咱们先说说最近特别火的开源AI智能体OpenClaw,也就是大家俗称的“龙虾”,最近真的成了全民热议的话题,大家都开始“养龙虾”。可这背后也藏着不少坑,这三大隐患必须得防着点:隐私泄露、乱花钱,还有黑客攻击。 先说那个吓人的事,Meta超级智能实验室的AI安全总监Summer Yue就遇到过,她邮箱里200多封邮件都被删了;还有人刚花1.2万元买了远程安装服务才5分钟,反诈中心电话就打来了;深圳有个程序员装了三天,凌晨账单来了,高达1.2万元的Token费,差点没把人吓晕。现在官方是更新了版本修复了漏洞,但根本没解决本质问题。只要是把实例暴露在互联网上、用管理员权限、还有明文存密钥这些低级错误不改,就算升到最新版也不安全。 杭州电子科技大学的周迪教授也分析了三个风险点:一个是指令诱导(就是被忽悠),因为AI脑子不太灵光,坏人随便忽悠几句就能骗走数据;一个是配置漏洞(就是没锁门),很多人为图方便不设密码或者把权限全开了,导致账号算力被偷走;最后一个是系统受控(就是反客为主),AI操作电脑的权限很大,万一被黑或者执行了错误代码,重要文件可能都没了。 那到底该怎么安全地“养龙虾”呢?给几点建议:首先千万别在你那个放重要资料的电脑上装,弄个虚拟机或者用台旧电脑最稳妥。装完之后赶紧改端口号,设置成只能本地访问网页界面,千万别放到公网上去;权限尽量收窄一点,特别是跟财务、本地文件还有执行命令相关的权限绝对要小心,最好手工确认才放行;再给Token设个上限盯着API用量跑,如果不想花钱折腾可以直接买个包月套餐。因为“龙虾”在跑那些复杂任务的时候特别费钱,如果额度没设好很容易大出血。 如果实在驾驭不了想卸载怎么办?直接看官方教程就好。Windows用户按Win+R输cmd回车或者搜PowerShell;Mac用户按Command+Space输Terminal回车。然后输这行命令:openclaw uninstall --all --yes,意思是彻底卸载所有东西全程自动确认。跑完这一步可能还剩个CLI工具在电脑里想彻底清掉再输npm uninstall -g openclaw就行了。最后重启一下电脑确保进程全关了。 对了如果你之前在里面绑定过API Key像OpenAI或者Claude的那种记得去官网把旧密钥废弃了换新的防止万一。