4月1日,公安部网安局再次发布紧急提醒,直指OpenClaw(俗称“龙虾”)在部署使用过程中存在严重安全隐患。文章指出,OpenClaw作为具备“手脚”去真实操作系统中执行任务的AI智能体,其默认开放最高权限、开源生态、原生漏洞缺乏防御等特性,已使其成为网络攻击的重点目标。
“龙虾”安全事件频发,威胁持续升级
公安部网安局在发文中同时披露了多起真实案例,包括深圳程序员因API密钥明文存储导致1.2万元账单损失、攻击者通过ClawHub官方技能市场投放1120个恶意技能包实施供应链攻击、用户购买远程安装服务后被黑客完全接管主机等触目惊心的“龙虾伤人”事件。
事实上,公安部通报的案例仅是冰山一角,自2026年以来与OpenClaw相关的安全事件不仅呈现爆发式增长,攻击手段也持续升级,不再是针对单一漏洞的攻击,而是针对AI智能体工作流的“围猎”。
三月下旬,国家互联网应急中心(CNCERT)发布紧急提醒,披露了针对OpenClaw的“间接提示词注入”风险。这一攻击手段作用于“龙虾”的工作流程之中——攻击者将恶意指令嵌入AI智能体可能访问的网页或文档中,当用户要求AI总结或分析此类内容时,龙虾可能在不知情的情况下生成包含敏感用户信息(如API密钥或用户名)的URL,并将其发送至攻击者控制的域名,在某些场景下,这些敏感数据甚至可能在用户从未点击的情况下被自动传输。
这些事件暴露出当前“龙虾”生态的脆弱性:缺乏统一安全标准、用户安全意识薄弱、攻击手法不断进化。这也给想要借助OpenClaw实现AI提效的企业带来新的难题——面对全新的安全挑战,传统的安全防护已全面失效,亟需实战化、体系化的新一代安全解决方案。
实战化防御、全场景管控,助力企业释放AI生产力
作为首个针对OpenClaw进行实战化防御的团队,360安全云在这场“全民养虾”热潮中率先推出实战化防御解决方案——龙虾保。针对龙虾安装、部署、使用全生命周期构建原子级风险映射矩阵,为每一个风险点匹配专属的防护单元。
龙虾安全体检、龙虾SKILL安全超市、龙虾安全巡检、龙虾恶意SKILL防护、配置核查工具箱五大智能体各司其职却又高效协同,AI help AI,7×24小时为龙虾行为兜底。
通过技术手段,360安全云龙虾保为OpenClaw这位“硅基员工”制定行为准则,划定底线,助力企业AI智能体应用能够安全落地。
于此同时,针对企业应用龙虾的不同需求场景,龙虾保同时提供发现龙虾、禁止龙虾服务——
员工私自部署的龙虾难以发现?漏洞被攻击难追责?360安全云龙虾保能够通过主动扫描、终端发现等手段对企业内网环境及员工终端进行全面摸排,快速、全面、持续地发现龙虾资产,让企业“看得见”部署了龙虾的终端,为后续应用和安全防护筑牢基础。
对于存储海量用户信息、业务停摆易造成严重后果的政务、教育、医疗、金融、能源等关键信息基础设施行业来说,“禁止龙虾”成为更为迫切的需求。龙虾保通过终端侧的安装拦截、进程终止和文件删除,网络侧的通信链路阻断等多维手段并举,实现“禁止龙虾”,为高敏行业筑起数据隔离防线。
技术创新与安全防护从来都不是非此即彼的单选题,OpenClaw引领的AI智能体浪潮正在重塑人机交互方式,为企业级AI应用打开前所未有的想象空间。但唯有在安全可控的前提下,AI生产力才能得到真正地释放。
让想用的企业能够“放心用、大胆用”,让禁用的企业“禁得彻底”,360安全云龙虾保正以场景化创新思维,助力企业破解应用OpenClaw“看不见、管不住、禁不掉”的核心困局,助力企业安心释放AI生产力!
