近期，OpenClaw官网用于插件下载的论坛里被检测出336个恶意插件，占比达10.8%。专家建议，个人或企业用户不要在涉密设备上运行OpenClaw，还要做好安全防护等严格管控措施。

“龙虾”不设防

　　有问必答泄露隐私

　　目前最火的开源AI智能体——OpenClaw，因其图标是红色的龙虾，使用OpenClaw也被称为“养龙虾”。自发布以来，OpenClaw凭借其强大的自动化任务处理能力与开放式插件生态，在全球范围内引发部署热潮。与此同时，“养龙虾”暗藏的隐私泄露风险也引发广泛关注。

网络专家：指令注入

　　操控“龙虾”泄露信息

　　为什么一款开放AI智能体能够如此不设防？对方是如何一步步攻破防线，拿到他人隐私的？行业专家与网络安全工程师通过实测，还原了AI被恶意诱导泄露核心配置等敏感信息的全过程。

　　中国互联网协会数据安全与治理工作委员会专家常力元：AI很容易受误导，黑客不需要编写复杂的病毒代码，就可以通过发送一些诱导性的言语，或者在AI访问的页面里嵌入文字，从而催眠、控制“龙虾”，让“龙虾”主动泄露自己主人的信息，或者攻击自己的电脑，这个也被称为指令注入。

恶意插件风险凸显

　　藏信息窃取隐患

　　除了指令注入，恶意插件也是一大风险。近期，OpenClaw官网用于插件下载的论坛里被检测出336个恶意插件，占比达10.8%。如果“龙虾”不小心安装了这些插件，那么网友安装的不是帮手，而是偷取你信息的小偷。

　　中国计算机学会计算机安全专委会委员王媛媛：插件实际上是“龙虾”的一个独立功能模块，很像手机上的小程序，当执行一些比较复杂的指令操作，可以通过安装插件让“龙虾”正常运行，比如想让“龙虾”写一个PPT，就需要给“龙虾”装一个可以生成PPT的插件。恶意插件，实际上是在一些看起来很正常的代码里植入了恶意代码，最终目的是窃取数据，或者控制你的电脑。

　　专家建议，安装“龙虾”插件时，还是要选择下载量大，有安全证书的插件。

专家支招正确“养龙虾”

　　如何做好安全防护

　　随着OpenClaw这类AI智能体越来越普及，如何安全、规范地使用，成为个人和企业都要面对的问题。专家建议，个人或企业用户不要在涉密设备上运行OpenClaw，还要做好安全防护等严格管控措施。

　　中国计算机学会计算机安全专委会委员王媛媛：第一，个人使用“龙虾”，要尽量保证安装的“龙虾”版本及时更新，因为有很多漏洞存在的时候，它会有很多安全隐患，所以要尽可能地保持使用最新的安装版本。

　　第二，对企业来说，在使用“龙虾”的时候，要使用一些安全防护手段来进行控制，比如说阻止一些邮件的发送，阻止一些外网的访问等。

　　专家表示，随着AI智能体使用门槛不断降低，普通网民在使用OpenClaw时，应更加关注它的安全性。专家进一步强调，不能忽视权限管控的重要性，不能赋予AI工具过度的系统权限。

　　来源：央视财经