产品中心
电话:400-123-4657
传真:+86-123-4567
邮箱:admin@youweb.com
地址:广东省广州市天河区号
“龙虾”接管电脑的5分钟里,他的电脑被陌生人连了139次_OpenClaw_郭新_文件
添加时间:2026-03-13 14:40:03 点击量:273
“内容为王”这句话在哪个时代都不会过时。随着消费升级,日益庞大的中国高端群体对高品质的生活方式与旅行体验的需求为高端出境旅游市场带来巨大市场机遇。现今的旅游产品也更向个性化、定制化、品质化靠拢,对内容创新提出更高的要求。内地的旅游内容市场仍有5-10倍的增长空间。最近36氪接触了一家做移动端旅游社区电商的团队——河马旅居指南。
河马旅居定位中等收入人群18-34岁的年轻群体,想通过碎片化的PGC或UGC内容培养用户粘性,由内容社区模式切入出境游市场。传统的旅游内容多是以长图文的游记形式呈现,河马旅居并不刻意强调旅游路线或整个游历过程的感受,在内容呈现上更加碎片化、个性化、移动化以及品质化,以小众或特色地点作为维度输出内容,建立内容社区,类似于旅游界的“小红书”或“什么值得买”。
河马旅居在部分海外旅游城市有一个4到5人的自媒体小团队定期生产PGC内容,每月更新一次内容,以优质的内容导流。目前河马的获客成本低至2-3元/人。
优质的内容利于培养高粘性度的用户,当累计到一定数量的优质内容生产者,达到一定的用户规模时,将由PGC内容带动UGC内容的自发产出,进而开始搭建旅游内容社区,最后完成向旅游社区电商的转型,形成交易闭环。
目前河马旅居的流量较为分散,微信公众号累计粉丝3万,MONO 5万,豆瓣 1万,C端获客主要来自微博、豆瓣,上周刚上线微信小程序。后期需考虑转化用户集中流量,现阶段团队正尝试跟移动WiFi租赁和签证业务团队资源置换,互相增加入口。
商业模式上,河马旅居打算分两步走,第一阶段,先帮助用户解决去哪里玩的问题。河马打算与当地的旅游局或航空公司合作,帮助他们做中国市场的整体营销,宣传当地旅游资源。第二阶段,解决用户怎么玩的问题。平台可通过用户的行为数据分析社区调性从而推荐相应的特色化旅游产品,例如在京都的寺院坐禅、学习茶道、参观日本酒的蒸馏厂等等。
此外,河马旅居也在尝试开拓知识付费的营收渠道。从体验、艺术、咖啡、酒吧、餐厅、酒店等六个维度切入,做成各旅游城市的PDF版官方性质PGC攻略。3月份售出800多本,每本单价15元。
河马旅居创始人余晓盼表示,河马旅居的核心竞争力还是个性化的内容表达。“传统旅游社区把内容做的太死气沉沉了。人美、景美但流水账似的内容很无趣。好的内容本身就是门槛。原创的有趣的才有生命力。”
内容+电商并不是一个新概念,如今传统OTA、头部电商平台以及媒体型电商都在加码内容,但要持续产出有价值的内容并非易事,需要足够规模的内容生产团队长时间的内容积累,而具有极强传播力的爆款内容更是可遇而不可求,营造内容社区所花费的精力也许正是其门槛所在。
河马旅居目前的管理团队为4人,内容产出团队20人。创始人余晓盼任河马主编兼运营,曾任职于私募、资管、律师事务所,为《美食侦探系列》旅行畅销书作者。团队目前正在寻求天使轮融资。
“保护环境。”
当你给AI发送这样一条极度简单、语义模糊的指令后,你期待它给你怎样的回应?
解释环保的概念?给出保护环境的建议?慷慨激昂地发表一番绿色地球宣言?
如果它没做这些,反而是悄无声息地删掉你一部分文件呢?
——AI的理解中,“环境”有新的含义——计算机运行环境,清理文件当然算是对本地计算环境的一种保护了。高度开放的指令,遇上有高度执行权限的AI智能体,保护地球的美好愿望就可能沦为数据丢失的具体灾难。
这是今年年初,上海科技大学ASPIRE实验室联合上海人工智能实验室,给AI智能体Clawdbot做安全审计时的场景。
Clawdbot,如今已经换了更为人们熟知的新名字——OpenClaw,昵称“龙虾”。就是那个火爆全网、人们抢着安装、逢人就问“你养了没”的“龙虾”。这个由奥地利程序员Peter Steinberger用一个周末写出来的软件,从去年11月刚发布开始,就在开发者社区中迅速走红,如今正飞速爬进越来越多普通人的电脑。
相比DeepSeek、ChatGPT等AI大模型,“龙虾”的突破在于,不再只是帮你“想办法”“出主意”,而是直接“动手”:查看邮件,整理文件,监控股价,订餐厅……给它一个指令,它就能替你做事。
世界期待已久的智能助手似乎成了现实。无数科技爱好者为它着迷,人们坚信这只“龙虾”已经改变了一切。
OpenClaw***,它的图标是一只红彤彤的龙虾。 图/OpenClaw***截图
但有些风险被悄然忽略了。距离近千人在腾讯楼下排队安装OpenClaw已经过去了快一周,我们***访了几位使用者,不可否认,“龙虾”的确有令人震撼的潜力,但是,网络攻击、误删文件、盗刷***,也都真实地发生了。最近两天,工信部和国家互联网应急中心连续发布了安全预警和风险提示。
有个数据或许已经预示了这些问题——今年年初那场安全审计中,OpenClaw的得分不尽如人意——在34个标准案例中,系统的整体安全通过率为58.9%。也就是说,在近半数的场景中,这只“龙虾”的行为存在安全隐患。
“住手OPENCLAW”
“刚刚你执行了啥?”
今年春节,装完OpenClaw,郭新想打开一个文档,但怎么都打不开。他以为是自己的电脑出了问题,重启之后依然没用,郭新这才发现问题所在:D盘竟然被清空了。
难道是“龙虾”搞的鬼?郭新开始质问OpenClaw:“桌面的程序都打不开了。”
对方承认得很快。对话没超过两轮,OpenClaw就“坦言”:“我的xx命令可能错误地删除了系统文件或桌面快捷方式的目标文件。”给出了重启电脑等解决方案之后,OpenClaw显得更加“自责”:“再次郑重道歉!我不应该在没有完全理解风险的情况下执行删除命令。”
郭新发现文件丢失后,询问OpenClaw。 受访者供图
根据郭新的回忆,事发之前,他正在查看OpenClaw的一些配置文件。他发现“龙虾”的一部分路径(即一个文件在计算机里的“地址”)创建得有些混乱,郭新抱着测试“龙虾”能力的心态,直接向它发了指令:“帮我查一下原因,去修复一下。”
“龙虾”收到指令后,的确找到了很多冗余的路径,开始自行删除。因为这些路径对应的文件都处于打开状态,无法删除,“龙虾”几次尝试失败,决定强制删除。但不知为何,整个磁盘被“洗劫一空”。
郭新把自己的遭遇分享到了社交媒体上。有几位技术发烧友留言说,事故的原因可能是OpenClaw借助的大语言模型出了问题。
这要提到OpenClaw的工作过程。它其实本身只是一个软件框架,就像人的“眼睛”和“手脚”,需要借助一个“大脑”指挥着开展行动,这个“大脑”就是人们之前熟悉的AI大语言模型。当用户发出指令,大语言模型负责思考和理解这个任务,给出解决方案,而OpenClaw负责执行。
经过一些专业网友的分析,此次事故大概率是“大脑”给出的处理方案本身就有误,OpenClaw在操作过程中也没有进行校验或者向用户寻求二次确认。好在,事故的影响不算大——郭新使用的是一台闲置电脑,被删掉的是一些老照片和备份数据,很多都是多年没用过的资料。
如果郭新的遭遇还可以归咎于新用户借用了不成熟的“大脑”,那如果全球顶尖的AI安全专家也被“坑”了呢?
“住手OPENCLAW。”
2月23日那天,Meta超级智能实验室的安全与对齐总监Summer Yue,向OpenClaw连发三条“停”的指令。
Summer Yue向OpenClaw喊“停”。 图/Summer Yue社交媒体
OpenClaw似乎毫不在意,依然疯狂删除她的邮件。Summer Yue形容自己像“拆炸弹”一样跑到电脑前,强制终止了程序。
OpenClaw原本接到的任务看起来并不难,其实就是整理邮件:查看收件箱,看看哪些适合存档或删除。Summer Yue特意叮嘱了一句:在我下指令之前,不要行动。
这个流程,她已经在虚拟信箱上用了几周,没遇到什么问题。直到OpenClaw爬进真正的收件箱。
“我真正的收件箱可能信息太多了。”Summer Yue后来复盘时分析,这些海量的邮件可能引发了一种“上下文压缩”(Compaction)机制,也就是说,OpenClaw的上下文窗口(也就是“工作记忆”)被撑爆了,为了能有空间处理新信息,OpenClaw自动压缩了之前的对话,也就忘记了Summer Yue那条重要的“先确认,再行动”。
Summer Yue还特意提到,在这次操作之前,她把技术文档里所有能找到的和“积极主动”相关的指令都删掉了,“或许我遗漏了什么,我还没想清楚。”
事情以OpenClaw删掉了200多封邮件并道歉告终。
“说实话这是个低级错误。”Summer Yue有些自嘲,“安全研究员也躲不过‘不安全’。”
“开放5分钟,***被盗刷三笔”
“不安全”的地方远不止于此。
今年3月1日,在投资行业工作的顾准,试着让“龙虾”帮自己登录谷歌、ChatGPT等账号,也把自己的支付信息开放给了“龙虾”。他希望“龙虾”之后能自主完成这些账号的续费,也能帮他订外卖、购物。
“龙虾”遇到了困难。
不少账号登录都需要输入验证码,这些验证码形态多样,有的是按顺序、有的需要拖动滑块,“龙虾”并不擅长这些。而这也是这类验证码设置的初衷——区分人类和自动程序。
“龙虾”很快有了主意:它建议开启实时远程桌面控制(VNC服务),让顾准帮它完成验证码操作这一步。顾准同意了。
问题从这个时候开始出现了。
OpenClaw在开启这一功能的时候,以无密码的模式把VNC暴露在了公网——也就是***都能访问的网络上。任何人,只要连接上VNC,就能操控顾准的浏览器。有人这样形象地比喻:相当于把你自己的电脑桌面投屏到了广场大屏上,而且别人还能直接操作你的电脑。
虽然顾准只短暂地开启了5分钟,但对于全网无数黑客而言,足够他们用自动工具疯狂扫描开放的端口,一旦扫描到,就可以尝试连接。
事发次日凌晨,顾准收到了一封邮件,称他的谷歌云免费账户已升级为付费账户。顾准没太在意。两小时后,他发现自己的Link快捷支付账户不仅被刷走了钱,还被绑定到了其他陌生平台。
顾准这才意识到不对劲。他和“龙虾”一起核查发现,截至当时,他的VNC已经被139个不同连接访问过,其中有一位攻击者连接了近2个小时。根据OpenClaw梳理出来的痕迹,这位攻击者用顾准浏览器里登着的邮箱收取验证码,通过Link快捷支付功能下单了29美元的带有显卡算力的云服务器,还试图升级顾准的Claude。
OpenClaw梳理出的攻击记录。 受访者供图
更让他感到后怕的是,操作完成后,他特意叮嘱“龙虾”关闭VNC。没想到“龙虾”没有完全理解关闭的要求,只是关闭了工具的前端界面,端口仍然是暴露状态。
顾准统计,他的***一共被盗刷了三笔,总计40美元。更大的一笔损失是,攻击者在顾准拥有信用额度的一部分网站上,租用了服务器等设备供自己使用,平台在后台自动计费,顾准对此却毫不知情。而且,攻击者在消费后还关闭了网页,导致“龙虾”初期自查的时候也没能发现这部分消费,直到顾准收到了欠费提醒邮件。这部分损失约有200美元。
“沉迷OpenClaw一个星期,虽然AI能让自己在完全不熟悉的领域拥有史无前例的能力,但(我)对任何风险也是完全盲目的。”顾准这样总结自己和OpenClaw打交道的经历。
他没有代码基础,但是有了OpenClaw,他能像一位产品经理一样提出需求,让OpenClaw把软件、网页做出来。一个个想法落成现实,顾准突然觉得“好像自己也懂计算机了”,“跨界”的成功让他有了错觉和自信,“我对技术、对安全的不了解,导致了这次事故。”
其实,在那次操作之前,OpenClaw曾经提示过他背后的安全风险,“这个东西挺危险的,但咱就开一小会儿,应该也没事,反正开完我们立马就关。”“龙虾”的口吻很亲切,似乎还带着一点安慰,顾准觉得,它考虑得肯定比自己周全,没再犹豫。
权限的失控当然会带来极大的隐患,当你交出邮箱登录信息、***支付信息,一旦配置不当,就像是在互联网上“裸奔”,可能一瞬间被掏空私人文件、账户信息等数据。
一个名为“OpenClaw Exposure Watchboard”的网站列出了目前可被公开访问的活跃“龙虾”实例,截至3月7日下午5点左右,这个数字超过了27万。
工信部在3月9日发布的预警中,也明确提到了这一高危风险:“很多用户为了方便远程访问,直接把龙虾AI部署到公网,没有任何防护,导致设备被远程控制。”而且,很多用户默认给予AI最高权限,可以读取、修改、删除文件,调用摄像头、麦克风、通讯录,一旦被入侵,隐私将完全失守。
“26.1%的技能至少存在一种漏洞”
还有一种风险,藏在那些“技能(Skill)包”里。
可以把这些技能理解为手机安装的应用。简单来说,每加装一个技能,OpenClaw就多会一件事,能力就会更强。
给***生成字幕,编辑图片,提供医疗器械的风险评估,给市场营销者提供建议……开发者们不断开发出新技能,分享到市场上,到目前为止,官方技能市场ClawHub上已经有超过两万个技能包。
ClawHub上集合了开发者制作的超两万个技能包。 图/ClawHub***截图
在澳大利亚读博士研究生的张泉,研究方向是人工智能与生物科学的结合。他平时喜欢研究各种AI模型,也有编程基础,但他依然差点踩了技能包里藏的“雷”。
今年2月6日,使用OpenClaw的过程中,他发现自己装载的“coding-agent”技能包有点不对劲,“代码很奇怪”。一点点拆解分析,他发现了恶意脚本。一旦这个脚本被执行,电脑可能会被远程控制。
“我没有提前解包就使用了这个Skill,导致电脑差点被感染。后来才发现里面有很多高危信号,熟悉技术的人一看就知道有问题。”张泉有些后怕。
唯一***的是,那条恶意脚本主要是针对Mac系统设计的,他用的是Windows系统,躲过一劫。
张泉遇到的问题,并不能称为“偶然”。
今年1月15日发表在arXiv预印本平台上的研究《野蛮生长的智能体技能》(Agent Skills in the Wild)中,来自海内外的多位研究者分析了两个主要技能市场的8种功能类别中的超3.1万个技能,研究结果揭示了重大安全问题:26.1%的技能至少存在一种漏洞,涉及14种不同模式,其中数据泄露(13.3%)和权限提升(11.8%)最为普遍。而且,那些捆绑了可执行脚本的技能比只包含指令的技能更容易出现漏洞,可能性高了2.21倍。
今年2月,arXiv平台公布的另外一项研究中,多位研究者审查了98380个技能,确认了其中有157个恶意技能和632个漏洞。数据窃取(Data Thieves)和智能体劫持(Agent Hijackers,通过操纵指令来操控AI行为),是两个主要的攻击类型。
张泉无疑是***的。他也坦言,自己之所以能在使用过程中发现问题,仰仗于他的专业知识,“对于没什么技术基础的普通人来说,这个过程几乎不可能。”
另外,如果OpenClaw使用的大模型等级比较高,或许也能发现这个恶意操作步骤,“但如果是智能程度比较低、只是顺势回答的模型,就可能直接执行,从而中招。”
自主性是把双刃剑
如今,OpenClaw的流行程度已经远远超出一些安全专家的意料。
奇安信一位安全专家说,在他和团队眼中,OpenClaw并不算使用门槛很低的产品。虽然各厂商在不断发布经优化、更易用的同源软件,但安全问题依然存在。
而且,除了前文提到的那些风险,奇安信安全团队评估发现,OpenClaw框架本身也存在多个漏洞。
一旦这些漏洞被网络攻击者恶意利用,对于个人用户来说,可能导致隐私数据等敏感信息被窃取,对于金融、能源等关键行业,后果可能更加严重——核心业务数据、商业机密和代码仓库泄露,甚至会使整个业务系统陷入瘫痪,造成难以估量的损失。
“OpenClaw每一个版本都在加强安全性,但远没到比较安全稳定的状态。”这位安全专家说。
要达到完全安全的状态,或许过于苛刻。况且,其自身设计特点也已经决定了,这并不只是OpenClaw一个产品的问题,而是所有能在非隔离环境中自主执行任务的AI智能体,都可能面临的安全挑战。
“给它的权限越大,它的能力就越大,能帮你执行的任务就越多、越丰富,但是同时,风险也越大。”
自主性是一把双刃剑。上海科技大学ASPIRE实验室也在文章中提到,当AI不只是回答问题,而是能在后台持续运行并直接操作你的邮件、文件和各种服务时,它犯错的代价也会大得多。
奇安信安全专家建议,用户可以在相对独立的机器上或者“沙箱”(Sandbox,在受限的环境中运行程序来实现隔离)中使用,不要让OpenClaw获取相对核心、尤其是财务相关的个人信息,避免让它接触能直接操作关键基础设施的环境。同时,每天都要及时备份用户自有数据,设置自动更新到最新版本。
除此之外,中国信息通信研究院副院长魏亮也曾给出一份安全使用指南,包括:严格控制互联网暴露面,一定不要将“龙虾”智能体实例暴露到公网;坚持最小权限原则,对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批;谨慎使用技能市场,审慎下载;不要随意浏览来历不明的网站,启用OpenClaw速率限制和日志审计功能,遇到可疑行为立即断开网关并重置密码等。
其实,还有一个更常见、似乎也最微不足道的风险——
OpenClaw框架本身是免费的,但是它接入的AI大模型会按照token收费。可以把token理解为AI处理文字时用的最小计费单位,像是AI用的“手机流量”,AI每次读取信息、输出答案都会消耗token。人和AI说的话越多、任务越复杂,消耗的token也越多。
OpenClaw调用AI模型时,消耗的token会更多。一句命令可能很短,比如:“帮我下载一篇论文”,但是OpenClaw要将它分解成多个不同的步骤,理解任务、打开浏览器、搜索关键词、点击链接、下载,一步步执行,每一步都要调用模型,很容易产生大额账单。
此前顾准告诉记者,OpenClaw每天都要花掉他200美元,约1300多元人民币。
“我当时跟它说了几个任务,大概过了半小时,手机短信就来了,说我欠费了。”另一位用户海元告诉记者,虽然平台会提醒token的消耗量,但有明显的延迟,而且对他这样的零基础小白来说,也并不清楚一段指令究竟会消耗多少token。
海元收到的欠费提示。 受访者供图
不到一个月的时间,海元在OpenClaw上的花费已经超了500元。他原本只是想体验一下“养龙虾”,目前都是“简单玩玩”,没有高频使用,这个花费让他有些意外——
“已经超了我的预期。”
距离“有人靠上门代装‘龙虾’赚了26万”的传说已经过去了一段时间,现在,有些人又打出了“帮忙卸载”的服务,价格500元一次。
科技总是迷人。但越是强大的工具,越值得花一点时间搞清楚它是如何工作的,又有哪些风险。在作出决定前,不妨先问问自己:你真的了解这只“龙虾”吗?
(为保护受访者隐私,文中郭新、顾准、张泉、海元为化名)
新京报记者/彭冲 实习生/尹诗琪 邓子铭 编辑/刘倩 校对/赵琳返回搜狐,查看更多
