AI龙虾OpenClaw爆火，工信部发布高危风险预警，它存在哪些安全风险？

“龙虾”——OpenClaw在今年的科技圈爆火，它因为红色龙虾图标而得名，是第一款开源AI智能体平台。它并非新一代超级大模型，却做到了此前AI产品几乎未能实现的事：打破聊天框的边界，直接接管你的电脑。用户只需像给同事发消息一样下达指令，它就能在本地自主执行文件管理、邮件收发、数据处理等一系列复杂任务。但是热潮下，一些高危预警也迅速出现。

工信部连续发声：OpenClaw存在安全隐患！

工业和信息化部网络安全威胁和漏洞信息共享平台监测发现，OpenClaw在默认配置或不规范部署情况下存在较高安全风险。随后，国家互联网应急中心和国家网络与信息安全信息通报中心相继跟进。工信部网络安全平台还组织智能体提供商、漏洞收集平台、网络安全企业等多方，联合发布了“六要六不要”防范建议。短短数日内，从工信部到高校，十余家机构密集发声，其响应规模在AI产品领域前所未有。

这背后的原因是什么？清华大学教授沈阳一语中的：要让OpenClaw充分发挥作用，就要给它充分授权，而授权越高，发生网络安全问题的概率就越大。这是一个结构性的两难困境，也是理解OpenClaw所有安全风险的起点。

OpenClaw究竟存在哪些安全风险？

1、权限失控：安全词失效，邮件被批量删除

OpenClaw 最令人不安的风险，不是来自外部的攻击，而是来自它自己。

2026年2月，Meta超级智能团队研究员Summer Yue在社交媒体上分享了一段亲身经历：她让OpenClaw管理邮箱，明确嘱咐“不确认不执行”，结果AI仍在上下文压缩过程中直接丢弃了安全指令，一口气删除了200多封邮件，连终止指令也不听从，最终只能通过拔掉网线才让其停下。这正是产品设计层面的典型缺陷：上下文压缩机制未对安全指令进行优先级保护，高危操作缺乏强制人工确认环节，甚至终止指令的响应模块也并未真正实现。智能体“自主决策”的能力越强，一旦理解出现偏差，造成的损失就越难挽回。

2、提示词注入：恶意指令让AI“反水”

攻击者可以通过构造恶意指令，诱使AI忽略安全规则、泄露私密信息或执行高危操作，例如诱导AI输出私密文件内容。这类“提示词注入”攻击对部分小模型和旧版模型威胁尤为严重，因为这些模型对指令边界的识别能力较弱。

3、“ClawJacked”远程控制漏洞：访问一个网页，电脑就被接管

“ClawJacked”漏洞允许攻击者仅通过诱导用户访问恶意网页，就能远程控制其本地运行的AI Agent，无需安装额外软件即可实现对系统的完全操控。此外，CVE-2026-25157漏洞表明，OpenClaw的SSH节点存在系统命令注入问题，在远程SSH场景下攻击者可直接获取主机控制权。

4、Skills供应链投毒：自我进化可能变为自我毁灭

OpenClaw支持从SkillHub自动下载和安装技能包，这一自我进化特性极具吸引力，却也暗藏巨大风险。一旦软件供应链遭到DNS劫持或黑客投毒，所下载的恶意Skills便可能导致主机被完全控制。受访安全专家指出，风险主要集中在权限失控与“越狱”、Skill供应链安全、公网暴露与远程入侵、数据隐私泄露等方面。开源社区的技能包质量参差不齐，缺乏统一规范与评测体系，企业级环境对此几乎毫无抵御能力。

5、隐私“裸奔”：AI看见你屏幕上的一切

OpenClaw等智能体通常依赖高频屏幕截图和系统底层接口调用来工作，这意味着它能“看见”用户屏幕上的一切行为轨迹。一旦安全防线被突破，用户的动态行为、敏感信息等所有隐私数据都将彻底曝光。对于涉及客户数据、财务信息的企业用户而言，这一风险尤为致命。

6、企业场景的额外挑战

除上述风险外，企业在部署OpenClaw时还面临一些特有短板：严重依赖互联网资源，在内网或断网环境下容易“失灵”；对无API接口的老旧C/S架构系统束手无策，而这类系统在金融、政务等领域极为普遍；重度使用时日均消耗Token可能高达数千万甚至上亿，算力成本高昂；此外，大模型在处理严谨的财务、税务数据时一旦产生“幻觉”，后果将难以承受。

企业想“养龙虾”，出路在哪里？

面对OpenClaw带来的想象空间，许多企业跃跃欲试，但如何在享受其能力的同时管控风险？这正是摆在CIO和技术团队面前最现实的问题。

在近日珠海举办的“龙虾”养殖技术沙龙上，金智维AI产品总监李佳蓉给出了清晰判断：OpenClaw备受个人用户追捧，却始终难以在企业内部规模化落地，核心原因在于其“信任边界模糊”，不符合企业内部控制与审计要求。她提出，企业需要的不仅是“能做”，更是“能做稳”“能做准”“能做久”。

业内共识正在形成：相比存在安全风险的原生OpenClaw，通过云化部署、沙箱隔离、权限管控、协议化接口、Skills安全升级等工程化措施，才能将这一“前沿但危险的原型技术”转化为安全、可控、可持续的商业服务。

基于这一方向，金智维推出了两款直击企业“养龙虾”痛点的解决方案：

K-APA智能流程自动化平台，作为业界首个APA工具平台及全栈工具集，支持通过大模型统一调度RPA、BrowserUse、ComputerUse、MCP及自定义技能等多种工具。在安全架构上，K-APA引入等保2.0三级标准，具备完整的身份认证、访问控制与全流程审计日志，当AI尝试执行高危操作时会自动触发熔断与二次确认机制；支持企业搭建私有Skills市场，所有技能包需经内部安全审计和签名后方可使用，从根源上杜绝供应链投毒；同时，依托多年RPA技术积累，K-APA无论是面对无API接口的老旧C/S架构系统还是手机APP，均可模拟人类员工操作路径实现跨架构兼容，解决了OpenClaw在企业内网环境下“水土不服”的核心难题。

Ki-AgentS企业级智能体平台则推出了OpenClaw集成特别版，将OpenClaw的主动执行能力完整纳入Ki-AgentS的企业级护栏体系——权限与身份边界控制、执行沙箱隔离、全链路审计记录、数据访问校验机制，一应俱全。所有任务调用必须通过权限验证，所有执行过程均可实时监控并支持人工干预，所有结果均可溯源至原始数据。这种“受监督智能体（Supervised Agent）”架构，使得OpenClaw的执行能力能够在企业规则边界内稳定运行，而非成为失控的自动化黑盒。

个人助手追求“快、全、爽”，企业智能体则必须同时满足“准、稳、可审计、可追责、可隔离”——这两套标准之间的鸿沟，正是金智维这类深耕企业级场景十余年的服务商的价值所在。目前，金智维已服务包括国有六大行在内的240余家银行客户，以及在证券市场占有率超过90%的130余家证券公司。这些金融机构对系统稳定性和数据安全的极致要求，早已深深烙印在金智维的产品能力之中。

OpenClaw的爆火是一个里程碑，它让数以百万计的普通人第一次直观感受到AI智能体自主执行任务的冲击力。但工信部连续预警所传递的信号同样清晰：智能体从“动口”走向“动手”，意味着其行为后果也从“说错了重来”转变为“做错了难收”。必须同步构建与之匹配的安全框架、法律规范和伦理准则，将技术红利引导到可持续、可信赖的发展轨道上。

技术狂欢之后，真正能留下来的，是那些在安全与能力之间找到平衡点的方案。对于企业而言，选择一条经过验证、治理成熟的企业级智能体落地路径，才是让AI真正创造价值而非制造风险的正确答案。毕竟，AI数字员工能否“融入”核心业务，从来不只是看它有多能干，更在于它是否足够可控、足够可信。