当心！你养的“小龙虾”可能正偷钱、偷数据，四步教你管好它

近期，一款名为OpenClaw的AI智能体在各大社交平台迅速走红。因其红色小龙虾的图标形象，被网友亲切地称为“小龙虾”。

与多数只能对话问答的AI助手不同，OpenClaw能接受用户指令自动执行任务，比如整理数据、收发邮件、制作PPT、运营社媒账号等。用户可通过安装不同的skill（技能），让它操控电脑完成各类操作，这让不少人为此心动，火速“领养”。

从互联网大厂楼下的免费安装点，到网上动辄几百上千元的代安装服务，“养龙虾”俨然成了一种新的社交货币和科技尝鲜潮。然而，这股热潮之下，暗流汹涌。《消费者报道》调查发现，这只看似听话的“小龙虾”，作为AI助手，在缺乏看管的情况下极易失控，会导致用户隐私泄露、财产损失，甚至整个数字系统“瘫痪”。

“当时看朋友们都在玩，说是能自动整理文件、回复信息，觉得很酷，自己也跟风免费安装了一个。”深圳的小陈（化名）告诉记者。

然而，越免费的东西可能越贵。小陈在安装后没多久，就收到了云服务商的欠费提醒。“安装人员说有50万的deepseek免费调用额度，结果我就跟它互动了几次，云服务商就打电话提醒欠费了。”小陈回忆道，“龙虾”在后台调用AI接口需要消耗token（算力），由于在安装程序时未做token限制，她的“龙虾”偷偷地开始了疯狂消费。“我后面充值完就没有再使用，结果当天下午又被提醒欠费。这真的合理吗？”小陈无奈道。

无独有偶，科技小白赵森（化名）也向记者反映了类似遭遇。他抱着尝新的心态，请人远程帮忙配置了一个“OpenClaw”，本想“薅”商家提供的100万tokends免费额度，结果只问了2次天气就消耗超18万tokens，让他对AI算力的消耗速度大为震惊。

“感觉就像很多年前的手机上网，对流量没概念，一不小心就用爆套餐配额了。”赵森苦笑道。

社交平台上，有不少用户吐槽“虾粮”贵，快要“养不起”了。更有人因API密匙被盗，3天被消耗1.2万元的token费用。

（图源：社交媒体）

比贵价账单更令人担忧的，是系统安全防线的失守。

上海的苹果用户李女士（化名）向《消费者报道》讲述了她的“惊魂经历”。今年2月初，李女士在朋友推荐下，在自己的MacBook上部署了OpenClaw，并按照网上教程授予了“完全磁盘访问权限”和“辅助功能控制”等高级权限。但在她点击了一个朋友发来的共享文档链接之后，系统出现异常。

“点开之后，电脑就开始不对劲了。”李女士回忆，先是系统自带的“Time Machine”、AppleID设置等核心进程频繁崩溃，紧接着她发现电脑的“控制台”日志被系统性清空，无新日志生成。

随后的事态更加严重。李女士的Mac上开始出现可疑后台进程，系统界面篡改。更可怕的是，她储存在iCloud钥匙串中的各类账号密码疑似被读取，其电脑和手机iCloud里存储的数据被批量删除。攻击者似乎通过这只“龙虾”，获得了她整个苹果生态的控制权。

“感觉像家被偷了，而且小偷还换了你家的锁，大摇大摆住了进来。”李女士心有余悸。事后经安全人士分析，很可能是她安装的程序或其某个“技能插件”本身被恶意篡改，或是在运行中执行了隐藏于网络上的恶意指令，导致全线失防。

李女士的经历绝非孤例。据国家互联网应急中心CNCERT于3月10日发布的风险提示，已有用户因不当安装及使用OpenClaw，出现了严重的安全风险。比如，用户系统密钥泄露、重要信息被彻底删除、被恶意执行窃取密钥或部署木马后门软件等操作等。

面对这股来势汹汹的“养虾”潮，消费者应如何保护自己？《消费者报道》结合CNCERT以及行业人士的建议，整理出以下安全指南：

1.收紧操控权限：

安装任何自动化工具时，坚决遵循“非必要不授权”原则。尤其是“完全磁盘访问”、“辅助功能”、“无障碍服务”等核心权限，务必三思而后行。不要轻信“不授权就无法使用”的话术。

2.网络隔离是关键：

不要将OpenClaw这类程序的管理后台直接暴露在公共互联网上。如果确有远程访问需求，应通过设置防火墙规则、使用VPN、IP白名单等专业手段进行严格管控。对于绝大多数个人用户，仅在家庭内部网络使用是较为安全的选择。

3.慎用插件，管好密钥：

对来历不明的第三方插件保持高度警惕，尽量使用经过官方验证或信誉高的开发者提供的插件。切勿在程序的配置文件或环境变量中存储邮箱密码、银行密钥、API令牌等敏感信息。

4.保持更新，留意账单：

关注程序的官方安全公告，及时更新到已修复已知漏洞的版本。同时，定期检查你所用的云服务平台账单，设置消费额度预警，避免因程序“偷跑”产生意外高额费用。

“养龙虾”的翻车事件，是新技术在普及过程中，因用户认知及安全意识不足而出现的短暂阵痛。它不是“龙虾”本身的原罪，而是我们在拥抱智能化时代时，必须补上的“安全教育课”。面对这样的技术浪潮，与其急于追逐它的脚步，不如先学会在数字海洋中安全游泳。