整理｜华卫

“真不敢相信旧金山湾区居然有人要花 6000 美元请人上门安装 OpenClaw。”今日，X 上一条这样的帖子引发热议。

这是海外代装平台 SetupClaw 给出的明码标价：托管安装 OpenClaw3000 美元，含 Mac mini 硬件的远程配置 5000 美元，含 Mac mini 硬件的现场配置 6000 美元。有人评价道，“价格确实离谱，但市场需求是真实存在的。”

短短两月，OpenClaw 以一个个人智能体的身份在全球掀起现象级安装热潮，远超此前任何一款 Agent 产品的公众影响力和普及程度。在国内平台，“OpenClaw 上门安装”的帖子也不断刷屏，服务提供者的 IP 蔓延到全国各地，报价普遍在几百到一千不等，还有人为了接单不仅上门部署还送“做饭服务”。

与此同时，已经有人靠这波安装热潮赚翻了。SetupClaw 创始人 Michael 更是号称靠这门手艺，有望年入百万美元。小米则是直接把“龙虾”搬到了手机上，小米手机版 AI Agent“Xiaomi miclaw”在昨日开启封测。

面对如此热潮，昨天，腾讯云团队也下场为大众提供了帮助大家安装 OpenClaw 的服务：“你带着笔记本电脑去现场，就能把小龙虾带回家”。

据悉，腾讯云这次一共派出了 20 位工程师到场摆摊讲解。在深圳腾讯大厦楼下，排起了长队，其中还不乏小学生和满头白发的老人。3 小时内，数百台 OpenClaw 成功上线。

这场颇具话题性的“线下养虾”活动，甚至还获得了 OpenClaw 创始人的转发。

昨天刚装上，今天就“裸奔”了？！

然而巧合的是，腾讯云昨天还在线下大规模推广、现场帮用户装机；今天，“OpenClaw Exposure Watchboard”的公开监控页面上，就已经新增了好几例来自腾讯云服务器的暴露实例。

在“OpenClaw Exposure Watchboard”的全部网页上，列出了超 25.8 万个暴露在公网的 OpenClaw 实例，覆盖美国、新加坡、中国大陆等多个地区。

而除了安全暴露，费用问题也开始浮出水面。

“OpenClaw 很有趣，但如果不小心，它也会耗尽你的钱包。”此前，就有开发者指出，OpenClaw 必须接入外部模型才能让它运转，其在模拟全天候助理的待命状态过程中内置了一套心跳（Heartbeat）机制，每隔 30 分钟自动醒来检查事项，而每次的唤醒都会消耗 token，算下来一个月即使没有实际产出、仅靠心跳机制也要烧掉近 750 美元。

信用卡刷爆、CEO 电脑被黑产出售 Root 权限

事实上，OpenClaw 的各种安全事故绝不在少数。

几天前，一位开发者在使用 OpenClaw 时突然收到银行短信：他的信用卡额度被刷爆了！查看日志后，他发现罪魁祸首是几天前刚刚部署的 OpenClaw 实例。

他用 OpenClaw 编写了自动化脚本，通过 noVNC 将 Chrome 浏览器直接暴露在公网（端口直连映射），本意是远程调试浏览器自动化流程。结果，Chrome 里保存的支付方式、Cookie、自动填充的信用卡信息，直接变成了公开的“自助 ATM 机”。攻击者发现了这个暴露的 VNC 实例，短短几分钟就将信用卡刷爆。

简单来说，因为其 OpenClaw 服务暴露在公共互联网上，攻击者访问后窃取了保存在 Chrome 浏览器中的信用卡信息。

值得注意的是，这些并非个例，而是一场系统性安全灾难。OpenClaw（含沙箱浏览器入口）默认将服务绑定至 0.0.0.0 （全网卡监听），早期版本 x11vnc 甚至启用 -nopw （无密码认证）。这意味着，运行 Docker 时若未添加 --network host 或显式限制端口发布，等同于将整个浏览器桌面直接丢进公网。

“这些 Agent 就像以前的共享软件，存在大量安全漏洞。”有人说道。

前不久，Cato CTRL 的高级安全研究员 Vitaly Simonovich 也披露了一起让 Agent 圈警醒的案例：攻击者通过一台遭入侵的、基于 OpenClaw 的 AI 个人智能体，拿到并出售英国一家自动化公司 CEO 电脑的 root shell 访问权限，甚至还把这项权限直接挂上暗网出售，开价 2.5 万美元。

但真正值钱的，甚至不是 root 权限本身，而是这位 CEO 背后的 OpenClaw 实例。因为这款 AI 私人助理，早已在悄无声息地替攻击者“攒情报”：关于家庭、爱好和财务的私人对话、公司完整生产数据库、Telegram 机器人账号信息，甚至还有 CEO 正在开发的 Trading 212 交易机器人可用 API 密钥。

卖家“fluffyduck”将目标公司描述为一家拥有 11–50 名员工的英国小型自动化公司。该公司主要开发可编程逻辑控制器（PLC）、安装工业机器人、制造定制装配机和自动导引车（AGV），同时还是西门子的合作伙伴，公司资产规模约为 80 万英镑。

他甚至还特意强调，这位 CEO 直到当时还在持续与这个 AI 助手聊天，“边聊边泄露”，因此是一个“近乎完美的目标”。

具体来看，这个被挂到暗网出售的 OpenClaw 实例，几乎等于把一个 CEO 的数字生活和一家公司的运营底牌一起交到了攻击者手里，包括：

• OpenClaw AI 助手的完整访问权限（包括全部对话、上下文和长期记忆）

• OpenClaw 控制台账号凭证

• CEO 的 Telegram 机器人 token 和 chat ID

• Trading 212 交易 API 密钥（CEO 正在开发交易机器人）

• CEO 向 AI 透露的大量个人信息，包括家庭情况、妻子、孩子、兴趣爱好以及家庭联系人

更夸张的是，数据库层面的暴露也不是零散信息，而是高度完整的企业运营数据，涵盖客户联系人、现金流预测、人工成本、采购订单、项目进度、资源可用性、排班模式、通知偏好等几十张业务数据表。也就是说，黑客盯上的，已经不只是你的电脑，而是你身边那个最懂你、也替你记住一切的 OpenClaw 个人助理。

为什么这类 Agent 天生不安全

“2026 年最大的安全风险，不在于 AI 有多智能，而在于开发者把本地等同于安全。OpenClaw 再强大，也挡不住一次 0.0.0.0 的疏忽。”当前，所有 OpenClaw 用户们都需要警惕其风险了。

事实上，OpenClaw 创始人 Peter 早就提醒过，这个项目最初并不是为了公网环境设计的，但阻止不了大家把它直接放公网上。Peter 表示，Openclaw 的 Web 服务最早只是一个本地调试工具，默认使用场景是本地可信网络，所以没有公网必需的安全机制。

最近，OpenClaw 也开始尝试通过权限收紧来降低风险。例如，在 2026.3.2 的新版本中，默认工具权限被大幅限制，只保留了 messaging（消息）权限，像 coding、system 等涉及系统操作的能力都被默认关闭。

但从开发者社区的反馈来看，这种限制也并非不可绕过。有开发者在 X 上调侃道：

“新安装的 2026.3.2 版本默认只有 messaging 权限，其它 coding、system 权限全没了……你的龙虾只能陪你聊天了。”

不过，如果直接修改 openclaw.json 配置文件，把 messaging 改为 full 或删除限制，再重启服务，“一只活蹦乱跳的龙虾就回来了”。

换句话说，虽然官方已经开始收紧默认权限，但对于熟悉部署流程的用户来说，这些限制并不难被修改。而在越来越多人把 OpenClaw 部署到公网服务器的情况下，这种“默认安全 + 手动放开权限”的模式，究竟能在多大程度上降低风险，仍然是一个值得观察的问题。

值得注意的是，Anthropic 和谷歌正在严厉打击在其平台上运行 OpenClaw 的用户。Anthropic 更新了使用条款，明确禁止通过第三方工具使用 Claude 订阅的 OAuth token（包括 OpenClaw 这类封装工具）。谷歌也突击封杀使用开源智能体 OpenClaw 的开发者账号，并指控他们存在“恶意使用”行为。

CNBC Deirdre Bosa：如今，OpenClaw 在中国的热度，甚至可能已经超过了硅谷。

字节跳动、阿里巴巴、腾讯都在围绕它打造云服务；线下聚会动辄三百人规模；甚至连“上门安装 OpenClaw”，都开始变成一门火爆的副业。

而在美国这边，却是另一番景象：Anthropic 和 Google 正在加强限制，打击用户通过它们的平台运行 OpenClaw。

上月，中国工业和信息化部也发布安全警报，警告 OpenClaw 存在相关风险。警报指出，监控发现某些 OpenClaw 部署在默认或不当配置下会引发较高的安全风险，使其极易受到网络攻击和信息泄露。

“这就像让⼀个握有你全部秘密（API Key、 密码） 的笨⼩孩出⻔办事， 路上随时可能被⼏块糖（Prompt Injection） 骗⾛你家地址。”对于热门的 OpenClaw，前 Meta AI 研究总监⽥渊栋在近日的一场对话中这样评价。据称，他在试⽤OpenClaw 两⼩时后选择了卸载，核⼼担忧就是安全。

参考链接：

https://x.com/landiantech/status/2029946380039684322?s=20

https://x.com/evilcos/status/2029939612941176872