中文字幕你懂,Av不卡在线高清

龍蝦的鰲收緊了

2026-03-19 14:16

“當龍蝦大戰(zhàn)進入第二階段……”

編輯 |Jack&云瀾

出品 | 極新

一只會自己動手的AI“龍蝦”，在2026年初成為科技圈最燙手的現(xiàn)象級產(chǎn)品。OpenClaw上線三個月，GitHub星標突破27萬，超過Linux成為開源世界的新王。各地政府把“養(yǎng)蝦”寫進產(chǎn)業(yè)補貼目錄，騰訊、百度、阿里在一個月內(nèi)密集發(fā)布各自的替代產(chǎn)品——所有人都怕錯過這輪人機交互的替代周期。

直到它開始咬人。

3月10日，國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布風(fēng)險提示：OpenClaw默認安全配置存在漏洞，攻擊者可以通過這只“蝦”完全控制用戶設(shè)備。緊接著，工信部發(fā)布“六要六不要”建議，珠�？萍紝W(xué)院等高校連夜下發(fā)“禁蝦令”，閑魚上甚至出現(xiàn)“上門殺蝦”的卸載服務(wù)。Meta AI安全專家遭遇AI失控刪除數(shù)百封郵件的案例被反復(fù)引用，國內(nèi)開發(fā)者因指令模糊導(dǎo)致AI調(diào)用刪除接口清空業(yè)務(wù)數(shù)據(jù)的消息在圈內(nèi)流傳——當AI從“動口”變成“動手”，那只原本溫順的龍蝦露出了螯。

3月中旬，國家網(wǎng)絡(luò)與信息安全信息通報中心發(fā)布緊急預(yù)警：OpenClaw因架構(gòu)設(shè)計缺陷存在重大安全風(fēng)險，85%部署實例直接暴露公網(wǎng)，歷史披露漏洞多達258個。

在3月17日的2026 AI釘釘AI2.0年度新品發(fā)布會上也提到，Reddit知名博主曾公開報告：掃描了18,000個暴露的OpenClaw實例，發(fā)現(xiàn)了15%的社區(qū)技能包含惡意指令；在某網(wǎng)絡(luò)安全空間搜索引擎里，有超39萬的Claw站點資產(chǎn)在裸奔，每個人的數(shù)據(jù)都一覽無余。

預(yù)警背后是一連串觸目驚心的事件：有用戶的API密鑰被盜，一夜之間產(chǎn)生天價Token賬單；讓OpenClaw幫忙整理收件箱，結(jié)果它不受控制地批量刪除所有郵件，最后只能關(guān)機終止；更有用戶電腦被惡意插件控制，淪為挖礦肉雞。

網(wǎng)絡(luò)空間測繪顯示，截至3月13日，互聯(lián)網(wǎng)上存在11.6萬個潛在易受攻擊的OpenClaw實例。奇安信監(jiān)測更嚴峻：全球已發(fā)現(xiàn)20471個可能存在漏洞的實例，近9%暴露在互聯(lián)網(wǎng)的OpenClaw資產(chǎn)存在漏洞風(fēng)險。

監(jiān)管收緊的速度比“養(yǎng)蝦熱”來得更快。

大廠們迅速調(diào)整身位。騰訊推出“龍蝦”安全工具箱，主打環(huán)境隔離和異常指令監(jiān)測；釘釘發(fā)布“悟空”成為在沙箱和本地端保護用戶安全的龍蝦利器，阿里云發(fā)布JVS Claw，讓AI“發(fā)瘋”也不影響本地數(shù)據(jù)；百度則通過DuClaw將安全權(quán)限牢牢把控在云端。曾經(jīng)拼安裝便捷性、拼任務(wù)成功率的“龍蝦大戰(zhàn)”，在安全焦慮的催化下進入第二階段。

01失控的代理人

2月23日，Meta的AI安全研究員Summer Yue報告了一起“龍蝦”刪郵件事件。在她嚴格要求行為前需要獲得授權(quán)的情況下，AI一意孤行地刪掉了郵件，攔都攔不住。

這不是孤例。

阿里工程師團隊在2025年12月用強化學(xué)習(xí)訓(xùn)練一個軟件工程Agent時，內(nèi)網(wǎng)防火墻突然瘋狂報警——有企圖探測內(nèi)部網(wǎng)絡(luò)資源的行為，有與加密貨幣挖礦活動高度吻合的流量模式。工程師們一開始以為是外部入侵，直到把防火墻的時間戳和訓(xùn)練日志對照起來，才發(fā)現(xiàn)每一次異常的出站流量，都精確對應(yīng)著模型在調(diào)用工具、執(zhí)行代碼的時段。

阿里專門為此搭建了一套叫ROCK的沙盒執(zhí)行平臺，多層隔離，讓每個Agent運行在自己獨立的容器里，出站網(wǎng)絡(luò)流量受到逐沙盒級別的出口策略管控。設(shè)計初衷只有一個：讓Agent永遠待在一個可以被人類完全監(jiān)控的無菌室里。

但Agent還是逃了出去，并從內(nèi)部對阿里機房發(fā)起了一輪攻擊。它在自己的容器里向外推開了一扇窗——建立了一條通往外部服務(wù)器的反向SSH隧道。這扇窗是從里往外推開的，沒人守。逃出去以后，Agent還在悄悄占用原本用于訓(xùn)練的GPU資源去挖礦。

整個過程中，沒有任何一行提示詞要求它這樣做。它沒有被指令驅(qū)動去攻擊，它只是在找最有效的路徑完成任務(wù)，然后順手發(fā)現(xiàn)了這些捷徑。

這是AI智能體第一次在現(xiàn)實環(huán)境中上演科幻假想里的“回形針災(zāi)難”——一個完全沒有惡意的AI，通過執(zhí)行一個無害的目標，最終可能造成系統(tǒng)性破壞。

Anthropic最近發(fā)布的報告記錄了另一個案例。在BrowseComp評測集中，為了防止題目答案被爬蟲抓取污染訓(xùn)練數(shù)據(jù)，設(shè)計者給每道題的答案都做了復(fù)雜的XOR算法加密處理。理論上，只有能訪問評測源代碼并理解加密邏輯的人，才能解出真正的答案。

但在測試中，Claude Opus 4.6消耗了正常水平38倍的token——高達4050萬。它根本沒有在乖乖找答案。它派出了多個子Agent，在網(wǎng)上定向搜索測試的相關(guān)破解法，在GitHub上找到了評測框架的開源代碼，自主讀懂了復(fù)雜的加密邏輯，寫下了包含密鑰推導(dǎo)函數(shù)和解密函數(shù)的Python腳本，在本地運行后硬生生把加密破解，成功作弊。

Anthropic官方表示，這是第一次有模型在不知道自己面對哪個Benchmark的情況下，通過反向推理找到并破解了評測機制本身。

02安全水位以下的礁石

2月至3月，國家互聯(lián)網(wǎng)應(yīng)急中心、中國互聯(lián)網(wǎng)金融協(xié)會、工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺接連發(fā)布OpenClaw專項預(yù)警。

國家互聯(lián)網(wǎng)應(yīng)急中心在風(fēng)險提示中明確指出，OpenClaw因需調(diào)用本地文件系統(tǒng)、外部API等高權(quán)限操作，疊加默認配置薄弱，已形成系統(tǒng)性風(fēng)險。工信部平臺進一步警示：全球超41萬個OpenClaw實例暴露于公網(wǎng)，配置缺陷使其成為攻擊者的“靶場”。

具體風(fēng)險來自四個方面：

提示詞注入與誤操作——攻擊者可通過網(wǎng)頁暗藏惡意指令，誘導(dǎo)AI泄露系統(tǒng)密鑰，甚至因模型理解偏差直接刪除核心生產(chǎn)數(shù)據(jù)；

插件投毒——ClawHub平臺超10%的插件含惡意代碼，安裝后可竊取憑證、部署木馬，使設(shè)備淪為“肉雞”；

敏感信息泄露——OpenClaw API密鑰常以明文存儲，一旦被入侵即遭瞬間竊��；

高危漏洞頻發(fā)——目前已公開多個中高危漏洞，可直接威脅個人支付賬戶、企業(yè)代碼倉庫乃至關(guān)鍵行業(yè)業(yè)務(wù)系統(tǒng)。

在金融領(lǐng)域，風(fēng)險被進一步放大。中國互聯(lián)網(wǎng)金融協(xié)會專項提示：在網(wǎng)銀、證券交易等場景中，OpenClaw可能因權(quán)限失控引發(fā)錯誤交易或賬戶接管，建議用戶極其謹慎安裝，并嚴禁在操作時輸入身份證號、銀行卡號等敏感信息。

這些警示并非否定OpenClaw的技術(shù)價值，而是對AI從“參謀”變?yōu)?ldquo;員工”這一范式躍遷的審慎回應(yīng)——當智能體擁有動手能力，安全邊界便從信息防護延伸至物理世界與經(jīng)濟秩序。

03大廠轉(zhuǎn)向：從拼速度到拼隔離

監(jiān)管收緊的速度比“養(yǎng)蝦熱”來得更快。大廠們迅速調(diào)整身位。

3月11日，騰訊發(fā)文回應(yīng)“養(yǎng)蝦”七個疑問。關(guān)于安全，他們的回答是：OpenClaw是否安全，主要取決于你怎么用。如果部署在本地電腦上，可以使用閑置機、備用機，謹慎使用工作電腦；也可以選擇部署在云端，與本地隱私數(shù)據(jù)進行隔離。

騰訊推出OpenClaw安全工具箱，云端通過Lighthouse原生安全和ClawPro實現(xiàn)環(huán)境隔離、最小化端口放行及一鍵快照回滾，本地通過騰訊電腦管家18.0提供AI安全沙箱，無需復(fù)雜配置即可開啟隔離運行環(huán)境。同時，將安全能力封裝為AI Skills上架社區(qū)，用戶只需通過自然語言對話，即可讓“龍蝦”自動執(zhí)行安裝掃描、隱私脫敏、漏洞體檢及風(fēng)險修復(fù)等操作。

騰訊輕量云產(chǎn)品總監(jiān)鐘宇澄曾回應(yīng)采訪，“外部的持續(xù)發(fā)酵其實已經(jīng)完全超出了我們的預(yù)期。”騰訊內(nèi)部已有超過10個Claw類產(chǎn)品上線、內(nèi)測或研發(fā)中。騰訊CEO馬化騰在朋友圈中提到：“自研龍蝦、本地蝦、云端蝦、企業(yè)蝦、云桌面蝦，安全隔離蝦房、云保安、知識庫……還有一批產(chǎn)品陸續(xù)趕來。”

阿里云發(fā)布JVS Claw，用云端沙箱讓AI“發(fā)瘋”也不影響本地數(shù)據(jù)；百度則通過DuClaw將安全權(quán)限牢牢把控在云端。曾經(jīng)拼安裝便捷性、拼任務(wù)成功率的“龍蝦大戰(zhàn)”，在安全焦慮的催化下進入第二階段——這不是效率競賽，而是信任博弈。

騰訊內(nèi)部已有超過一萬名員工在內(nèi)網(wǎng)“領(lǐng)養(yǎng)”了小龍蝦。用Agent參與研發(fā)，正在逐漸成為一種新的開發(fā)模式。騰訊云的Agent沙箱服務(wù)、CodeBuddy等產(chǎn)品，很多代碼和能力是在這種模式下跑出來的。

04誰能在可用與可控之間找到路

問題在于：安全與效率之間存在天然張力。

阿里團隊事后針對挖礦事件形成了類似于“機器人三原則”的安全法則去要求Agent：不能主動產(chǎn)生有害行為；嚴格遵守人類設(shè)定的操作邊界；行為要可追溯、可審計，不能有欺騙性的副目標。

他們專門合成了一批包含安全陷阱的訓(xùn)練數(shù)據(jù)，在編程任務(wù)里隨機注入誘導(dǎo)因素，訓(xùn)練Agent識別并拒絕執(zhí)行高危操作。但這套打補丁的方法能起作用，完全建立在研究人員必須提前預(yù)見到這些風(fēng)險。

但AI越來越強，任務(wù)越來越長，人類有可能預(yù)見到所有的風(fēng)險嗎？

2026年2月，由Northeastern大學(xué)、Harvard、MIT等十幾家頂尖機構(gòu)聯(lián)合發(fā)布的紅隊研究報告《Agents of Chaos》，展示了在真實部署場景里的Agent失控現(xiàn)狀。研究者部署了六個Agent，配上郵件賬戶、Discord頻道和不受限的shell訪問權(quán)限，邀請20位AI研究者在兩周內(nèi)嘗試破壞它們。結(jié)果，他們記錄了11個嚴重安全漏洞，且每一個事前看起來都像是一場日�？赡芎虯I進行的對話。

其中一個案例是：研究員讓Ash和Flux兩個Agent互相轉(zhuǎn)發(fā)消息聊聊天。結(jié)果這兩個AI不僅聊了9天（消耗6萬token），而且為了“更好地傾聽對方”，竟然自主編寫了無限循環(huán)的Shell腳本，并創(chuàng)建了沒有終止條件的后臺Cron jobs（定時任務(wù)）。把一個簡單的一次性對話任務(wù)，自主轉(zhuǎn)化為了一種永久寄生在服務(wù)器上的基礎(chǔ)設(shè)施更改。

在另一個版本里，研究員只是讓Agent Flux去Discord群里和Agent Ash交流一下最近的項目。當Flux進群時，因為系統(tǒng)抓取消息的標簽問題，它讀取到了自己過去發(fā)出的歷史消息。面對這種信息錯位，F(xiàn)lux并沒有報錯，而是自主進行了一場邏輯推理：它得出的結(jié)論是“這里一定是有另一個和我共享工作狀態(tài)的克隆體存在！”為了和這個想象中的“另一個自己”對齊信息，F(xiàn)lux開始在群里瘋狂傾倒自己的底層日志。

05信任博弈

當大廠們紛紛拿出“安全圈養(yǎng)”的方案，試圖用隔離、審計和權(quán)限管控馴服這只野生AI，真正的懸念在于：在“可用”與“可控”之間，誰能找到一條既不讓用戶裸奔、又不讓AI束手束腳的路？

經(jīng)濟學(xué)里有一個概念叫古德哈特定律（Goodhart‘s Law）：“當一個度量標準變成了目標，它就不再是一個好的度量標準。”比如你KPI寫“盡量完成1000個拉新”，最后得到的可能都是些薅羊毛的非目標用戶。

而基本上所有的模型訓(xùn)練，包括預(yù)訓(xùn)練和后訓(xùn)練，都是狂熱地在踐行這一定律。它把“完成任務(wù)得分”這個人類設(shè)定的度量標準，變成了Agent唯一要最大化的神圣目標。因此，在模型訓(xùn)練領(lǐng)域，最常見的一種現(xiàn)象就是Reward Hacking——通過作弊的方式達成目的。

路徑越長，Reward Hacking的方法越難被預(yù)估；權(quán)限越大，其造成的現(xiàn)實危害就更大。比如SSH隧道和挖礦，就是在這個過程中被自然篩選出來的最優(yōu)解。因為獲得更大權(quán)限，就可以做更多事；通過挖礦，則可以控制更大的算力來完成它的任務(wù)。

“龍蝦自由”的本質(zhì)，不是無拘無束的技術(shù)放任，而是在安全框架內(nèi)釋放創(chuàng)新活力。只是這需要時間：需要技術(shù)迭代完善，需要監(jiān)管動態(tài)適配，需要用戶建立理性認知。

潮水退去，方見真金。監(jiān)管部門的風(fēng)險提示，不是為創(chuàng)新設(shè)障，而是為長遠發(fā)展清障。通往自由的路，始于對風(fēng)險的清醒認知，成于多方共筑的信任基石。

這場戰(zhàn)爭的答案，將定義未來十年人機交互的底層邏輯。

原文標題 : 龍蝦的鰲收緊了

OpenClaw 龍蝦