慢雾科技警告：小龙虾OpenClaw是双面刃 机会与漏洞并存

币圈子(120BTC.COm)讯：最近AI Agent(人工智能代理)的开源项目OpenClaw被许多人视为「自动化金矿」。然而，慢雾科技资安长23pds于今(11)早发出警告：若不具备技术基础，只想蹭热度跟风部署，收获的可能不是财富，而是暴露在极高风险下的灾难。

OpenClaw是双面刃：机会与漏洞并存

23pds在X平台发文指出，OpenClaw对于具备安全能力的公司而言，确实能转化为生产力工具。但对于系统基础「一塌糊涂」的团队，盲目跟风毫无意义，只是在制造新的漏洞。

同时他提到，从技术门槛来看，运行7B-14B模型至少需配备NVIDIA RTX 3060/4060以上显卡(显存≥8GB)，内存建议32GB以上。若选择云端API(如Claude)，每月Token费用可能高达数十至数百美元。

这些成本对于缺乏技术评估能力的投机者而言，往往被低估。

三大资安威胁：从恶意安装包到AI幻觉

目前OpenClaw常被点出有以下三大安全威胁：

• 首先是恶意安装包入侵。目前已发现不少伪装成「openclawai」的恶意npm包，专门窃取加密钱包私钥与Apple Keychain中的敏感信息。市面上流通的「U盘版」也可能夹带恶意Skills，一旦安装即授予黑客高权限存取系统底层的能力。

• 其次是搜索结果投毒。黑客针对Bing等搜索引擎进行SEO投毒，让想下载OpenClaw的用户误入伪造网站，进而下载含有后门的程序。

• 第三是AI幻觉风险。曾有案例显示，AIAgent因幻觉产生虚假的仓库ID，导致开发过程中出现「部署偏移」，让整个项目偏离预期轨道。

OpenClaw的崛起标志着AI代理时代的进步，但技术热度不应掩盖基本的资安常识。守住私钥与系统权限，比跟风任何开源项目都来得重要，毕竟看不懂的代码，就是资产最大的威胁。