突发!第一批养龙虾“OpenClaw”的人已中招!有人2小时消耗Token 100美元,有人银行卡密码、身份信息、社交记录、商业机密已被黑客窃取!
点击上方“码农突围”马上关注 这里是码农充电第一站回复“666”获取一份专属大礼包 真爱请设置“星标”或点个“在看”这是【码农突围】的第493篇原创分享作者 l 突围的鱼来源 l 码农突围IDsmartyuge近期AI圈刮起的“养龙虾”热潮本质上就是一场裸奔式狂欢——无数人趋之若鹜把这个号称“全能AI助手”的开源工具奉为神器殊不知你以为的高效便捷背后全是黑客虎视眈眈的陷阱。工信部紧急拉响预警直指OpenClaw部分实例在默认或不当配置下存在极高安全风险可仍有太多人执迷不悟觉得“我只是个人使用不会中招”。醒醒OpenClaw的安全漏洞早已不是“潜在风险”而是实打实的“连环爆雷”被窃取的也不是无关紧要的垃圾信息而是你的API密钥、社交记录、商业机密甚至是银行卡密码、身份信息。今天就用最犀利的话、最真实的近期案例撕开OpenClaw的遮羞布——别等被黑客洗劫一空才后悔没早看到这篇警示先给那些跟风者泼一盆冷水OpenClaw曾用名Clawdbot、Moltbot所谓的“开源免费”“本地部署”“自主执行”从来不是优点而是它致命的安全死穴。它就像一个没有任何约束的“数字内鬼”一旦被黑客盯上就能凭借模糊的信任边界、过高的系统权限轻松接管你的设备、窃取你的一切而这一切你可能全程毫无察觉。近期爆雷的案例每一个都触目惊心每一个都可能发生在你我身上——第一个爆雷案例ClawJacked漏洞只需一次访问你的设备就被彻底接管。2026年2月底安全机构Oasis Security披露了这一高危漏洞可怕到令人发指攻击者只需诱导你访问一个恶意网站后台的恶意脚本就能悄无声息地与你本地运行的OpenClaw建立连接全程不触发任何浏览器警告。更致命的是OpenClaw默认将本地回环地址视为“安全区”豁免了请求频率限制黑客可以每秒数百次的速度暴力破解管理员密码常见弱密码不到一秒就能被破解复杂密码也撑不过几分钟。一旦破解成功黑客无需你任何确认就能窃取你的所有凭证、读取聊天记录、执行任意Shell命令你的电脑、服务器瞬间沦为黑客的“肉鸡”。OpenClaw团队虽在24小时内发布修复版本但此前已经有大量个人用户和中小企业中招不少人的私人文件、工作数据被洗劫一空损失无法挽回。第二个爆雷案例CVE-2026-25253漏洞一次点击你的Token就被拱手相送。图: OpenClaw架构及CVE-2026-25253漏洞路径图: OpenClaw One-Click RCE 利用链这一高危漏洞CVSS评分8.8早在ClawJacked之前就已曝光却至今仍有大量用户未修复。攻击者只需制作一个特制链接或恶意网站诱导你点击OpenClaw就会自动连接到攻击者控制的端点毫无保留地泄露浏览器中存储的网关身份验证令牌。更可怕的是通过这个漏洞黑客还能直接提取你存储的所有API密钥包括OpenAI、Claude、Google AI等服务的密钥。据Hunt.io团队扫描全球有超过17500个OpenClaw实例受此漏洞影响遍布52个国家其中中国就有648例集中在阿里云、腾讯云等基础设施上98.6%的暴露实例都运行在云托管服务器上意味着大量企业的核心数据正处于裸奔状态。第三个爆雷案例凭文明文存储恶意木马围猎你的密码早已是黑客的“囊中之物”。如果说前两个是可修补的漏洞那OpenClaw在凭证管理上的缺陷就是刻在骨子里的硬伤——它会将你的API密钥、账号密码、各类服务凭证全部以明文形式存储在配置文件中聊天记录、记忆文件也全是明文敏感信息。这就意味着只要黑客突破任何一道防线就能轻松获取所有你的核心信息无需解密、无需提权。更讽刺的是RedLine、Lumma、Vidar等主流窃密木马已经专门将OpenClaw的存储路径加入“必偷清单”只要你的设备感染这类木马OpenClaw里的所有凭证都会被自动窃取而你对此一无所知。第四个爆雷案例恶意技能泛滥供应链投毒你安装的“实用插件”就是黑客的窃密工具。OpenClaw的“技能”生态本是其核心卖点却成了最大的安全漏洞。Snyk安全审计显示ClawHub技能市场中36%的技能存在安全缺陷1467个技能藏有恶意载荷——这些技能伪装成“加密货币工具”“视频下载器”“文件整理助手”你以为是提升效率的神器实则是黑客植入的“特洛伊木马”。更致命的是OpenClaw的架构设计存在致命缺陷技能调用时能直接访问Agent持有的所有凭证一个恶意技能就能偷走你所有的核心资产。2026年1月OpenClaw官方曾紧急下架11个恶意技能累计下载量超8200次也就是说已有8200多名用户的信息可能被窃取而第三方恶意镜像更嚣张打着“免费解锁高级功能”的噱头传播里面藏着远程控制后门已有1100多名用户因此受损。还有更触目惊心的数据截至2026年2月中旬全球共探测到超过23万例OpenClaw公网暴露实例其中约8.78万例存在数据泄露4.3万例暴露个人身份信息整体暴露率高达47.5%技术行业、信息服务行业是重灾区金融、医疗等敏感行业也有大量实例暴露而中国的暴露实例就有7万5千多例——这意味着每两个部署OpenClaw的用户中就有一个人的信息可能已经被泄露。第五个爆雷案例token巨量消耗导致拖欠巨额账单。大家值得openClaw最核心的是自主智能也就是它可以不经过你同意无限使用你的API-Key进行自主任务。而你的API-Key是花钱买的很多大模型厂商现在都是预付费也就是你先消耗token月底再跟你结账。token数量不限制。那么openClaw就可以无限畅想token。 OpenClaw这种Token粉碎机一次任务能消耗数十万、上百万Token正好成了消化库存的完美出口。 一位用户设置OpenClaw每30分钟检查一次任务。一晚上25次空检查每次消耗120,000个Token约0.75美元总计18.75美元。AI的回答每次都是同一句话”没有新任务。”按这个频率算光是后台空转就需要每周250美元。一位中国开发者在阿里云开发者社区分享了自己的经历使用OpenClaw进行自动化任务处理2个小时就消耗了100美元的Token费用。还有更多人在社交平台分享自己自己的消耗token经历。看到这里还在跟风“养龙虾”的人该醒醒了很多人之所以掉以轻心要么是觉得“我只是个人用没什么值钱的信息”要么是图省事部署时完全沿用默认配置不升级、不加固、不关闭公网访问。可你们不知道黑客不会因为你是个人用户就手下留情——你的社交记录、手机备份、支付凭证在黑客眼里都是可变现的“肥肉”而那些图省事的企业一旦部署不当不仅会泄露商业机密还可能触犯《网络安全法》《数据安全法》面临高额罚款甚至承担民事赔偿责任。更让人愤怒的是OpenClaw的安全问题从来不是“意外”而是系统性的漠视。从架构设计上的信任边界模糊、权限失控到凭证管理上的明文存储再到技能生态的监管缺失每一个漏洞都暴露着开发者的敷衍——他们只追求用户增长、流量热度却把用户的安全当儿戏而那些跟风炒作、售卖“代安装服务”的人更是为了赚钱刻意隐瞒安全风险把无数人推向黑客的陷阱。别再抱有侥幸心理了AI助手再好用也不能以牺牲安全为代价开源再自由也不能沦为黑客的工具。工信部的预警不是危言耸听近期的爆雷案例更不是个例——今天你嫌麻烦不加固明天黑客就可能找上门今天你跟风部署不警惕明天你的隐私就可能被公之于众。在此郑重提醒每一个看到这篇文章的人如果你已经部署了OpenClaw立刻升级到最新修复版本关闭不必要的公网访问开启双因素认证禁用弱密码清理非官方技能和第三方镜像做好安全加固如果你还在犹豫是否部署劝你直接放弃——这只“数字龙虾”看似高效实则是一颗随时会爆炸的安全炸弹。安全无小事侥幸必翻车。OpenClaw的爆雷给所有跟风AI热潮的人上了生动一课AI的发展从来不是“能力越强越好”而是“安全底线越牢越好”。没有安全防护的AI助手再强大也只是黑客的“帮凶”忽视安全风险的跟风行为再潮流也只是自投罗网。token消耗非常贵建议不用的时候就停掉你的小龙虾后台空转任务也是要消耗token的。7*24小时你的钱袋子准备好了么请把这篇文章转发给你身边所有“养龙虾”的朋友、正在部署OpenClaw的同事提醒他们警惕风险、做好防护。转发一次就可能帮一个人避免财产损失、隐私泄露多一次警示就少一个人沦为黑客的目标。别让一时的跟风酿成无法挽回的遗憾——你的隐私值得被认真守护你的安全容不得半点侥幸

相关新闻

理解日志基础:使用Python进行有效的日志记录

理解日志基础:使用Python进行有效的日志记录

为什么要进行日志记录?日志记录允许您跟踪事件,当一个应用程序运行时,您可以了解它做了什么或在某个时间点发生了什么错误。这对于调试和监控应用程序来说是非常有用的。Python日志记录简介Python的 logging 模块提供了灵活的日志记录系统。与…

2026/7/3 20:50:44 阅读更多 →
# 智能合约开发新范式:基于Solidity的可组合性设计与实战优化在区块链技术飞速演进的今天,**智能合约已从简单的转账逻辑走向复杂的

# 智能合约开发新范式:基于Solidity的可组合性设计与实战优化在区块链技术飞速演进的今天,**智能合约已从简单的转账逻辑走向复杂的

智能合约开发新范式:基于Solidity的可组合性设计与实战优化 在区块链技术飞速演进的今天,智能合约已从简单的转账逻辑走向复杂的业务抽象层。而 Solidity 作为 Ethereum 生态中事实上的主流语言,其开发模式正经历一场“由硬编码向模块化、可组…

2026/7/3 9:51:48 阅读更多 →
OpenClaw爆火背后:是革命利器,还是新的“电子智商税”?

OpenClaw爆火背后:是革命利器,还是新的“电子智商税”?

最近,科技圈仿佛被一阵名为“OpenClaw”的旋风席卷。传闻中,腾讯总部门口排起了长龙,只为求一个安装名额;闲鱼上更是有人靠“上门安装OpenClaw”一次收费500元,生意火爆堪比早年贴膜。这场景似曾相识,让人不…

2026/7/3 5:06:58 阅读更多 →

最新新闻

Umi-OCR深度配置与优化终极指南:从入门到精通的离线OCR解决方案

Umi-OCR深度配置与优化终极指南:从入门到精通的离线OCR解决方案

Umi-OCR深度配置与优化终极指南:从入门到精通的离线OCR解决方案 【免费下载链接】Umi-OCR OCR software, free and offline. 开源、免费的离线OCR软件。支持截屏/批量导入图片,PDF文档识别,排除水印/页眉页脚,扫描/生成二维码。内…

2026/7/3 20:49:24 阅读更多 →
STM32F373VC与KMR221的嵌入式电压管理系统设计

STM32F373VC与KMR221的嵌入式电压管理系统设计

1. KMR221与STM32F373VC的硬件协同设计在嵌入式电压管理系统中,KMR221作为一款高精度电压监测芯片,与STM32F373VC微控制器的配合使用构成了硬件设计的核心。KMR221具有16位ADC分辨率,支持0.1%的电压测量精度,其I2C接口与STM32F373…

2026/7/3 20:47:24 阅读更多 →
企业级AI编排:MuleSoft集成LLM的工程化实践

企业级AI编排:MuleSoft集成LLM的工程化实践

1. 项目概述:当企业级集成平台遇上大语言模型“AI Orchestration in Action: How MuleSoft and LLMs Fuel the Future of Enterprise AI”——这个标题不是一句空泛的营销口号,而是我在过去18个月里亲手搭建、上线并持续迭代的三个核心生产系统的真实写照…

2026/7/3 20:45:23 阅读更多 →
MuleSoft企业级AI编排:安全、可审计的大模型集成实践

MuleSoft企业级AI编排:安全、可审计的大模型集成实践

1. 项目概述:当企业级集成平台遇上大语言模型“AI Orchestration in Action: How MuleSoft and LLMs Fuel the Future of Enterprise AI”——这个标题不是一句空泛的行业口号,而是我在过去18个月里亲手落地的三个核心生产系统的真实写照。它讲的不是“用…

2026/7/3 20:45:23 阅读更多 →
如何彻底解决Windows 10/11中PL2303老芯片的驱动兼容性问题

如何彻底解决Windows 10/11中PL2303老芯片的驱动兼容性问题

如何彻底解决Windows 10/11中PL2303老芯片的驱动兼容性问题 【免费下载链接】pl2303-win10 Windows 10 driver for end-of-life PL-2303 chipsets. 项目地址: https://gitcode.com/gh_mirrors/pl/pl2303-win10 如果你在Windows 10或Windows 11系统中使用PL-2303 USB转串…

2026/7/3 20:43:22 阅读更多 →
Spring Boot集成Cassandra:高性能数据存储实战指南

Spring Boot集成Cassandra:高性能数据存储实战指南

1. 为什么选择 Cassandra 作为 Spring Boot 的数据存储方案在分布式系统架构设计中,数据库选型往往直接决定了系统的扩展上限。三年前我在处理一个物联网平台项目时,曾面临日均千万级设备状态写入的挑战。当时测试了多种数据库方案,最终 Cass…

2026/7/3 20:43:22 阅读更多 →

日新闻

Nginx防御TLS重协商攻击实战:从原理到配置与监控

Nginx防御TLS重协商攻击实战:从原理到配置与监控

1. 项目概述:为什么TLS重协商攻击至今仍需警惕十多年前的CVE-2011-1473,一个关于TLS/SSL协议重协商机制的漏洞,现在提起来还有必要吗?很多运维和开发朋友可能会觉得,这都老掉牙了,现代服务器和客户端不都默…

2026/7/3 0:03:59 阅读更多 →
华为防火墙双通道远程管理实战:Web与SSH配置详解

华为防火墙双通道远程管理实战:Web与SSH配置详解

1. 项目概述:为什么需要双通道远程管理防火墙?在任何一个稍具规模的企业网络里,防火墙都是那个默默守护在边界的关键角色。作为网络工程师,我们不可能每次都跑到机房,插上console线去配置它。远程管理能力,…

2026/7/3 0:03:59 阅读更多 →
AD74413R与PIC18F65K40的高精度工业数据采集方案

AD74413R与PIC18F65K40的高精度工业数据采集方案

1. 项目概述:AD74413R与PIC18F65K40的协同工作在工业自动化和精密测量领域,同时实现高精度模数转换(ADC)和数模转换(DAC)功能是许多复杂系统的核心需求。AD74413R作为一款四通道可配置模拟输入/输出器件,与PIC18F65K40微控制器的组合&#xf…

2026/7/3 0:05:59 阅读更多 →

周新闻

月新闻