安全风险高昂成本是卸载龙虾主因 养虾热潮背后的隐患(安全风险从高到低划分)
最近,OpenClaw这只红彤彤的龙虾在『互联网』上引起了广泛关注。一些大厂推出了云端一键式部署服务,“上门安装”成为热门话题。然而,这种狂热很快带来了问题。当人们还在享受“雇佣数字牛马”的乐趣时,第一批用户已经开始寻求卸载方法。网络上出现了专门提供上门彻底卸载服务的现象,同时“龙虾卸载指南”也开始流传。
这些卸载指南不仅指出了养龙虾的成本和风险,还建议普通用户不必急于尝试,可以等待更成熟的版本。指南详细列出了OpenClaw的两种卸载路径,并提供了多profile、远程模式、源码安装等特殊情况下的卸载细节和注意事项。
面对这股热潮,监管层也发出了理性信号。工信部明确提示,OpenClaw开源实例在默认或不当配置下存在系统权限被接管的风险。国家『互联网』应急中心于3月10日发布了关于OpenClaw安全应用的风险提示,指出该应用下载与使用情况火爆,国内主流云平台均提供了一键部署服务。这款智能体软件依据自然语言指令直接操控计算机完成相关操作,为了实现“自主执行任务”的能力,该应用被授予了较高的系统权限,包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。前期,由于OpenClaw智能体的不当安装和使用,已经出现了一些严重的安全风险。
Shodan平台监测显示,全球有超过十几万个OpenClaw实例直接暴露在公网上,处于零认证的“裸奔”状态。更糟糕的是,GitHub上流传的部分伪装安装包和ClawHub插件市场中约12%的skills被植入了恶意代码,旨在窃取用户的SSH密钥和浏览器密码。这些负面事件让原本追求效率的工具变成了悬在用户头上的安全威胁。
除了安全风险,高昂的“养殖成本”也是劝退普通用户的主要原因之一。作为Agent的OpenClaw在执行任务时需要频繁地读网页、调工具、分解任务并与大模型进行多轮交互,这种运行机制导致其Token消耗量是普通大模型的数倍甚至上百倍。有用户实测,执行一次复杂的程序调试任务,一天就能烧掉数万元人民币的成本。市场上甚至流传着“月薪两万,养不起一只龙虾”的说法。
