本报全媒体记者 郝佳伟

　　“你‘养龙虾’了吗?”最近，这句带着几分调侃的问话，成了陕西科技圈里最热的打招呼方式。

　　在这背后，是一款名为OpenClaw的开源AI智能体，它凭着一手“本地执行任务”的绝活，在全球技术圈火速出圈，被网友亲昵地冠以“AI龙虾”的绰号。这股“养虾”风潮很快席卷三秦大地，然而，伴随热潮而来的安全预警与使用困境，让这场狂欢迅速降温，用户们逐渐从盲目追捧转向理性审视。

　　OpenClaw的爆火，源于其打破了传统AI“只会对话不会动手”的局限。作为一款可本地部署的AI智能体，它能自主完成文件整理、代码调试、信息检索等各类任务，无需依赖云端服务器，被视为AI从“咨询者”向“执行者”跨越的重要突破。

　　在陕西，这一特性吸引了大量群体参与尝试：西安多家科技企业的程序员试图用它提升办公效率，高校科研人员探索其在实验数据处理中的应用，甚至有普通用户跟风部署，希望借助它简化日常操作。

　　但在这热潮之下，隐患却悄然浮现。3月10日起，西北工业大学等陕西多所高校发布关于Open⁃ Claw安全应用的风险提示。“OpenClaw最大的问题在于，它理论上能够访问到你个人环境里的所有数据。”西安交通大学网络空间安全学院副院长陶敬解释道。

　　预警并非空穴来风。3月8日，工业和信息化部网络安全威胁和漏洞信息共享平台已发布高危预警，指出OpenClaw在默认或配置不当时存在极高风险。全球已有超过23万个公网暴露实例，其中中国占比超过30%。由于默认监听公网端口且缺乏身份验证，部分漏洞CVSS评分达满分10.0，极易被黑客扫描入侵，导致API密钥、本地文件泄露甚至系统被控制。

　　除了安全隐患，高昂的使用成本与复杂的部署流程也让许多用户却步。在西安工作的程序员张雷表示：“安装过程对非技术人员极不友好，需熟悉命令行与环境配置，很多人折腾半天也难以成功。”

　　运行成本也让张雷感觉压力很大：“我使用智谱GLM-4.7模型对接OpenClaw，仅交互20多次就花费200元，长期使用根本无法承受。”尽管宣传“10分钟快速安装”，但实际部署中常出现依赖冲突、环境配置复杂等问题，而持续调用大模型API所产生的token消耗，更成为普通用户难以负担的开销。

　　“在缺乏有效权限控制、审计机制和安全加固的情况下，可能因指令诱导、配置缺陷或被恶意接管，执行越权操作，造成信息泄露、系统受控等一系列安全风险。”陶敬建议，OpenClaw能帮我们带来工作和生活的便利，但相关单位和用户在部署应用OpenClaw时应谨慎使用，要关闭不必要的公网访问，完善身份认证、访问控制、数据加密和安全审计等安全机制，持续关注官方安全公告和加固建议，防范潜在网络安全风险。