近期，OpenClaw（“小龙虾”，曾用名Clawdbot、Moltbot）应用下载与使用情况火爆，中国主流云平台均提供了一键部署服务。3月10日，国家互联网应急中心发布关于OpenClaw安全应用的风险提示。

3月13日，国家网络与信息安全信息通报中心再度发布提醒称，OpenClaw自发布以来，凭借其强大的自动化任务处理能力与开放式插件生态，在全球范围内引发部署热潮。大量暴露于互联网的OpenClaw资产存在重大安全风险，极易成为网络攻击的重点目标。

国家网络与信息安全信息通报中心监测数据显示，目前全球活跃的OpenClaw互联网资产已超20万个，其中境内活跃的OpenClaw互联网资产约2.3万个，呈现爆发式增长态势，主要集中在北京、上海、广东、浙江、四川、江苏等互联网资源密集区域。

排队养“龙虾”？腾讯推免费装AI市民争相排队　上门代装¥500一次

文中指出，OpenClaw在架构设计、默认配置、漏洞管理、插件生态、行为管控等方面存在较大安全风险，一旦被攻击者利用，可能导致服务器被控制、敏感数据泄露等严重安全问题。

安全问题包括，架构设计缺陷多，层层皆可破；默认配置风险高，公网暴露广；高危漏洞数量多，利用难度低；供应链投毒比例高，生态不安全；智能体行为不可控，管控难度大。

针对OpenClaw风险防范建议，国家网络与信息安全信息通报中心提供五点建议：

1、及时升级版本。通过可信来源获取安装程序，关注官方安全公告，及时更新至最新版本，及时修复已披露安全漏洞。

2、优化默认配置。仅在本地或内网地址运行，避免绑定公网地址或开放不必要端口，如使用反向代理，需配置身份认证、IP白名单和HTTPS加密。

3、谨慎安装第三方插件。通过官方渠道获取第三方技能插件，避免安装来源不明的扩展程序。对已安装插件进行功能审查，发现可疑行为立即卸载。

4、加强账户认证管理。启用身份认证机制，设置高强度密码并定期更换，避免使用弱口令。

5、限制智能体执行权限。对AI智能体的操作能力进行必要限制，仅允许执行白名单中的系统命令和操作权限，防止AI智能体被恶意指令利用后对个人终端设备造成实质性破坏。