OpenClaw自发布以来，凭借其强大的自动化任务处理能力与开放式插件生态，在全球范围内引发部署（“养龙虾”）热潮。国家网络与信息安全（165523）信息通报中心监测数据显示，目前全球活跃的OpenClaw互联网资产已超20万个，其中境内活跃的OpenClaw互联网资产约2.3万个，呈现爆发式增长态势，主要集中在北京、上海、广东、浙江、四川、江苏等互联网资源密集区域。

然而，热潮之下暗流涌动。中央网信办数据与技术保障中心、国家网络安全（885459）通报中心、工业和信息化部网络安全（885459）威胁和漏洞信息共享平台等权威机构先后发布安全风险预警：OpenClaw在默认或不当配置情况下存在较高安全风险，极易成为网络攻击的重点目标。

目前，已有多所高校发布相关提示。北京大学发布提醒，不要在OpenClaw中存储或处理学校统一身份认证账号及密码（口令）等敏感信息。特别提醒校园网用户，在服务器或个人电脑上部署OpenClaw，务必确认服务未暴露至校园网或公网；华南师范大学通知，严禁在生产环境和办公电脑安装OpenClaw，包括学校的办公电脑、服务器、智能终端等生产设备。严禁向其提供任何敏感信息，不要输入办公系统账号密码、服务器管理权限、个人敏感信息、科研数据等内容。严禁直接开放公网访问；安徽师范大学通知非必要不部署使用OpenClaw，避免在接入校园网的设备、办公电脑、存储有个人敏感信息和工作数据的设备上使用，华中师范大学、北京建筑大学明确禁止在学校办公电脑以及服务器安装OpenClaw，等等。

从网络空间安全“两高一弱”（高危漏洞、高危端口、弱口令）的视角来看，"养龙虾"的确存在不容忽视的系统性风险：

高危漏洞：据国家信息安全（165523）漏洞库（CNNVD）数据，OpenClaw历史披露漏洞多达258个，其中近期暴露的82个漏洞中，超危漏洞12个、高危漏洞21个、中危漏洞47个、低危漏洞2个，以命令和代码注入、路径遍历和访问控制漏洞类型为主，利用难度普遍较低。

高危端口：OpenClaw默认配置绑定0.0.0.0:18789，允许所有外部IP地址访问本地服务，一旦暴露于公网，攻击者可轻易探测并利用；

弱口令：OpenClaw默认配置远程访问无需身份认证，一旦暴漏在公网、被攻击者扫描到，极易被远程接管。

图源：国家信息安全漏洞库（CNNVD）

OpenClaw具备系统指令执行、文件读写、API调用等高权限能力 ，默认配置与不当使用极易导致远程接管、数据泄露、恶意代码执行等严重安全风险。

以下分享一些有助于提升企业“养龙虾”网络安全的实用经验：

1.部署环境隔离：使用专用的电脑、虚拟机或容器安装OpenClaw，不宜在日常办公电脑上部署，避免企业内部信息因OpenClaw不当配置或使用而泄露；

2.网络访问管控：

（a）网关只监听本地回环（配置为127.0.0.1:18789），避免高危端口直接暴露在公网；

（b）在（a）的基础上部署SSH，将远程服务器的OpenClaw端口加密映射到本地端口，实现安全访问。还可在SSH集成飞天诚信（300386）身份认证产品：#FIDO Security Key，"无密码"认证，更便捷且更安全；#OTP ，合规双因子认证，符合等保&密评要求；

（c）启用OpenClaw自带的pairing机制（类似蓝牙配对，只有经过配对的设备被允许访问OpenClaw），并定期清理不再使用的已配对设备，减少风险暴露面。

3.持续安全审计：启用OpenClaw自带的安全审计功能，设置每天定时任务，让OpenClaw提供审计结果并给出安全建议。

4.及时更新版本：通过可信来源获取安装程序，持续关注官方安全公告，及时更新至最新版本，修复已披露安全漏洞。

——分隔线——

当"养龙虾"成为技术圈的新潮流，当ai智能体（886099）从实验室走向千家万户，我们正在见证一场前所未有的技术民主化浪潮。OpenClaw所代表的自主智能体技术，确实展现了人工智能（885728）赋能个人与企业的巨大潜力——它能自动化处理繁琐任务，能整合多方信息辅助决策，能成为数字世界的得力助手。

然而，技术的光环不应遮蔽风险的阴影。

每一次便捷的"一键部署"，都可能是在安全防线上打开的一道缺口；每一个赋予AI的"高权限"，都可能成为攻击者眼中的"高价值目标"；每一份对智能体的"深度信任"，都可能在配置疏忽或漏洞利用时转化为"深度伤害"。从258个历史漏洞到无需认证即可远程访问的默认配置，这些数字背后，是20万个活跃实例面临的真实威胁。

高校密集发布的禁令、监管部门连续发出的预警，都在提醒我们：没有安全底座的智能体应用，如同在流沙上建造高楼。 当我们惊叹于AI的"智能"时，更需警惕其"自主"背后的不可控性；当我们享受自动化带来的效率红利时，更需守护好数字资产的边界。

技术的进步不应以牺牲安全为代价，创新的热情不应淹没风险意识。在这场全民AI的浪潮中，愿我们既能拥抱技术变革的机遇，也能守住网络安全（885459）的底线。毕竟，再智能的助手，也值得一份清醒的人类审慎；再火热的潮流，也需要一道冷静的安全防线。