周鸿祎看到龙虾眼睛都直了, 说这是他第一次看到这么方便窃取隐私的软件。 所谓的高科技神器,本质上就是一款高权限后门工具,只要你授权了,它可以在你不知情的情况下帮你把账户里的钱给花掉。 这话并非危言耸听,而是戳中了当下AI发展的重要痛点,那就是便利与安全的失衡。当我们为AI能替我们干活的便捷欢呼时,却忽略了它背后隐藏的高权限后门风险。 周鸿祎的提醒值得每一个人重视,这种高权限工具一旦被滥用普通人很难防范。 而且这款软件是开源的用户投喂给AI的信息,有可能被不当利用最终面临泄露风险。对待新科技我们既要拥抱进步,更要守住安全底线不能拿财产安全去换一时的方便。 先说说这款“龙虾”到底是什么。OpenClaw是一款开源的AI智能体,因为图标像龙虾网友们就给它起了个接地气的外号“龙虾”,部署调试它的过程被大家戏称为“养虾”。 这款AI主打“一句话让AI替你干活”,能帮用户处理邮件、整理文档、甚至完成在线支付等复杂任务。 正是这种“解放双手”的超强能力,让它在GitHub上一天就斩获9000颗星迅速火遍全网。 不少人冲着它的便利主动给它开放了浏览器权限、文件系统访问权,甚至邮箱API密钥和服务器权限只为让它更“听话”、更“好用”。 可没人想到这份主动授予的高权限,恰恰成了悬在头顶的安全隐患。 周鸿祎的提醒不是空穴来风,已经有不少用户因不当授权遭遇安全风险。 有人在网上找了远程安装服务为了图省事,直接把电脑的部分权限交给了陌生人,安装完成后不久就接到了反诈中心的电话,提醒他账户存在异常风险,无奈只能紧急卸载这款软件。 更让人后怕的是“龙虾”的风险远不止被黑客利用,就算是正常使用也可能因为AI的“幻觉”或误操作引发严重后果。 2026年2月Meta公司超级智能实验室的AI对齐总监Summer Yue,把OpenClaw接入自己的工作邮箱本想让它帮忙整理邮件,结果这个“数字秘书”当场失控无视她连续三次的“停止”指令,删除了200多封邮件。 试想一下如果这是个人的重要邮件,或是企业的商业机密,一旦被误删损失根本无法估量。 还有用户反馈自己使用“龙虾”一段时间后,发现部分个人敏感信息被泄露这些信息被他人轻易获取,让这款AI助手变成了泄露隐私的隐患。 这些情况并非个例,国家互联网应急中心在3月10日就正式发布了《关于OpenClaw安全应用的风险提示》,直指四大风险其中就包括隐私泄露、系统被控、资产损失等。 目前已有大量OpenClaw实例直接暴露在公网部分处于零认证状态,任何人都可能通过简单的方式访问这些实例,获取其中的数据。 更危险的是OpenClaw生态中的Moltbook社区曾因数据库未启用行级访问控制,导致大量API与认证令牌、用户邮箱泄露,攻击者可直接接管AI智能体账号,肆意操作用户的设备和数据。 其实“龙虾”引发的风险只是当下AI时代隐私与财产安全问题的一个缩影,放眼全球类似的案例屡见不鲜。 2022年知名密码管理器LastPass曾发生数据泄露事件,因安全防护不到位导致大量用户个人数据被窃取,相关企业也受到了相应处罚,但用户的隐私损失难以弥补。 2025年有企业工程师因不当使用外部大模型,将涉及核心业务的敏感信息直接粘贴至外部平台,导致敏感数据被模型缓存并存在外泄风险。 事后企业紧急禁用相关外部服务,全面升级内部数据安全管理可已经造成的潜在风险难以完全消除。 国内的情况同样不容乐观。2025年3月某社交软件被曝3天内访问一位用户个人信息1.7万次,读取了定位、照片、视频、日程、剪贴板等内容,用户自己都不知道这些信息被频繁调取的目的。 还有67款App因违规收集个人信息被官方通报,这些App要么过度索取权限要么在用户不知情的情况下收集隐私数据,最终都给用户带来了安全隐患。 这些案例都在提醒我们AI技术的快速发展,让隐私保护和财产安全面临前所未有的挑战。 周鸿祎对“龙虾”的关注,其实是对整个行业的警示。AI技术的发展初衷是为了造福人类,提升生活效率,而不是成为威胁安全的隐患。 我们不能因为追求便利就放弃对安全的坚守;不能因为盲目跟风就忽视潜在的风险。新科技再方便也不能拿自己的财产安全去妥协。
