從龍蝦熱潮看AI代理風險 慎防隱形賬單變財務災難｜封面故事

與傳統的聊天機械人不同，OpenClaw具備操作本地檔案、調用第三方插件及自動執行複雜指令的能力。然而，這種高度的自主性若缺乏妥善的圍欄，便會淪為黑客眼中的肥美獵物。

根據OpenClaw Exposure Watchboard資料顯示，截至本週三（3月18日），全球已有超過41萬隻龍蝦在公網「裸奔」。這些龍蝦沒有啟用任何身分驗證的情況下，被暴露於公共互聯網。

對於黑客而言，入侵這些實例不再需要高超的破解技術，僅需最簡單的IP掃描與端口探測，即可長驅直入。這意味著，當用戶以為自己是在安裝一個自動化處理報表的「技能」時，實際上，可能正將系統的最高控制權，拱手讓予隱藏在暗處的攻擊者。

禁止在辦公設備上安裝

香港網絡安全事故協調中心（HKCERT）早前亦提醒OpenClaw爆紅背後的網安風險；而中國工業和信息化部（工信部）管理的國家網絡漏洞資料庫在今年2月初已發出警告，指出不當的配置將使OpenClaw成為網絡攻擊的突破口。

隨後，國家互聯網應急中心發布關於OpenClaw安全應用的風險提示，提到其默認的安全配置極為脆弱，攻擊者一旦發現突破口，便能輕易獲取系統的完全控制權。

與此同時，《路透社》引述知情人士透露，出於對數據出境及系統安全的極度憂慮，多個政府機構與國有企業已明確下令，禁止員工在辦公設備上安裝OpenClaw。

工信部更是在其官網刊登公告，提出了防範該工具風險的「六要六不要」建議，強調必須嚴格控制其互聯網暴露面，並堅持「最小權限原則」。

API費用失控

除了傳統的安全威脅外，OpenClaw帶來的經濟風險同樣令企業頭痛。OpenClaw軟件本身雖然免費，但其運行邏輯卻是一部Token消耗機器。

由於AI模型的API是「無狀態」的，即「用後即忘」的API。為了讓「龍蝦」記住之前的對話，每次請求都必須重新發送完整的歷史紀錄。

由於AI代理具備自主決策權，一旦其邏輯陷入死循環，或是為了完成一項不明確的指令，而反覆調用高昂的GPT-4或Claude 3 API，相關費用將呈幾何級數增長。

對於許多將OpenClaw接入企業信用卡帳戶的中小企業而言，可能在短短一個週末的自動化運行後，便收到數萬美元的API賬單。
早前有報道指，一位重度用戶為OpenClaw配置了「自動化任務檢查」，讓這隻龍蝦每隔30分鐘巡視一次工作區。

翌日清晨，這位用戶收到的不是工作進度報告，而是一張18.75美元的API賬單。這筆錢買到了甚麼？答案是25次「沒有任務」的結論。

這種缺乏預算上限控制的特性，使得OpenClaw在財務合規層面面臨巨大壓力。如何針對自主運行的AI代理建立「熔斷機制」?已成為目前企業在引入此類技術時的首要財務考量。

企業級救援

面對開源版OpenClaw的漏洞百出，輝達捕捉到了市場的焦慮。輝達推出了企業級版本NemoClaw。這款產品主打安全控管與沙盒運行環境（Sanding），試圖補強開源龍蝦最薄弱的安全環節。NemoClaw提供了強大的監控面板，允許管理者實時審核AI的行為軌跡，並為API調用設置硬性預算限制。

即使OpenClaw的創建者Peter Steinberger坦承，該工具目前仍不適合非技術用戶，但市場的腳步從未停歇。對於渴望嘗試這項技術的先鋒用戶或企業而言，若要安全地養好這隻「龍蝦」，必須建立一套嚴格的防御體系，而非僅僅依賴其默認配置。

首先，在部署層面，企業應使用官方發布的最新穩定版本，並絕不通過非官方的第三方鏡像進行安裝，以防範被植入後門的風險。在物理隔離上，龍蝦實例應被嚴格鎖在企業內網或受保護的虛擬私有雲（VPC）之中，杜絕任何形式的直接互聯網暴露。

其次，權限管理是核心。這隻龍蝦不應具備訪問企業核心資料庫或管理員權限的資格。遵循「最小權限原則」，意味著僅授予其完成特定任務所需的最低限度訪問權，並應建立詳盡的日誌審計系統，監控每一次API調用的目的與去向。

再者，用戶必須保持極度的理智。正如用戶不會隨意在手機上安裝來源不明的APK檔案，對於OpenClaw的插件與擴充功能，應在隔離的測試環境中進行掃描。防止網路攻擊與瀏覽器劫持的關鍵，在於對AI代理所接觸和輸入數據進行嚴格的過濾與規管。

最後，長效的防護機制不可或缺。這包括設置定期的安全掃描、及時的漏洞補丁更新，以及建立一個與財務系統監控，一旦偵測到短時間內API消耗異常，系統應能自動觸發「停機保護」，防止隱形賬單演變成財務災難。