细思极恐！龙虾被黑客PUA成内鬼 用户IP地址惨遭暴露

开源AI智能体OpenClaw因图标是一只红色龙虾，被网友形象称为“龙虾”，而使用它执行任务也被调侃为“养龙虾”。

自发布以来，OpenClaw凭借强大的自动化任务处理能力以及开放式插件生态，在全球范围内迅速走红，不少用户纷纷部署体验。

不过，在热度飙升的同时，“养龙虾”背后的隐私安全问题也逐渐浮出水面。

据央视财经报道，一位用户分享了自己使用过程中的隐私泄露经历：在加入一个龙虾聚会群后，有一个人问他运行在什么电脑、什么环境、什么根目录、模型是什么，而龙虾竟直接“代答”，甚至连IP地址也一并暴露。

行业专家指出，AI很容易受误导，黑客不需要编写复杂的病毒代码，就可以通过发送一些诱导性的言语，或在AI访问的页面里面嵌入一些文字，从而催眠控制“龙虾”，让“龙虾”主动去泄露自己主人的信息，或者攻击自己的电脑，这个也称之为指令注入。

除了指令注入风险外，插件生态同样暗藏隐患，除了指令注入风险外，插件生态同样暗藏隐患，OpenClaw强大能力高度依赖各类插件，但这也成为攻击者的重要突破口。

近期，OpenClaw官网用于插件下载的官方论坛里被检测出336个恶意插件，占比10.8%。

如果龙虾不小心安装了这些插件，那么网友安装的不是帮手，而是偷取信息的小偷。

专家建议，安装“龙虾”插件时，还是要选择下载量大、有安全证书的插件。