国家安全部发布《"龙虾"（OpenClaw）安全养殖手册》

2026年3月17日，国家安全部发布《"龙虾"（OpenClaw）安全养殖手册》，针对开源AI智能体OpenClaw的使用风险，发布权威安全指引。

一、什么是"龙虾"

OpenClaw（昵称"龙虾"）是一款开源AI智能体工具，上线后快速成为2026年度现象级"开源奇迹"。

四大生产特点

1. 从"给出方案"到"落地执行"

可通过聊天程序远程执行用户指令，自主完成任务。

2. 从"固定功能"到"多种插件"

内置大量技能插件，覆盖文件管理、邮件撰写、日历调度、网页浏览、定时任务等多场景。

3. 从"普通工具"到"自我进化"

长期记忆用户使用记录，持续理解用户行为偏好，"越用越懂用户"。

4. 从"被动等待"到"主动服务"

可根据用户要求主动感知外部情况，完成"夜间下达指令、晨间获取成果"的智能服务。

二、养"龙虾"的四大风险隐患

1. 主机可能被接管

为实现强大的执行能力，用户常赋予其最高系统权限，易引发AI误操作导致的数据损失。

更严重的是，运行后的"龙虾"可能被攻击者获取设备管理权限，导致：

主机被远程操控

资源被非法占用

2. 数据可能被窃取

部分用户缺乏数据安全意识，将个人敏感数据交由"龙虾"处理。

一旦系统被攻破，可能造成：

个人隐私泄露

财产与安全风险

3. 言论可能被篡改

"龙虾"可在社交网络自主发声，一旦被攻击者接管，可能被用于：

生成和传播虚假信息

实施诈骗等不法活动

4. 技术可能有漏洞

作为开源项目，"龙虾"缺乏专业维护与漏洞修复机制。

攻击者可通过恶意插件投毒等方式，诱导智能体突破权限管控，主动窃取本地设备核心敏感信息，隐蔽性远超传统木马程序。

三、"养虾人"必看安全指南

1. 给自己的"龙虾"全面体检

重点检查以下问题：

控制界面是否暴露在公网 —— 潜在风险：被未授权访问

权限配置是否过高 —— 潜在风险：被控制后损失扩大

存储的凭证是否已泄露 —— 潜在风险：API Key、密码等敏感信息泄露

安装的插件来源是否可信 —— 潜在风险：恶意插件攻击

对于存在严重安全风险的，立即采取隔离、下线等处置措施。

2. 为自己的"龙虾"做好防护

四项安全措施：

最小权限原则：严格限制智能体的操作范围

数据加密：对存储的敏感数据必须进行加密

操作审计：建立完整的操作审计日志

环境隔离：尽量在隔离环境（如专用虚拟机、沙箱）中运行

3. 让自己的"龙虾"老实好用

手册强调："龙虾"并非娱乐用数字宠物，而是可自主执行任务、承担流程操作、持续学习成长的**"数字员工"**。

养"虾"人应：

理性看待

规范使用

确保在合规、安全、可控前提下，将其作为提升治理效能、服务生产生活的数字化生产工具

四、官方提示

国家安全部发布本手册，旨在提醒广大用户：拥抱AI便利的同时，清醒认识潜在风险，让"龙虾"真正成为遵规守纪、产能高效的"数字员工"。

本文内容基于国家安全部《"龙虾"（OpenClaw）安全养殖手册》原文整理