昨天排队装机，今天全网裸奔：爆火的OpenClaw正在掏空你的隐私与钱包

仅仅两个月，一个名为 OpenClaw 的个人智能体（AI Agent）以前所未有的速度席卷全球。在美国，有人心甘情愿支付高达 6000 美元的上门安装费；在中国，上门部署“小龙虾”（OpenClaw中文圈昵称）不仅成为明码标价的火爆副业，甚至连腾讯云团队都亲自下场摆摊装机，小米更是开启了手机版的封测。

然而，狂欢的背面是令人背脊发凉的安全深渊。昨天刚在路边欢天喜地装好的智能体，今天就已经在黑客的监控面板里“全裸出镜”——这绝非危言耸听，而是正在真实发生的系统性灾难。

一、 价值6000美元的“小龙虾”与全民狂欢

OpenClaw 的爆火，彻底打破了以往 AI 软件的普及路径。“真不敢相信旧金山湾区居然有人要花 6000 美元请人上门安装 OpenClaw。”X 上的一条帖子揭开了这场狂欢的序幕。

海外6000美元代装帖子

海外代装平台 SetupClaw 报出了令人咋舌的价格：托管安装 3000 美元，含 Mac mini 硬件的现场配置高达 6000 美元。其创始人更是放言，靠这门“手艺”有望年入百万美元。

这股热潮在中国更是演变为一场“地推式”的内卷。国内平台充斥着几百至上千元不等的上门安装服务，甚至有接单者为了抢生意，推出了“装机送做饭”的服务。

国内“上门部署送做饭”等奇葩服务

腾讯云团队甚至亲自下场为大众提供帮助，派出了 20 位工程师在深圳腾讯大厦楼下摆摊。现场排起了长队，其中不乏小学生和满头白发的老人，3 小时内便帮数百名市民将“小龙虾”带回家。

腾讯云线下装机排长队

【笔者观点】 这是一场极具魔幻现实主义色彩的科技下乡。人们愿意花几千美元或排长队，去安装一个自己根本不懂底层逻辑的“黑盒”工具。当最前沿的 AI 智能体需要靠最传统的“上门地推”来普及，这不仅说明了产品体验与大众认知之间存在巨大的鸿沟，更暗示了盲目追风背后隐藏的巨大隐患——你买回家的，究竟是一个私人助理，还是一个定时炸弹？

二、 刺客现身：被刷爆的信用卡与天价账单

就在腾讯云线下大规模帮用户装机的第二天，尴尬的一幕发生了：在“OpenClaw Exposure Watchboard”（暴露监控面板）上，赫然新增了好几例来自腾讯云服务器的暴露实例。

腾讯云服务器暴露实例

实际上，该监控网页上已经列出了超过 25.8 万个完全暴露在公网的 OpenClaw 实例，遍布美国、新加坡、中国大陆等全球多个地区。

OpenClaw全网暴露监控看板

除了随时“被围观”的安全风险，隐藏的“隐形消费”也开始浮出水面。由于 OpenClaw 内置了全天候待命的心跳（Heartbeat）机制，每隔 30 分钟就会自动唤醒。这意味着，即便你什么都不做，这个无形运转的引擎仅靠消耗 token，一个月就能悄无声息地烧掉近 750 美元。

更致命的是直接的经济损失。几天前，一位开发者在使用 OpenClaw 编写自动化脚本时，为了远程调试，通过 noVNC 将 Chrome 浏览器直接暴露在公网。结果其保存在浏览器里的支付方式被黑客瞬间捕捉，短短几分钟内信用卡即被刷爆。

信用卡被盗刷日志

【笔者观点】 “你以为养了一只替你干活的龙虾，结果它是一只吸血的寄生虫。”这种反常识的现象正是当前 AI Agent 生态的缩影。开发者与用户只看到了自动化带来的“爽感”，却选择性无视了维持这种爽感所需的高昂算力成本与极端的安全敞口。当一个工具的试错成本高达数千美元时，它就不再是玩具，而是绞肉机。

三、 底裤被扒光：暗网里标价2.5万美元的CEO人生

个人的信用卡被盗刷，还只是这场灾难的冰山一角。更令人毛骨悚然的案例，发生在企业高管身上。

网络安全公司 Cato CTRL 披露，一名攻击者通过一台遭入侵的 OpenClaw 个人智能体，拿到了英国一家自动化公司 CEO 电脑的 root shell 访问权限，并将其直接挂在暗网上，开价 2.5 万美元。

暗网售卖CEO权限截图

真正值钱的并非 root 权限本身，而是这位 CEO 毫不设防的“数字人生”。这位被黑客称为“近乎完美目标”的 CEO，甚至在被入侵时还在不断跟 AI 聊天。

最终，被打包出售的数据几乎等于这位 CEO 的全副身家，包括：OpenClaw 的完整上下文对话和长期记忆、CEO 正在开发的交易机器人 API 密钥、家庭联系人情况。更要命的是几十张涵盖公司现金流、客户联系人、采购订单、人工成本的绝对核心业务数据表。

企业核心数据被扒光

【笔者观点】 这是一个极具紧迫感的警示：越智能的助理，往往越危险。为了让 Agent “懂你”，你必须向它投喂全部的底牌；而一旦它被攻破，你失去的就不只是一个密码，而是完整的商业机密与人格数字切片。在这个层面上，Agent 的“高智商”反而成为了黑客最高效的情报收集器，实现了可怕的“数据引诱与提纯”。

四、 拿着所有秘密出门办事的“笨小孩”

为什么 OpenClaw 天生就不安全？原因令人啼笑皆非。

这款产品默认将服务绑定至 0.0.0.0（全网卡监听），早期版本甚至无密码认证。创始人 Peter 解释称，这本来只是一个本地调试工具，压根就不是为公网设计的。尽管最新版本紧急限制了默认权限（只保留聊天功能），但只要懂点代码的用户稍微修改配置文件，“一只活蹦乱跳却也极其危险的龙虾就又回来了”。

这种“默认安全 + 手动放开权限”的模式，根本无法阻挡几十万小白用户将自己“裸奔”在互联网上。

目前，行业巨头和监管机构已经嗅到了危险的信号。Anthropic 和谷歌正在严厉封杀通过第三方工具使用其大模型的违规行为。

大厂与监管机构的限制与警告

中国工信部也发布了专项安全警报，警告 OpenClaw 存在高危风险。前 Meta AI 研究总监田渊栋在试用两小时后选择果断卸载，他一针见血地评价：“OpenClaw 就像让⼀个握有你全部秘密的笨⼩孩出⻔办事，路上随时可能被⼏块糖骗⾛你家地址。”

【笔者观点】 2026年最大的科技悲剧，莫过于我们在拥抱最先进的大脑时，使用的却是最原始的防御。安全边界的错位，是这场危机的根本原因——开发者把“本地环境”等同于绝对安全，而狂热的用户则把“测试版代码”当成了成熟的商业产品。在这场狂飙突进的 AI Agent 运动中，如果我们在赋予机器“手脚”的同时，不能给它戴上坚固的“锁链”，那么最终被淘汰的，恐怕将是满盘皆输的人类用户自己。

👇 欢迎关注我的公众号

在 AI 爆发的深水区，我们一起探索真正能穿越周期的技术价值。

欢迎关注【睿见新世界】