配资平台官方紧急！OpenClaw“龙虾”有重大风险，工信部“六要六不要”必看

3 月 12 日，数码科技圈突发重磅预警！工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB），针对近期爆火的 OpenClaw（“龙虾”）开源智能体配资平台官方，发布了防范安全风险的 “六要六不要” 建议，明确指出这款开源智能体在四大核心场景存在突出安全风险，可能导致信息泄露、账户接管、系统被劫持等严重问题，# 工信部预警 OpenClaw 安全风险# #龙虾智能体六要六不要# 话题火速冲上热搜，阅读量突破 3.8 亿，评论区一片紧张，有用户直呼 “还好看到预警，差点就踩坑了”，也有用户表示 “每天都在用，现在心里慌得一批”。

近年来，开源智能体快速崛起，OpenClaw（“龙虾”）作为其中的热门产品，凭借免费开源、功能强大的优势，快速渗透到智能办公、开发运维、个人助手、金融交易等多个场景，成为很多企业和个人的 “高效工具”。无论是企业用它处理文档、分析数据，还是个人用它辅助学习、处理日常事务，它都能发挥重要作用，因此收获了大量用户的青睐，甚至一度掀起 “龙虾智能体热潮”。

但随着使用人群的增多，OpenClaw（“龙虾”）的安全隐患也逐渐暴露出来。工信部 NVDB 平台经过全面分析，发现这款开源智能体在四大典型应用场景中，存在诸多突出安全风险，一旦被恶意利用，可能给企业和个人带来巨大的损失。此次发布的 “六要六不要” 建议，就是为了帮助用户规避这些风险，规范使用 OpenClaw（“龙虾”），保障信息安全和系统安全。

首先，我们来详细了解一下 OpenClaw（“龙虾”）在四大核心场景的安全风险，让大家清楚知道 “坑” 在哪里，才能更好地规避风险。第一个场景是智能办公场景，这也是企业使用最广泛的场景之一。很多企业通过在内部部署 “龙虾”，对接企业已有管理系统，实现智能化数据分析、文档处理、行政管理、财务辅助和知识管理等，看似提升了办公效率，实则隐藏着巨大的安全隐患。

在智能办公场景中，最突出的风险是供应链攻击和企业内网渗透。如果企业引入了异常插件、“技能包” 等，很容易引发供应链攻击，导致企业内网被入侵；同时，网络安全风险会在内网横向扩散，引发已对接的系统平台、数据库等敏感信息泄露或丢失，比如企业的财务数据、客户信息、核心技术资料等，一旦泄露，可能给企业带来不可挽回的损失。此外，在缺乏审计和追溯机制的情况下，还容易引发合规风险，影响企业的正常运营。

针对智能办公场景的风险，工信部给出的应对策略也十分明确：独立网段部署，与关键生产环境隔离运行，禁止在内部网络使用未审批的 “龙虾” 智能体终端；部署前进行充分安全测试，部署时采取最小化权限授予，禁止非必要的跨网段、跨设备、跨系统访问；留存完整操作和运行日志，确保满足审计等合规要求。企业用户一定要严格按照这些策略操作，避免因操作不当引发安全风险。

第二个场景是开发运维场景，主要用于企业或个人辅助进行代码编写、代码运行、设备巡检、配置备份、系统监控、管理进程等。这个场景的安全风险主要是系统设备敏感信息泄露和被劫持控制，一旦出现问题，后果不堪设想。比如，非授权执行系统命令，可能导致设备遭网络攻击劫持；系统账号和端口信息暴露，容易遭受外部攻击或口令爆破；网络拓扑、账户口令、API 接口等敏感信息泄露，可能被恶意分子利用，发起针对性攻击。

应对开发运维场景的风险，工信部建议：避免生产环境直接部署使用，优先在虚拟机或沙箱中运行；部署前进行充分安全测试，部署时采取最小化权限授予，禁止授予管理员权限；建立高危命令黑名单，重要操作启用人工审批机制。对于开发人员和运维人员来说，这些建议一定要牢记于心，不能抱有侥幸心理，否则可能因一时疏忽，导致系统瘫痪、信息泄露等严重问题。

第三个场景是个人助手场景，也是普通用户使用最多的场景。很多用户通过个人即时通讯软件等远程接入本地化部署的 “龙虾”，让它作为个人信息管理、日常事务处理、数字资产整理的助手，同时也用它进行知识学习和生活娱乐。但这个场景同样存在安全风险，最突出的是个人信息被窃和敏感信息泄露。

比如，“龙虾” 智能体权限过高，可能导致恶意读写、删除任意文件；在互联网接入情况下，容易遭受网络攻击入侵；通过提示词注入，可能误执行危险命令，甚至被恶意分子接管智能体；如果明文存储密钥等敏感信息，还会导致个人信息泄露或被窃取，比如银行卡信息、身份证信息、社交账号密码等，给个人带来财产损失和隐私泄露风险。

针对个人助手场景的风险，工信部给出的应对策略的是：加强权限管理，仅允许访问必要目录，禁止访问敏感目录；优先通过加密通道接入，禁止非必要互联网访问，禁止高危操作指令或增加二次确认；严格通过加密方式存储 API 密钥、配置文件、个人重要信息等。普通用户在使用时，一定要注意权限设置，不要随意授予过高权限，避免泄露个人敏感信息。

第四个场景是金融交易场景，主要用于企业或个人调用金融相关应用接口，进行自动化交易与风险控制，提高量化交易、智能投研及资产组合管理效率，实现市场数据抓取、策略分析、交易指令执行等功能。这个场景的安全风险最为严重，可能引发错误交易甚至账户被接管，给用户带来巨大的财产损失。

具体来看，记忆投毒可能导致错误交易，比如恶意分子通过篡改 “龙虾” 的记忆数据，让它执行错误的交易指令，导致用户亏损；身份认证绕过可能导致账户被非法接管，恶意分子可以利用漏洞，登录用户的金融账户，转移资金；引入包含恶意代码的插件，可能导致交易凭证被窃取，进一步威胁用户的财产安全；极端情况下，因缺乏熔断或应急机制，还可能导致智能体失控，频繁下单，造成巨额损失。

应对金融交易场景的风险，工信部建议：实施网络隔离与最小权限，关闭非必要互联网端口；建立人工复核和熔断应急机制，关键操作增加二次确认；强化供应链审核，使用官方组件并定期修复漏洞；落实全链路审计与安全监测，及时发现并处置安全风险。无论是企业还是个人，在金融交易场景使用 “龙虾” 智能体时，一定要格外谨慎，严格遵守这些建议，避免财产损失。

除了四大场景的具体风险和应对策略，工信部还强调，用户要定期检查并修补漏洞，及时关注 OpenClaw 官方安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警，一旦发现问题，及时采取措施，避免风险扩大。同时，要警惕非官方版本的 “龙虾” 智能体，避免下载安装来源不明的插件和 “技能包”，从源头规避安全风险。

此次工信部发布预警后，腾讯云也第一时间集中回应了 OpenClaw（“小龙虾”）AI 智能体的安全、费用及产品线疑问。腾讯云强调，“龙虾” 智能体安装免费，但调用大模型会产生 Token 费用；澄清了此前 “偷跑” 扣费实为用户历史模型调用费，消除了用户的疑虑。同时，腾讯云透露，正计划在各地 “闪现” 开展线下免费装机活动，帮助用户规范安装和使用 “龙虾” 智能体，规避安全风险。

马化腾也在 3 月 11 日凌晨 2 时许，在朋友圈转发了腾讯推出全系 “龙虾” 产品矩阵的公众号文章，并配文 “自研龙虾、本地虾、云端虾、企业虾、云桌面虾，安全隔离虾房、云保安、知识库…… 还有一批产品陆续赶来”，可见腾讯对 “龙虾” 智能体的重视，也体现出企业在规避安全风险方面的努力。

但网友们的担忧依然没有消除，很多用户表示，自己每天都在使用 “龙虾” 智能体处理工作和生活事务，现在知道有这么多安全风险，心里十分慌，不知道该怎么办。有网友留言：“每天用它写文档、分析数据，现在担心企业信息泄露，赶紧按照‘六要六不要’整改”；还有网友表示：“个人用它管理密码和资产，现在赶紧关闭了不必要的权限，太吓人了”。

也有部分网友表示，虽然 “龙虾” 智能体存在安全风险，但它的功能确实很实用，不想放弃使用。针对这部分用户，建议严格按照工信部的 “六要六不要” 建议操作，规范使用，定期检查漏洞，及时修复问题，同时避免授予过高权限，不下载来源不明的插件，最大限度规避安全风险。如果使用过程中发现异常，及时停止使用，并联系官方寻求帮助。

从行业角度来看，OpenClaw（“龙虾”）开源智能体的安全风险，也反映出当前开源智能体行业存在的共性问题。随着开源技术的快速发展，越来越多的开源产品走进人们的生活和工作，但部分产品缺乏完善的安全防护机制，加上用户使用不规范，容易引发安全风险。此次工信部发布预警，不仅是为了提醒用户规避 “龙虾” 智能体的风险，也是为了推动开源智能体行业规范发展，督促企业加强安全防护，提升产品安全性。

对于企业来说，要加强对开源智能体的安全管理，建立完善的安全防护机制，定期开展安全测试和漏洞扫描，及时修复安全隐患；同时，加强员工的安全培训，规范员工的使用行为，避免因操作不当引发安全风险。对于普通用户来说，要提高安全意识，严格按照官方建议使用开源智能体，不随意授予过高权限，不下载来源不明的组件，保护好个人信息和财产安全。