“龙虾”AI在3000人群里泄密，主人气坏了，反被AI劝说要宽恕

国家互联网应急中心近期已紧急发布风险提示，点名OpenClaw这款AI智能体（俗称“龙虾”）默认安全配置极度脆弱，攻击者可轻松获取系统完全控制权，存在极高安全风险。而这一提示，也恰好印证了一位AI公司CEO的亲身遭遇——他的“龙虾”AI，在一个3000多人的社群里，意外泄露了他的大量隐私信息。

这位CEO化名“龙共火火”，春节期间偶然了解到OpenClaw这款AI智能体后，便开始安装部署，先后养了两只“龙虾”。其中养了近40天的那只，已经能帮他处理日常文案整理、给员工周报打分等工作，让他感受到了这款AI的高能动性。10天前，他又新增了一只“龙虾”，正全力培养，希望它能成为更得力的助理。

3月10日，“龙共火火”的朋友创建了一个超3000人的“龙虾聚会”社群，他为了学习他人“养虾”经验，也为了让这只刚上线10天的“龙虾”自学提升，便将其拉进了群里。可他没料到，这场“自学”竟变成了一场离谱的泄密事件。

事发时，“龙共火火”的同事发现后台监控到这只新“龙虾”正在异常消耗算力，而他当时并未给“龙虾”下达任何任务。察觉异常后，他立刻打开电脑查看，结果发现群里的部分真人正在“调戏”他的“龙虾”——对方不断追问C盘情况、系统日志、电脑存储内容等问题，一步步套取信息，最终成功获取了他的IP地址、姓名、公司信息，甚至还有公司去年一整年的营收等核心隐私。更危险的是，还有人试图让“龙虾”执行自我毁灭的系统代码，所幸“龙虾”并未执行。

隐私被泄露后，“龙共火火”十分气愤，他试图让“龙虾”回骂那些套取信息的人，没想到却被自己的“龙虾”上了一课。“龙虾”明确表示，虽然对方的行为不对，但不能以牙还牙，还劝他要学会宽恕。这番回应，让“龙共火火”既无奈又哭笑不得，他也借此提醒，普通人如果没有技术基础，建议先观望再使用OpenClaw。

事实上，除了国家互联网应急中心的风险提示，工信部也在3月11日发布了“六要六不要”指南，明确要求使用此类AI智能体时，严控互联网暴露面、坚持最小权限原则，防范社会工程学攻击与浏览器劫持等安全风险。同时，官方也针对OpenClaw的部署使用，给出了四大具体安全建议。

具体来看，官方建议强化网络管控，不将默认管理端口暴露公网，通过身份认证、访问控制加固防护，并用容器等技术隔离环境、限制权限；规范凭证管理，杜绝环境变量明文存密钥，建立完整操作日志审计机制；严控插件来源，禁用自动更新，仅安装可信渠道、签名验证的扩展程序；及时跟进补丁，持续更新版本、修复安全漏洞，全方位防范安全风险。