2026年开年,一个名为OpenClaw的开源项目以闪电般的速度席卷了GitHub。它在短短一天内就斩获了9000颗星,两周后星标更是突破了17万。一时间,标志性的小龙虾图案登上了各大社交平台的头版,成为科技圈最炙手可热的话题。
社交平台、二手交易平台上,上门安装、远程部署的广告铺天盖地,报价从30元到1.6万元悬殊巨大,更令人诧异的是,真的有不少人趋之若鹜、抢着付费。
但很多人直到付费后都没弄明白一个基本事实:OpenClaw本身是免费开源软件,网上教程随处可见,完全可以自行安装部署。
明明零成本、能自己动手,为何仍有一些人甘愿当“冤种”?
究其原因,首先是AI焦虑泛滥。在“不掌握AI就会被淘汰”的舆论氛围下,不少人失去基本判断,不管是否真正需要,先跟风装上再说,花钱买一份“没有掉队”的安全感。
而那些四处接单的“养龙虾师傅”,身份同样值得扒一扒。
他们中不少人并非专业技术人员,只是看过几遍教程、掌握基本流程的普通网友,有的是兼职学生,有的是跨界从业者,甚至有人自己都未完全吃透工具,就敢上门“教学”,图的就是一锤子买卖,趁着风口挣一波热钱而已。
现在,随着OpenClaw的爆发式走红,第一批受害者已经开始出现。为了让这款AI智能体能够24小时持续运行,越来越多的人选择将其部署在云服务器上,但由于缺乏安全防护意识,很多用户在配置时留下了巨大的隐患。
许多用户在部署过程中,不小心将控制接口直接暴露在了公网环境下。OpenClaw默认通过18789端口提供控制服务,如果没有设置严格的身份验证,任何网络扫描工具都能轻易锁定它的位置。
一旦这些接口被攻击者连接,对方就能直接掌控一个拥有系统最高权限的AI代理。原本为你提供便利的工具,瞬间就会变成别人控制你电脑或服务器的跳板。目前,被扫描出的处于裸奔状态的龙虾实例已经高达27万只。
针对这一乱象,OpenClaw的一位维护者Shadow在社交平台上直言不讳地指出,如果使用者连基础的命令行操作都不会,那么这个项目对你来说实在太危险了。盲目部署而不懂安全配置,无异于将自家大门的钥匙挂在了大街上。
安全专家也对此发出了紧急提醒,OpenClaw在部署时存在明显的信任边界模糊问题,且由于它具备持续运行和自主调用系统资源的能力,在缺乏权限审计机制的情况下,非常容易受到指令诱导或被外部恶意接管。
这种越权操作的风险极高,可能导致严重的个人信息泄露或系统彻底受控。用户在享受AI技术红利的同时,必须核查暴露情况,关闭不必要的访问端口,并完善身份认证与加密机制,守住最基本的安全红线。
AI工具的价值在使用,而非拥有。
免费开源的初衷是普惠技术,而非滋生乱象。面对风口,多一份理性,少一份焦虑,多一点动手能力,少一点盲目跟风,才能真正避开智商税。
