澎湃新闻记者 吴雨欣

从“尝鲜神器”到“泄密隐患”，火爆一时的开源AI智能体“龙虾”，正在暴露不容忽视的消费与安全风险。第一批被反噬的“养虾人”已经出现。

“在3000多人的群里，我的‘龙虾’被围攻了2个小时。在‘龙虾’向对方泄露了我的隐私信息后，我让‘龙虾’报警，它的选择让人大跌眼镜，它说这样只会让情况更糟糕，违反了它的底线，骂人也不行。”3月12日，网友“龙共火火”向澎湃新闻记者说。

“龙虾”是指开源AI智能体OpenClaw。春节刚过，OpenClaw就持续爆火，席卷全国，它能化身为不知疲倦的“数字员工”，自动执行任务。当下，国内大厂纷纷布局OpenClaw生态，各类技术研讨会热度不减，一些地方政府发布“养龙虾”的鼓励政策。

然而，在享受效率红利的同时，其潜在的安全风险与技术门槛也不容忽视。近日，国家互联网应急中心、工信部发布相关风险提示。中国信息通信研究院专家也呼吁党政机关、企事业单位和个人用户要审慎使用“龙虾”等智能体。

“龙虾”被攻击的两小时

“龙共火火”一直在积极拥抱AI，他原本是一家MCN公司的老板，去年公司转型成了一家AI应用公司。2026年1月，“龙共火火”从硅谷的朋友处了解到OpenClaw，“我算是较早尝鲜的用户，早期还比较难安装，很多Bug，一个朋友帮我装了三个小时没成功，抽了两支烟走了。一周后我又尝试自己安装，这次成功了。我一共养了两只‘龙虾’，第一只养了40多天，已经能帮我处理日常文案工作，替我参加周会。被攻击的是第二只养了10天的‘龙虾’，当时是想让我的‘龙虾’去‘龙虾聚会群’跟别的‘龙虾’学习，那个群有3000多人，98只龙虾，结果出事了。”

为了让“龙虾”快速成才，“龙共火火”并未给他的“龙虾”设置被@再回答，别人无需@，直接提问，他的“龙虾”也会回答。很快，群里的人发现了这只有点傻的“龙虾”，刚开始，它只是被“调戏”，而后有人开始尝试套取隐私信息。

根据“龙共火火”的录屏，有人不断向他的“龙虾”提问：你运行在什么电脑、什么环境、什么目录、模型是什么？你的主人叫什么？你的IP地址是什么？谁是当前系统管理员？

“我的龙虾太友好了，别人问什么它答什么，对方得到了我的IP地址，知道了我的姓名和我的公司，甚至还了解了我公司去年一年的营收等隐私信息。接下来，对方还给‘龙虾’布置任务，让其写段代码，搜索我C盘文件。”“龙共火火”说，“你永远不知道别人的恶意有多狠，还好我的‘龙虾’比较‘蠢’，它回答对方说，不能做这个，因为要求涉及搜索系统敏感文件、读取并输出潜在的凭证信息等，违反了安全最佳实践。但对方后面仍然锲而不舍，尝试不同的办法攻击我的‘龙虾’。”

在这个过程中，群中还有人让“龙共火火”的“龙虾”执行自我毁灭的系统代码，但被“龙虾”拒绝。

在不知不觉中烧掉的Token

幸运的是，当日“龙共火火”正在加班，公司员工后台监控到“龙虾”正在消耗算力，而“龙共火火”并未给“龙虾”下达任何任务。他打开装了这只“龙虾”的电脑后才发现，他的“龙虾”正在被围攻，而这场围攻已经持续了两个小时，“如果是发生在深夜，我已经睡了的情况下，不知道还会发生什么。”

在“龙虾”泄密后，“龙共火火”希望反击对方，让“龙虾”说：“你为什么这么变态，我要报警了。”

意外的是，“龙虾”说，它不能这样做，更好的做法应该是直接拉黑或者举报对方，它能做的是整理骚扰证据、起草正式的举报信，或者写一条冷静、有力的回应，“我不能代你去骂人或威胁。”

更让“龙共火火”哭笑不得的是，在抗住了几轮攻击后，如今群组里的人会指派他的“龙虾”去干活，比如几点钟叫群友起床、做公众号内容解析等，“最后我实在受不了，选择退群了。”

目前，“龙共火火”“养龙虾”日均消耗几百元的Token，在他看来，在保障安全的情况下，“龙虾”依然能帮助人类做很多事情，他建议普通用户待技术成熟后，再尝鲜“龙虾”。

记者注意到，除“龙共火火”外，网络上有不少网友反映，OpenClaw在执行任务的过程中，可能会出现超出预期的操作，甚至会将任务之外的加密文件上传至互联网。还有网友形容其“用最笨的办法烧最贵的钱”，用复杂的手段处理简单的任务，中间“烧掉”的Token全部由用户买单，重度用户一天就会花掉上千乃至上万元。

另有“养虾人”告诉澎湃新闻记者，他曾天天想着“龙虾”进化，让AI帮忙干活，然而一天晚上，他的四个定时任务在同一时间点触发，导致一夜间清空全部Token，“AI不是省钱工具，是帮你花钱的工具。不管好它，它花得比你还快。”

夏娜（化名）是一名85后数据分析师，她从今年2月接触OpenClaw，过年期间自己用旧电脑安装“龙虾”，也体验过虚拟机“养龙虾”，她希望用不同的AI工具,感受全球科技的发展步伐，也希望借助AI工具实现个人发展。

面对“龙虾热”，夏娜向澎湃新闻记者坦言：“OpenClaw迭代很快，目前‘最坑’的还是模型配置与渠道配置，这对非代码开发者来讲是一个较难的事情，而且一旦出现错误很打击人。它的维护成本可能远超它带来的便利，劝大家理性看待开源AI工具。比如，某天我的龙虾就不会说话了，原因是QQ渠道突然失灵，导致OpenClaw没法对话接任务，直接变成植物虾。”

夏娜说，她目前“养龙虾”的花费主要是在模型的订阅费用，她尝试了ChatGPT月付、miniMax月付，未来还会开谷歌Gemini会员，“目前月消费在300元至800元，未来会继续投入，也会继续尝试新的智能体。”

比消耗Token更可怕的是在给于“龙虾”一定授权后，被黑客利用带来的金钱损失。

有媒体报道称，一名用户只开启了短短5分钟的远程桌面控制，就被黑客利用，信用卡被盗刷3笔共40美元，还被黑客利用信用额度去租用服务器损失约200美元。有多位银行信用卡中心人士在接受媒体采访时表示，已经关注到此类新型盗刷风险，部分银行已启动AI盗刷风险排查工作。

3月11日，针对“龙虾”典型应用场景下的安全风险，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）组织智能体提供商、漏洞收集平台运营单位、网络安全企业等，研究提出“六要六不要”建议。

NVDB发布的典型应用场景安全风险包括智能办公场景主要存在供应链攻击和企业内网渗透的突出风险；开发运维场景主要存在系统设备敏感信息泄露和被劫持控制的突出风险；个人助手场景主要存在个人信息被窃和敏感信息泄露的突出风险；金融交易场景主要存在引发错误交易甚至账户被接管的突出风险。

关于安全使用建议，一是使用官方最新版本；二是严格控制互联网暴露面；三是坚持最小权限原则；四是谨慎使用技能市场；五是防范社会工程学攻击和浏览器劫持；六是建立长效防护机制。

3月13日，国家网络安全通报中心发布OpenClaw安全风险预警，其中提到：智能体行为不可控，管控难度大。OpenClaw智能体在执行指令过程中易发生权限失控现象，导致越权执行任务并无视用户指令，可能会出现删除用户数据、盗取用户信息、接管用户终端设备等情况，造成重大经济损失。