於OpenClaw在部署時“信任邊界模糊”，且具備自身持續運行、自主決策、調用系統和外部資源等特性，在缺乏有效權限控制、審計機制和安全加固的情況下，可能因指令誘導、配置缺陷或被惡意接管，執行越權操作，造成信息泄露、系統受控等一系列安全風險。

建議相關單位和用戶在部署和應用OpenClaw時，充分覈查公網暴露情況、權限配置及憑證管理情況，關閉不必要的公網訪問，完善身份認證、訪問控制、數據加密和安全審計等安全機制，並持續關注官方安全公告和加固建議，防範潛在網絡安全風險。

怎麼養“龍蝦”更安全？

第一，不要在裝有重要文件的工作機上安裝和使用。用Docker（用於構建、發佈及運行應用程序的開源項目）、虛擬機，或者一臺閒置的電腦（使用大廠提供的雲端版本更方便，也可以避免影響本地系統，但隱私和功能方面稍遜）。

第二，安裝好“龍蝦”後，先更改端口號，設置只允許本地電腦訪問Web界面，不要暴露到公網。再從官方渠道安裝用於審覈技能是否包含惡意信息的技能（例如skill-vetter等）用來參考。

第三，儘量縮減權限，特別是和財務、本地文件、運行命令或程序相關的權限。要執行這些任務時，一定要手工確認。

第四，設定token（令牌/詞元）上限並監控API（應用程序編程接口）用量，也可以考慮使用包月套餐。因爲“龍蝦”在執行某些複雜或自動化任務時可能消耗大量 token，如果沒有合理設置額度，可能帶來不小的經濟損失。

第五，不要指望它能代替你完成所有工作。