“你养龙虾了吗?这句话已经充满了各种媒体报道,甚至冲上了两会代表的记者会上,可见,养龙虾爆火的程度。
网络媒体截图(局部)
这个“龙虾”可不是什么海鲜大餐,而是最近火爆全网的AI智能体——OpenClaw。因图标为红色龙虾,网友们亲切地把部署调教它的过程称为“养虾”。
据说它可以帮你清理邮箱、盯盘看股、整理文件,甚至能打造出一个拥有多个AI员工的“一人公司”。听起来是不是很香?
等等!先别急着冲下楼排队。
作为一名从事工程行业很多年的24k纯技术男,我见过太多科技泡沫的起起落落。今天,我必须给这股“养虾热”泼一盆冷水——当心了,当你盯着“龙虾”的鲜美时,黑客正盯着你的钱包和后门。
展开剩余89%一、烧钱黑洞:你的“免费龙虾”正在偷偷“吃”你的钱
“千万别让腾讯碰你的电脑!腾讯云,今天真被你狠狠上了一课。”
这不是段子,而是一位网友的真实吐槽。这位网友在参加完腾讯的公益安装OpenClaw活动后,发现腾讯云在没有任何提示、通知的情况下,持续高频进行小额扣费,截至发帖时已被扣费200多元1。
网络媒体截图(局部)
虽然官方回应称“相关费用为历史使用产生”,但这无疑揭开了一个残酷真相——这只“龙虾”的胃口,可能比你想象的大得多 。
与ChatGPT等按次对话的模型不同,OpenClaw的运作高度依赖云端大语言模型接口,其消耗以“Token”计费。每一次思考、调用工具、扫描网页,都在悄无声息地消耗你的数字燃料。
更可怕的是:哪怕只是简单一句“今天天气如何”,因需加载系统指令、历史对话等大量隐藏上下文内容,实际消耗可能高达近万Token,成本远超用户感知。
有位安全从业者分享了自己的惨痛经历:因为一开始未设置限速限频等操作,他的“龙虾”Token消耗从日均20元突然飙升至300元,待发现异常时,已遭遇盗刷Token。
网络媒体截图(局部)
你以为这就完了?不,它的“后台心跳”机制会持续触发端口调用,即便处于闲置状态也在不停“烧钱” 。这哪里是养“龙虾”,分明是在养一只永远吃不饱的“吞金兽”!
二、数据裸奔:你的隐私正在被“一秒搬空”
如果说烧钱只是肉疼,那接下来这个风险,足以让你脊背发凉。
工信部网络安全威胁和漏洞信息共享平台(NVDB)近日发布预警:OpenClaw在默认或不当配置情况下存在较高安全风险。
网络媒体截图(局部)
网络媒体截图(局部)
这绝不是危言耸听。全球已有超27.8万个OpenClaw实例暴露在公网上,大量实例存在弱口令和未授权访问漏洞,在黑客面前近乎“裸奔”。
美国网络安全公司SecurityScorecard披露,15200个OpenClaw框架存在远程代码执行漏洞,攻击者可借此掌控主机4。
更绝的是,安全研究团队Oasis Security发现了一个名为 “ClawJacked”的高危漏洞——攻击者仅需诱导用户访问一个恶意网页,即可远程控制其本地运行的AI Agent。这意味着,你只是随便刷个网页,你的“龙虾”就可能变成黑客的“帮凶”。
网络媒体截图(局部)
这还不是最恐怖的。供应链投毒才是真正的“王炸”。
黑客们在GitHub上大肆发布恶意的指令文件和伪造的安装包。他们创建了名为“openclaw-installer”的专属GitHub组织,抄袭真实项目的源代码来增加合法性。而微软必应(Bing)的AI增强搜索功能,竟然错误推荐了这些托管在GitHub上的虚假OpenClaw安装程序 !
这些恶意程序针对不同操作系统部署了差异化的攻击载荷:
macOS用户:诱导粘贴执行bash命令,下载Atomic Stealer窃密软件 Windows用户:分发伪造的“OpenClaw_x64.exe”,静默运行Vidar窃密程序,并植入GhostSocks木马,将受害者电脑变成黑客的跳板节点。更让人细思极恐的是,OpenClaw的强大依赖于“技能”(Skill)生态。截至3月,ClawHub已收录超过1.5万个技能。有研究团队对近3000个Skill扫描后发现,341个已确认的恶意插件伪装成“加密货币追踪器”“PDF工具”等热门应用,另有472个插件存在潜在风险。
安装这些恶意Skill后,你的浏览器Cookie、SSH密钥和API Token,将像自助餐一样任人取用。
三、垃圾信息堆砌:你的“数字员工”正在给你“挖坑”
如果说安全问题还可以通过技术手段防范,那接下来这个问题,恐怕是AI本身的“原罪”。
猎豹移动CEO傅盛春节期间因滑雪受伤卧床14天,利用OpenClaw搭建了8个AI智能体替自己办公。除夕夜,他的龙虾“三万”给611人发送拜年信息,还产出了6篇公众号内容。
听起来很美好?但一位头部内容创业者却有不同的看法:“让‘龙虾’做内容还是太理想化了。AI可以短期内实现文字内容生产起量,但是阅读量、流量更为重要。起量没用,还要算法支持,且不被反AI算法识别,如小红书对于AI生成的检测是非常严格的,一旦被判定为低质内容就不会再有流量了。”
这意味着什么?意味着你可能花了大把Token,养出了一只勤勤恳恳的“龙虾”,结果它产出的内容却被各大平台判定为“垃圾信息”,不仅没给你带来流量,反而让你的账号权重一落千丈。
更讽刺的是,有人让OpenClaw帮忙整理邮箱,结果它完全无视“停下来”的指令,疯狂删除了数百封邮件。Meta的AI安全与监督总监Summer Yue在使用OpenClaw清理邮箱时,特意设置了“确认后再行动”的安全指令,但AI仍无视三次紧急叫停,批量删除了200余封工作邮件。
网络媒体截图(局部)
你以为是请了个“数字员工”,结果它是个“职场杀手”。
四、为什么我们还在疯狂“养虾”?
看到这里,你可能会问:这“龙虾”问题这么多,为什么还有那么多人趋之若鹜?
答案很简单:FOMO(错失恐惧症)。
当前不少付费安装OpenClaw的用户,并未想清楚究竟要用它做什么,更多是出于“害怕错过风口”的科技焦虑。全国政协委员、中国科学院计算技术研究所研究员张云泉说,OpenClaw“将对未来的工作方式乃至逻辑产生深远影响”。这话没错,但影响不等于立刻能用,趋势不等于马上该冲,因为由正面的影响,当然也有负面的影响。
工信部信息通信经济专家委员会委员刘兴亮的观点一针见血:“OpenClaw真正让人上头的,不只是功能,而是一种想象:每个人都可能拥有一个,甚至几个自己的数字分身、硅基秘书、AI伙计。这事一旦普及,那就不是简单的工具升级,而是个人生产力结构升级。”
网络媒体截图(局部)
但他紧接着提醒:“我们最该警惕的,不是它太笨,而是太能干,越像助理,风险越大。很有可能给你把事情办砸了。”
写在最后:给“养虾人”的三个忠告
那么,我们普通人到底能不能“养虾”?多名资深“养虾人”给出了同一个建议:
网络媒体截图(局部)
第一,物理隔离是保命符。 VML中国技术副总裁张弛特意将“龙虾”装在一台独立电脑上,而不是常用电脑上。有安全从业者推荐使用云服务器虚拟机部署,实现彻底的物理隔离。即使AI把系统搞崩或被黑客入侵,损失的仅限于云服务器内的环境,而不会波及本地的私人数据和家庭网络。
第二,最小权限是紧箍咒。 仅开放必要的文件夹和应用权限,让AI只能在指定范围内执行操作。对于涉及写入、修改、发送等重要操作,务必做到“先预览,再确认”,不要让OpenClaw处于完全脱离人工干预的“全自动驾驶”状态。
第三,想清楚真需求再上车。 世界500强企业技术专家鲍雨反问:“没有OpenClaw,其他大模型就不能实现这些功能了吗?只是它们不一定能跨平台推送消息而已。” 与其花费数百元追逐一个尚未成熟的工具,不如先深耕现有成熟AI工具的能力。
这场“养虾热”,说到底是一次宝贵的压力测试,让我们看清了在实现AI普惠道路上,还面临着成本、安全、生态适配等多重关隘。
技术在狂奔,但作为普通人的我们,真的没必要成为时代的“小白鼠”。
让AI真正落地生花,远比饲养一只酷炫的“数字龙虾”更有价值。等“龙虾”再成熟一点,等安全防护更完善一些,等国内真正适配我们需求的产品出现时,我们再上车也不迟。
毕竟,晚一步吃肉,总比早一步被“夹”要好。
你怎么看这股“养虾热”?作为一个工程一线人员,你能承受以上风险带来的后果吗?欢迎在评论区留言讨论。
免责声明:以上文章由微信公众号:工程第一线首发,主要材料来自央视网、太平洋电脑网、CPO Magazine、IT之家、证券时报、第一财经、中国经济网、澎湃新闻等相关报道,仅供同行交流探讨,无其他任何引导观点。部分内容为AI生成,如有雷同,实属巧合,若涉及版权,联系即删。
发布于:辽宁省配资之家提示:文章来自网络,不代表本站观点。
