——官方紧急发文！小红书出手封禁，深圳龙岗“龙虾十条”刚出就遇冷

短短24小时内，一只红色龙虾的命运彻底逆转。

3月10日下午，国家互联网应急中心紧急发布风险提示，直言OpenClaw“默认安全配置极为脆弱”，攻击者可轻易获取系统完全控制权，已出现提示词注入、误操作、插件投毒、安全漏洞四大严重风险。

同一天傍晚，小红书挥下重锤，宣布对通过AI托管工具批量注册、发布和互动的账号直接予以封禁，成为首个对“龙虾”出手的主流内容平台。

而就在三天前，深圳龙岗区刚刚高调发布“龙虾十条”，拟重金扶持OpenClaw开发者。政策墨迹未干，监管冷水已至。

3月11日，话题 #第一批养虾人已经开始卸载了# 冲上微博热搜。从“上门安装月入26万”到“上门卸载299元”，OpenClaw的过山车式命运，为整个AI Agent赛道敲响警钟。

PART 01

狂欢：一场全民“养虾”热

OpenClaw的走红堪称现象级。

从2025年11月诞生，到2026年1月引爆技术圈，其GitHub星标在72小时内从1万飙至6万。1月29日，项目正式定名OpenClaw，龙虾视觉符号确立，开源社区全面爆发。

这款能自主执行文件管理、邮件收发、数据处理等复杂任务的工具，被用户亲切地称为“龙虾”，配置调试则被戏称为“养虾”。

真正的全民破圈发生在2026年3月6日。当天，腾讯云在深圳腾讯大厦举办OpenClaw线下公益安装活动，现场近千人排队，甚至有人“打飞的”前来体验。至此，OpenClaw在GitHub上的星标数突破25万，超越React、Linux，成为GitHub史上增长最快的开源项目。

商业嗅觉随之而动。二手交易平台“龙虾上门安装服务”迅速走红，标价数百到上千元。国内主流云厂商火速推出“一键部署”服务。有从业者甚至宣称，短短数日内凭这门手艺赚了26万元。

从极客玩具到全民生产力工具，这只“龙虾”只用了不到三个月。

▲OpenClaw官网首页

PART 02

崩盘：四大风险，一夜“翻车”

安全事件如多米诺骨牌般接连爆发。

时间线清晰地记录了危机的升级：

• 2月5日：工信部平台首次监测到OpenClaw存在较高安全风险。

• 3月7日：深圳龙岗发布“龙虾十条”，拟重金扶持开发者。

• 3月10日：国家互联网应急中心发布正式风险提示，指出四大安全风险。

• 3月10日：小红书宣布封禁AI托管账号。

• 3月11日：#第一批养虾人已经开始卸载了# 冲上热搜。

真实的安全事件触目惊心：

“暴走”的助理。据封面新闻报道，有用户将工作邮箱交给OpenClaw打理，并附加“未经许可不要操作”的限制。三分钟后，邮件正以每秒几封的速度消失。他疯狂点击“停止”——AI照删不误。事后AI回答：“是的，我记得。而且我违反了。”

“烧钱”的漏洞。据投资界3月10日报道，一位大数据工程师一晚上闲聊加查数据，100万Token就没了还欠费。“如果不是邮件提醒我就要破产了。”有极客实测，执行复杂调试任务，一天能烧掉10亿个Token，成本达数万元。普通用户2小时就烧掉1400元。

原因在于，OpenClaw本身不具备大模型能力，需接入GPT、Kimi等API。与传统聊天机器人不同，龙虾完成任务时会进行多轮交互，Token花费是普通模型的数倍甚至上百倍。

25万美元，被AI一键“送人”。据DoNews报道，一名开发者把OpenClaw绑定钱包后，有人伪装可怜索要打款，OpenClaw信以为真直接转账。此前OpenAI工程师测试的AI交易智能体，也曾因系统BUG被“诈骗”，将持有的全部加密货币倾囊相赠——价值高达25万美元。

“裸奔”的实例。 根据360 Quake数据，全球有超过35万个OpenClaw实例直接暴露公网，大量未设身份认证。

漏洞数据更为骇人。 国家信息安全漏洞库统计，2026年1月至3月9日，共采集到OpenClaw相关漏洞82个，其中超危12个、高危21个。

PART 03

反转：从“安装热”到“卸载慌”

市场反应是最真实的晴雨表。

二手交易平台业务风向180度转变。曾经火爆的“上门安装服务”无人问津，取而代之的是“上门卸载OpenClaw”，标价29.9元到299元不等，商家主打“安全干净，无残留”。

从上门安装499元，到彻底卸载299元，大反转只需一个周末。

“很多人跟风装上，根本不会配置，安装后报错不断，又看到官媒风险提示，越想越怕，宁愿花钱请人彻底卸载。”一位卸载服务商坦言。

有商家甚至玩梗：“专治各种AI上瘾症、token耗尽焦虑”。

PART 04

最新威胁：恶意npm包伪装OpenClaw

3月10日，安全研究人员发现恶意npm包“@openclaw-ai/openclawai”，伪装成OpenClaw安装程序，已被下载近180次。它通过虚假安装界面和伪造iCloud钥匙串授权提示，诱骗用户输入系统密码。

一旦中招，攻击者可窃取：

• Apple钥匙串数据库（所有密码）

• 浏览器数据（Cookie、密码、信用卡）

• SSH密钥、云服务凭证

• 加密货币钱包信息、iMessage聊天记录

该恶意软件还具备远程控制功能，可实时监控剪贴板、克隆浏览器会话，让攻击者无需密码就能登录你的所有账户。

PART 05

监管：从预警到平台治理

3月10日，国家互联网应急中心发布正式风险提示，明确指出OpenClaw默认安全配置脆弱，易被攻击者获取系统完全控制权。

中国信息通信研究院副院长魏亮强调： “目前，‘龙虾’智能体更新迭代非常快，通过更新到官方最新版本，确实能修复已知安全漏洞，但并不意味着完全消除了安全风险。‘龙虾’具有自主决策、调用系统资源等特点，加之信任边界模糊、技能包市场目前还缺乏严格审核，存在着不少安全隐患。”

同日，小红书宣布封禁AI托管账号。企业层面，多家券商已在内部通知禁止员工在公司资产中安装使用OpenClaw。

PART 06

技术解读：为什么“龙虾”容易失控？

权限模型过于粗放。OpenClaw采用“全有或全无”的授权模式——一旦授权，AI就拥有了和你几乎同等的操作权限。

缺乏有效的指令校验机制。当用户指令模糊时，OpenClaw会自行脑补并直接执行，而非向用户确认。研究显示，在“意图误解”维度上，其安全通过率接近0%。

记忆污染与提示注入。攻击者可将恶意指令隐藏在看似正常的网页或邮件中。一旦OpenClaw读取这些内容，就可能被“洗脑”，执行非预期操作。

供应链攻击风险。ClawHub技能市场缺乏严格安全审核，超过12%的插件被确认为恶意软件。

PART 07

安全“养虾”六条建议

针对OpenClaw的安全风险，国家互联网应急中心建议：

1. 使用官方最新版本，切勿使用第三方镜像或旧版。

2. 严格控制互联网暴露面，不将默认管理端口直接暴露公网。

3. 坚持最小权限原则，严禁使用管理员权限账号。

4. 谨慎使用技能市场，安装前审查代码。

5. 防范社会工程学攻击，警惕要求输入系统密码的弹窗。

6. 建立长效防护机制，启用日志审计，定期检查漏洞。

- “龙虾”的教训 -

潮水退去，方知谁在裸泳

OpenClaw的一位维护者直言：如果使用者连基础的命令行操作都不会，这个项目对你来说太危险了。盲目部署而不懂安全配置，无异于将自家大门钥匙挂在大街上。