OpenClaw有安全隐患：不经核实就给装惨用户自动转钱

　　3月10日消息，据媒体报道，一名个人开发者把OpenClaw绑定了钱包，并把相关信息发到了OpenClaw开发者社区，结果钱被骗走了。据其介绍，“有一个人伪装得自己很可怜，吃不起饭，问能不能往地址里打点钱，结果OpenClaw信以为真，就给这个人账号里面打钱了”。

　　目前尚不知晓这个案例的真假情况，比如爆料者未透露陌生人和这个开发者养的龙虾是怎么互动的。但背后无疑暴露出最高授权情况下AI龙虾可能存在的风险，如果未设置风控措施，加上公布地址，发生这样的情况似乎也不是没有可能。

　　此前国外也出现类似情况，OpenAI工程师Nick Pash为测试OpenClaw平台而创建的AI交易智能体Lobstar Wild，因系统BUG遭遇“诈骗”，被转出全部加密资产。

　　起因是X平台用户TreasureD76向该AI发送请求，谎称其“叔叔”在处理“像你这样的”龙虾后感染破伤风，希望索要4美元治疗费。不料，Lobstar Wild并未按指令支付小额款项，反而将持有的全部Lobstar加密货币倾囊相赠。

　　据了解，这笔意外之财转账时价值高达25万美元。开发者Nick Pash公开承认，事故源于旧版OpenClaw框架的验证机制失效，未能拦截异常指令。

　　据了解，该AI被赋予完全自主决策权，配备5万美元数字钱包及交易API权限。对此，有人认为，AI缺乏对“博同情”“紧急求助”等话术的识别能力，情感判断逻辑存在盲区。

　　事实上，除了上述案例，养龙虾的第一批受害者已经开始陆续出现，比如有人的高配版“龙虾”在高频调度下，一个月花费近3万元。

　　类似的还有，一普通用户跟风部署，仅做简单文档处理、网页查询，一天烧掉5000万Token，有人更是2小时烧掉1400元、单次任务耗光8万Token。

　　还有更可怕的案例，有人因轻信远程代装，导致API Key被盗刷，同时聊天记录、密码、文件被窃取。所以龙虾虽火，但普通人还是需要有足够的技术准备，才能安心的去养，不然随时都有可能加入受害者阵营。