慢霧資安長示警：別盲目追逐 OpenClaw，基礎不足恐讓小龍蝦成資安重災區

慢霧科技資安長 23pds 警告：缺乏技術基礎的團隊盲目部署 OpenClaw 毫無意義，只是在製造新的漏洞。
（前情提要：第一批 OpenClaw 受害者出現了！安裝小龍蝦前必須瞭解的 4 個安全底線 ）
（背景補充：OpenClaw 爆火之後：一隻開源小龍蝦，撬動了哪些美股？）

最近 AI Agent（人工智慧代理）的開源項目 OpenClaw 被許多人視為「自動化金礦」。然而，慢霧科技資安長 23pds 於今（11）早發出警告：若不具備技術基礎，只想蹭熱度跟風部署，收穫的可能不是財富，而是暴露在極高風險下的災難。

OpenClaw 是一种筛选器，具备算力与安全能力的企业，会把它变成生产力. 而缺乏技术基础的团队，只会把它变成新的风险。想浑水摸鱼的企业、蹭热度的个人，应先审视自己的真实需求。如果原本业务体系和安全能力都一塌糊涂，就不必盲目跟风。
真正的机会，永远属于懂行者而不是投机者。

— 23pds (山哥) (@im23pds) March 11, 2026

OpenClaw 是雙面刃：機會與漏洞並存

23pds 在 X 平台發文指出，OpenClaw 對於具備安全能力的公司而言，確實能轉化為生產力工具。但對於系統基礎「一塌糊塗」的團隊，盲目跟風毫無意義，只是在製造新的漏洞。

同時他提到，從技術門檻來看，運行 7B-14B 模型至少需配備 NVIDIA RTX 3060/4060 以上顯卡（顯存 ≥ 8GB），記憶體建議 32GB 以上。若選擇雲端 API（如 Claude），每月 Token 費用可能高達數十至數百美元。

這些成本對於缺乏技術評估能力的投機者而言，往往被低估。

三大資安威脅：從惡意安裝包到 AI 幻覺

目前 OpenClaw 常被點出有以下三大安全威脅：

首先是惡意安裝包入侵。目前已發現不少偽裝成「openclawai」的惡意 npm 包，專門竊取加密錢包私鑰與 Apple Keychain 中的敏感資訊。市面上流通的「U盤版」也可能夾帶惡意 Skills，一旦安裝即授予駭客高權限存取系統底層的能力。

其次是搜尋結果投毒。駭客針對 Bing 等搜尋引擎進行 SEO 投毒，讓想下載 OpenClaw 的用戶誤入偽造網站，進而下載含有後門的程式。

第三是AI 幻覺風險。曾有案例顯示，AI Agent 因幻覺產生虛假的倉庫 ID，導致開發過程中出現「部署偏移」，讓整個專案偏離預期軌道。

OpenClaw 的崛起標誌著 AI 代理時代的進步，但技術熱度不應掩蓋基本的資安常識。守住私鑰與系統權限，比跟風任何開源項目都來得重要，畢竟看不懂的代碼，就是資產最大的威脅。