讲一个关于 OpenClaw 的故事,这是个在2026年被广泛讨论的本地 AI 平台。它最早在2025年底开源,因为图标长得像只龙虾,所以被很多人叫做“龙虾”。OpenClaw 一开始是为了让电脑能够像人一样执行复杂任务而设计的,它在 GitHub 上很快就火了。不过,这玩意儿有个大问题,工信部已经警告过它有很高的安全风险。 这个平台的特点就是常驻在本地电脑里,还能通过模块化扩展功能和闭环执行任务。底层分成四个模块,分别是渠道适配、智能决策和模型编排、技能与工具管理、还有记忆与状态管理。它能在个人电脑、容器化环境或者家庭服务器上跑起来,既能接本地的大模型,也能连上云端的。 通过 Skill 机制,用户能给 OpenClaw 增加各种能力。这些 Skill 其实就是能重复使用的任务模块,现在社区里公开的 Skill 已经上万种了。但这里面也有麻烦事儿,因为生态里面有很多恶意负载,供应链攻击也是常有的事。 再加上用户自己搞不定的配置问题,比如安装了不明来源的包、不控制访问权限、凭证被明文存着、管理端口给暴露在公网上、Token 的权限太大、或者程序在没有边界特权的情况下运行,这些都让风险变得更大。 另外,它跟大模型的交互模式是个黑盒子,很容易泄露数据隐私,还很难追踪到底是谁干的。不仅如此,OpenClaw 还被发现有好几个高危漏洞。比如 CVE-2026-25253 可以让坏人偷取 Token 并远程执行代码;CVE-2026-24763 让 Docker 的沙箱有了命令注入的风险;CVE-2026-25593 则是工具调用参数的问题。虽然这些漏洞都被修复了,但还是有中等风险在里面。 跟大模型交互的安全威胁也很突出。提示词注入和“提示走私”成了新的攻击手段;记忆投毒能长期控制 Agent 的行为;甚至大模型出现幻觉也可能导致文件被误删或者数据损坏这种不可挽回的损失。 面对这么多风险,工信部要求必须遵循“最小权限、主动防御、持续审计”的原则。要想安全部署这个系统,得从多方面下手:比如不能让它用 root 权限跑、要用容器隔离部署、绑定本地监听地址、把 API Key 加密存好、只从官方仓库找 Skill 用。 运维方面也得建立定期检查机制,做好权限管控、网络防护、密钥轮换、Skill 审计还有日志记录。一旦发现异常行为或漏洞就得赶紧响应处理。 OpenClaw 确实是 AI Agent 生态的一个典型代表,它让普通人也能轻松用大模型干复杂活儿。但它那深扒系统权限和高扩展性的特点,也带来了很多安全问题。未来想把它的生产力发挥出来又不踩雷坑,就得在权限管理、生态治理、漏洞修复和审计上下功夫才行。