近期，开源 AI 智能体 " 龙虾 "（OpenClaw）异常火爆，受到国内产业界和广大用户的广泛关注。与此同时，其安全问题也引发了广泛探讨。3 月 11 日，工业和信息化部网络安全威胁和漏洞信息共享平台发布了关于防范 " 龙虾 " 开源智能体安全风险的 " 六要六不要 " 建议。

" 龙虾 " 作为一款多场景智能助手，可通过对接企业管理系统实现数据分析、文档处理、代码编写等功能，或个人提供信息管理、事务处理等服务。然而，其部署过程中可能因异常插件引入、权限配置不当等问题引发安全危机。工信部明确指出 " 龙虾 " 在四个典型应用场景存在安全风险。

例如，在智能办公场景中，引入异常插件或 " 技能包 " 可能引发供应链攻击，导致已对接的系统平台、数据库等敏感信息泄露或丢失；在开发运维场景中，非授权执行系统命令或设备遭网络攻击劫持，可能导致系统账号和端口信息暴露；在个人助手场景中，权限过高或互联网接入情况下遭受网络攻击入侵，可能导致个人信息被窃；在金融交易场景中，记忆投毒或身份认证绕过可能导致错误交易或账户被非法接管。

据央视新闻报道，江苏常州一家企业产品负责人表示，试用 OpenClaw 整理文件时，它偶尔会 " 自作主张 " 删除其认为不重要的文件，" 如果不经过多次指令优化和精细化‘养育’，很难完全达到复杂的业务需求。"

" 我们观察到，OpenClaw 对于普通用户而言，安装复杂度是显性门槛，权限与安全是隐性核心门槛。" 江苏一家企业产品负责人表示，" 我们的思路是采用‘最小权限 + 分级管控 + 安全审计’的机制，不完全接管电脑，兼顾安全与效率。"

具体的 " 六要六不要 " 建议有：

一要使用官方最新版本。从官方渠道下载最新稳定版本，并开启自动更新提醒，在升级前备份数据，升级后重启服务并验证补丁是否生效。不要使用第三方镜像版本或历史版本。

二要严格控制互联网暴露面。定期自查是否存在互联网暴露情况，一旦发现立即下线整改。不要将 " 龙虾 " 智能体实例暴露到互联网，确需访问时可使用 SSH 等加密通道，并限制访问源地址，采用强密码或证书、硬件密钥等认证方式。

三要坚持最小权限原则。根据业务需要授予完成任务必需的最小权限，对重要操作进行二次确认或人工审批。优先考虑在容器或虚拟机中隔离运行，形成独立的权限区域。不要在部署时使用管理员权限账号。

四要谨慎使用技能市场。审慎下载 ClawHub" 技能包 "，并在安装前审查代码。不要使用要求 " 下载 ZIP"" 执行 shell 脚本 " 或 " 输入密码 " 的技能包。

五要防范社会工程学攻击和浏览器劫持。使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本，启用日志审计功能，遇到可疑行为立即断开网关并重置密码。不要浏览来历不明的网站、点击陌生链接或读取不可信文档。

六要建立长效防护机制。定期检查并修补漏洞，关注 OpenClaw 官方安全公告及工信部网络安全威胁和漏洞信息共享平台的风险预警。结合网络安全防护工具、主流杀毒软件进行实时防护，及时处置可能存在的安全风险。不要禁用详细日志审计功能。

3 月 10 日，国家互联网应急中心发布的《关于 OpenClaw 安全应用的风险提示》指出，近期 " 龙虾 " 因支持自然语言操控计算机而受到广泛关注，但也因其高系统权限需求和默认安全配置薄弱，已被曝出存在严重安全隐患，攻击者利用这些缺陷可轻易获取系统完全控制权。

针对 " 龙虾 " 的不当部署与使用，已确认提示词注入、误操作、插件投毒以及严重的安全漏洞四类核心风险。

工信部相关负责人在解读时指出，随着网络语言生活日益丰富，一些词汇在传播过程中可能衍生出多种含义。" 龙虾 " 作为日常食物名称，在某些网络社群或语境中被赋予了特定指代，但若使用不当，可能影响正常交流秩序，甚至扰乱市场环境。

此次提出具体准则，并非限制语言发展，而是倡导一种负责任的使用态度，防止词语被污名化或泛化滥用。

该指导意见得到了多家互联网平台和行业组织的积极响应。有社交平台表示，将结合 " 六要六不要 " 原则，进一步优化内容审核机制，对违规使用相关词汇进行标注或限制传播。部分电商平台也计划加强对商品描述的管理，避免出现不当关联营销。相关语言学家认为，此举有助于引导公众关注语言的社会影响，提升网络交流的文明程度。

值得注意的是，指导意见并未对 " 龙虾 " 一词本身进行定性，而是聚焦于使用行为。其核心精神是倡导文明上网、理性表达，这与其他网络信息内容生态治理政策一脉相承。在实际操作中，需要平台、用户和监管部门协同努力，通过教育引导、技术过滤和行业自律等多种方式落实。

有网友表示支持，认为网络用语需要一定规范，过度玩梗或恶意引申可能破坏沟通氛围；也有网友建议，规范应注重灵活性，避免 " 一刀切 "。工信部回应称，后续将跟踪评估实施效果，并继续听取社会意见，不断完善网络语言环境治理体系。

为应对这些风险，专家建议相关单位和个人采取严格的网络配置和凭证管理策略，审核插件来源，禁用自动更新功能，仅安装经签名验证的扩展程序，并持续关注官方通报以及时部署安全补丁与版本更新。

3 月 11 日，" 龙虾 " 概念股集体回调。A 股方面，博睿数据一度跌逾 12%，尾盘跌幅收窄至 8.75%，该股前两个交易日分别大涨 20%、16.40%；昆仑万维、顺网科技、美格智能等纷纷跟跌。港股方面，被称为 " 龙虾 " 三兄弟的迅策午后持续下探，截至收盘跌 8.19%；Mini Max、智谱收盘均跌逾 6%。