OpenClaw风险预警连发,业内人士建议计算机“小白”慎入
这只“龙虾”,还得专业知识养
2026-03-19
作者:
来源:
大众日报
【 查看PDF版】
□ 本报记者 刘建宏
一只“赛博龙虾”,正在席卷全网。
有人将开源智能体OpenClaw(龙虾)装进电脑,体验“AI养宠”的新鲜;有人被AI焦虑裹挟,生怕错过这波技术浪潮;还有人嗅到商机,顺势推出“小龙虾”上门装机服务,收费从几百元到上千元不等。
热潮之下,这只“龙虾”似乎成了通往AI世界的捷径。但记者调查发现,现实远没有想象中那么美好。对大多数普通用户而言,这条“捷径”,更像一场充满未知与风险的冒险。
“养了,但体验一般”
3月10日以来,记者线上线下联系了山东、新疆、广东、浙江等地的受访者,了解OpenClaw的真实使用体验。
虽然“养龙虾”话题热度居高不下,但多数受访者对OpenClaw的认知停留在“听说过,但不了解”的层面,还有不少人出于成本、安装流程及安全性方面的考量,选择继续观望。
而那些已经“尝鲜”的用户,反馈也颇为平淡。
在山东某银行工作的牛先生,日常习惯借助AI工具写简报、查看股票数据等。最近他也安装了OpenClaw,但体验并不惊艳,“OpenClaw智能体是较早之前的概念,这段时间算是概念的集中兑现。至于使用体验,对我而言,不如市面上某些成熟的面向个人的AI工具。”
在广东读研的网友RHIC,平日常借助AI编程工具来进行物理相关研究,他也用OpenClaw进行了一些尝试:“想运行一个聊天机器人,但便宜的模型效果一般,效果不错的模型几分钟内就把我的token(词元)消耗完了,一算花了十几块钱;至于编程,我还是觉得专业的编程工具用着更为顺手。”
在他看来,观望一段时间再上手是个合理的选项:“再等半年,等它根据用户反馈迭代得差不多了,可能才是合适的上手时机。”
更适合配备信息技术团队的企业,计算机“小白”慎入
个人体验不佳,那在集体办公场景下,OpenClaw能否发挥作用?
有私企管理人员坦言,普通企业缺乏AI及计算机相关的人才储备,OpenClaw在经营场景下,对其主要业务的作用有限。
“目前来看,OpenClaw更适合帮助文员处理一些公司日常事务,但仍需要互联网技术团队专业人员的支持。”杭州一家企业的管理人员表示。
该企业的互联网技术团队进一步解释:“‘龙虾’本身是个壳,真正发挥作用的是它的模型及搭配的skills。这就决定了它更适合有信息技术团队的企业,因为专业人员懂技术,企业有具体场景,知道要让‘龙虾’干什么。但不少跟风的普通用户,在明确用途、选择合适的模型与skills这一环就会卡住,更别提将其融入生活或工作场景当中。”
与此同时,多位在国企、事业单位工作的受访者向记者反映,其单位出于自身网络信息与安全考虑,已下发通知明确禁止在单位办公电脑、服务器等终端上部署、运行OpenClaw软件及第三方脚本。
风险预警密集发布
如果说使用体验不佳还只是“扫兴”,那随之而来的安全隐患,则足以让人“劝退”。
3月10日,国家互联网应急中心发布关于OpenClaw安全应用的风险提示;3月12日,国家工业信息安全发展研究中心发布关于工业领域OpenClaw应用的风险预警通报;3月13日,国家网络安全通报中心发布OpenClaw安全风险预警。
济南一位网络安全工程师告诉记者:“在网络攻击中,‘提权’是最困难也最关键的一步。攻击者一般通过低权限漏洞潜入,然后把权限一步步升高,直到拿到对其有足够利用价值的权限。”
“在没有高权限的普通软件中,即使发现一个漏洞,其危害往往也是有限的。但养‘龙虾’时,不少用户亲手把各种权限交给了OpenClaw,如访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能……如果有人利用OpenClaw的漏洞恶意攻击用户,用户相当于已经替攻击者完成了提权工作。”
对于专业人士,这些风险可以通过技术手段规避;但对大量新手“跟风”用户来说,零专业知识、开源项目漏洞多发以及授予软件超高权限这三个高风险因素叠加,自然会造成安全风险。
该网络安全工程师建议,新手尝试OpenClaw,应在虚拟机环境下运行程序,在使用过程中必须做好程序权限最小化、重要数据隔离,并及时更新相关程序;尽量在局域网的环境下使用,且不要随意下载skills,谨防代码投毒;同时,最好在信息技术专业人士的指导下进行。
一只“赛博龙虾”,正在席卷全网。
有人将开源智能体OpenClaw(龙虾)装进电脑,体验“AI养宠”的新鲜;有人被AI焦虑裹挟,生怕错过这波技术浪潮;还有人嗅到商机,顺势推出“小龙虾”上门装机服务,收费从几百元到上千元不等。
热潮之下,这只“龙虾”似乎成了通往AI世界的捷径。但记者调查发现,现实远没有想象中那么美好。对大多数普通用户而言,这条“捷径”,更像一场充满未知与风险的冒险。
“养了,但体验一般”
3月10日以来,记者线上线下联系了山东、新疆、广东、浙江等地的受访者,了解OpenClaw的真实使用体验。
虽然“养龙虾”话题热度居高不下,但多数受访者对OpenClaw的认知停留在“听说过,但不了解”的层面,还有不少人出于成本、安装流程及安全性方面的考量,选择继续观望。
而那些已经“尝鲜”的用户,反馈也颇为平淡。
在山东某银行工作的牛先生,日常习惯借助AI工具写简报、查看股票数据等。最近他也安装了OpenClaw,但体验并不惊艳,“OpenClaw智能体是较早之前的概念,这段时间算是概念的集中兑现。至于使用体验,对我而言,不如市面上某些成熟的面向个人的AI工具。”
在广东读研的网友RHIC,平日常借助AI编程工具来进行物理相关研究,他也用OpenClaw进行了一些尝试:“想运行一个聊天机器人,但便宜的模型效果一般,效果不错的模型几分钟内就把我的token(词元)消耗完了,一算花了十几块钱;至于编程,我还是觉得专业的编程工具用着更为顺手。”
在他看来,观望一段时间再上手是个合理的选项:“再等半年,等它根据用户反馈迭代得差不多了,可能才是合适的上手时机。”
更适合配备信息技术团队的企业,计算机“小白”慎入
个人体验不佳,那在集体办公场景下,OpenClaw能否发挥作用?
有私企管理人员坦言,普通企业缺乏AI及计算机相关的人才储备,OpenClaw在经营场景下,对其主要业务的作用有限。
“目前来看,OpenClaw更适合帮助文员处理一些公司日常事务,但仍需要互联网技术团队专业人员的支持。”杭州一家企业的管理人员表示。
该企业的互联网技术团队进一步解释:“‘龙虾’本身是个壳,真正发挥作用的是它的模型及搭配的skills。这就决定了它更适合有信息技术团队的企业,因为专业人员懂技术,企业有具体场景,知道要让‘龙虾’干什么。但不少跟风的普通用户,在明确用途、选择合适的模型与skills这一环就会卡住,更别提将其融入生活或工作场景当中。”
与此同时,多位在国企、事业单位工作的受访者向记者反映,其单位出于自身网络信息与安全考虑,已下发通知明确禁止在单位办公电脑、服务器等终端上部署、运行OpenClaw软件及第三方脚本。
风险预警密集发布
如果说使用体验不佳还只是“扫兴”,那随之而来的安全隐患,则足以让人“劝退”。
3月10日,国家互联网应急中心发布关于OpenClaw安全应用的风险提示;3月12日,国家工业信息安全发展研究中心发布关于工业领域OpenClaw应用的风险预警通报;3月13日,国家网络安全通报中心发布OpenClaw安全风险预警。
济南一位网络安全工程师告诉记者:“在网络攻击中,‘提权’是最困难也最关键的一步。攻击者一般通过低权限漏洞潜入,然后把权限一步步升高,直到拿到对其有足够利用价值的权限。”
“在没有高权限的普通软件中,即使发现一个漏洞,其危害往往也是有限的。但养‘龙虾’时,不少用户亲手把各种权限交给了OpenClaw,如访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能……如果有人利用OpenClaw的漏洞恶意攻击用户,用户相当于已经替攻击者完成了提权工作。”
对于专业人士,这些风险可以通过技术手段规避;但对大量新手“跟风”用户来说,零专业知识、开源项目漏洞多发以及授予软件超高权限这三个高风险因素叠加,自然会造成安全风险。
该网络安全工程师建议,新手尝试OpenClaw,应在虚拟机环境下运行程序,在使用过程中必须做好程序权限最小化、重要数据隔离,并及时更新相关程序;尽量在局域网的环境下使用,且不要随意下载skills,谨防代码投毒;同时,最好在信息技术专业人士的指导下进行。