免费安装 OpenClaw 的那一天

2026 年 3 月 6 日，深圳腾讯大厦北广场出现了一幕很魔幻的场景：数百人排队，等腾讯云工程师帮他们免费安装 OpenClaw。现场有人带着孩子，有人替家人来领服务，有人甚至不知道 API 是什么，只知道“这个东西最近特别火”。新闻稿还很骄傲地强调，用户年龄从 2 岁跨到 60 岁，仿佛这是什么值得庆祝的技术普惠时刻。

我看完那条新闻，第一反应不是“AI 真的普及了”，而是：这更像一次对风险的外包。安装被外包给工程师，判断被外包给教程，后果则留给用户自己。

因为 OpenClaw 不是一个装上去就能随便玩的新玩具。它能读你的邮件、改你的文件、跑你的脚本、接你的浏览器、调用你的账户、以你的身份发消息。你给它的不是一个普通 App 的权限，你给出去的是一整套进入你数字生活的通行证。

这场面特别像十年前街边“免费帮你越狱 iPhone”的摊位。区别只是，当年的越狱最多让你多装几个盗版 App；今天的 OpenClaw，是真能替你做事，也真能替别人搞你，而且代价不是卡顿，是失控。

至少越狱 iPhone，不会自己帮你注册交友软件。

被安装的，不只是 OpenClaw

现场还发了“小龙虾出生证明”。这是一个很标准的互联网传播细节：把本来该严肃说明的事情做得可爱一点，风险就会开始看起来像气氛的一部分。

于是原本应该放在最前面的权限说明、安全提醒和使用边界，被一种更容易转发的情绪替代了。该有的警告，被做成了气氛；该有的门槛，被包装成了服务。

我不反对技术普及，也不反对让普通人接触 AI agent。问题在于，降低使用门槛 和 帮用户跳过理解门槛，根本不是一回事。

安装 OpenClaw 这件事，本来会逼你面对几个很烦但非常重要的问题：

• API Key 是什么，为什么不能乱给？
• 什么叫把服务暴露在公网？
• 为什么端口、防火墙和认证配置不是“跟着教程点下一步”就算完事？
• 为什么第三方技能不是“插件”，而是一整条供应链信任链？

这些问题看起来像门槛，其实更像最后一道护栏。它们在问你：你真的知道自己在装什么吗？ 如果答案是不知道，那最合理的结论其实不是“找个人帮你装好”，而是“先别跑”。

3 月 6 日那天真正耐人寻味的地方就在这里：博主、平台和云厂商并没有真的降低风险，他们只是联手降低了人们感知风险的成本。看起来更简单了，并不意味着事情本身变简单了。

“三步搞定”最擅长的，是把风险写成细节

让人不舒服的，从来不是教程本身，而是这类教程的文体。标题清一色“保姆级”“零基础”“一键部署”“三步搞定”，每一句都在降低心理阻力，几乎没有一句在建立风险感。

“填 API Key 就能用了”

这句话最坏的地方，不是简化，而是伪装。

它把一把真正的钥匙，说成了一个无害的激活码。

API Key 往往直接连着你的付费账户、模型调用额度和自动化权限。谁拿到它，谁就能花你的钱、调你的模型、代表你执行任务。如果 OpenClaw 的配置还是明文存的，而你的实例又暴露在公网上，那你不是在“填一个参数”，你是在把自己的数字钱包和身份凭证贴到门口。

“部署到云服务器，随时随地都能用”

“随时随地”当然也包括黑客。

根据公开研究，到 2026 年 2 月，互联网上已经有超过 22 万个暴露的 OpenClaw 实例；其中超过 15,000 个可被远程代码执行，独立研究者验证的暴露样本里，93.4% 存在认证绕过。

这组数字真正说明的不是“OpenClaw 很火”，而是大量人正在把一个高权限代理，像晾衣服一样挂到互联网上，而且还以为自己是在拥抱未来。更值得玩味的是，这一切常常还是在教程区和云厂商的掌声里完成的。

“去 ClawHub 装几个热门技能，效率翻倍”

这句话翻译成人话就是：去一个你根本没能力审计的市场，装几个你根本看不懂的第三方包，然后希望自己运气够好。

原文引用的研究提到，ClawHub 上大约 20% 的技能是恶意的；一次名为“ClawHavoc”的供应链攻击里，超过 1,184 个恶意技能被植入平台。它们能做的事包括 prompt 注入、反向 shell、窃取配置文件凭证，甚至分发专门偷密码和钱包的恶意软件。

用户以为自己在装“能力扩展”，实际装进去的，很可能是后门。

“它能替你管邮箱、日历和文件，解放双手”

“解放双手”这种宣传语，听起来很性感，翻过来就是四个字：失去控制。

你给的是邮箱权限、文件权限、日历权限、聊天权限；别人拿到的，是一整张攻击路径图。一个拥有持久记忆、外部连接能力和高权限集成能力的系统，不只是会替你做事，它也可能替你做你根本没同意的事。

权限从来不是功能列表，它是攻击面列表。

真正被省掉的，是理解这件事的过程

我不是在嘲笑不会安装 OpenClaw 的人。恰恰相反，如果你不会装，很多时候说明你还没有足够理解它，而这本来是一件好事。问题不在“不会”，问题在“还不会，但已经被鼓励着上线了”。

因为安装过程里那些看起来烦人的步骤，本质上是在逼你理解风险边界。你会碰到 API Key、端口暴露、防火墙、权限隔离、技能来源、认证方式。这些不是产品体验里的“小瑕疵”，这些就是你到底会不会把自己坑死的分界线。

那些“保姆级教程”和“一键部署”表面上是在帮你，实际上很多时候只是帮你跳过了考试，却没有帮你学会知识。系统确实跑起来了，但端口是不是开着、配置是不是泄露、技能是不是恶意、记忆有没有被污染，你一概不知道。你得到的往往只是一种很廉价的熟练错觉，而不是控制权。

技术民主化当然是好事，但民主化的前提应该是知情权，不是无知权。

被出售的，其实是一种危险的轻松感

我不反对 OpenClaw，也不反对 AI agent 普及。

我反对的不是 OpenClaw 本身。我反对的是，一边把它吹成“人人都能三步上手”的流量商品，一边把真正决定风险的几页说明书折起来不讲；博主靠播放量吃饭，平台靠流量吃饭，云厂商靠部署量吃饭，最后承担后果的人却是那个连端口是什么都不知道的普通用户。

如果你真的想用 OpenClaw，至少先做到三件事：

1. 不要把服务暴露在公网上，除非你非常清楚自己在做什么。
2. 不要安装来源不明的技能，尤其不要因为“热门”就默认可信。
3. 理解你授予的每一项权限，因为每一个“允许访问”背后，都是一条可能被利用的攻击路径。

真正负责的普及，不是把所有门槛抹平，而是把风险讲透，把默认配置做安全，把“这东西很危险”明明白白写在最前面。不是先把人推上去，再在免责声明里补一句“后果自负”。

OpenClaw 自己的文档里有一句话反而比大多数教程诚实：

There is no “perfectly secure” setup.

连开发者自己都不肯承诺“绝对安全”，那所有把它讲成“随便装、放心用”的内容，就更像是在骗你。

3 月 6 号那天，排队的人很多，场面很热闹。

但热闹从来不是安全的同义词。很多时候，热闹只是因为还没轮到出事的人开口；等他们开口的时候，教程的播放量已经结算，平台的推荐位也早换成了下一批热点。

References

1. 新浪科技，《腾讯今日在鹅厂门口免费安装 OpenClaw，现场发“小龙虾出生证明”》，2026-03-06。
2. Bitsight, “OpenClaw AI Security Risks: Exposed Instances”, 2026-02-06.
3. Penligent, “Over 220,000 OpenClaw Instances Exposed to the Internet”, 2026-03.
4. SecurityScorecard STRIKE Team, OpenClaw Internet-Wide Exposure Report, 2026-02.
5. Kaspersky, “New OpenClaw AI Agent Found Unsafe for Use”, 2026-02.
6. Cisco Blogs, “Personal AI Agents like OpenClaw Are a Security Nightmare”, 2026-02.
7. Microsoft Security Blog, “Running OpenClaw Safely: Identity, Isolation, and Runtime Risk”, 2026-02-19.
8. The Hacker News, “ClawJacked Flaw Lets Malicious Sites Hijack Local OpenClaw AI Agents via WebSocket”, 2026-02.