全网都在“养虾”，医院却下了封杀令

2026年3月，一股“养虾”热潮席卷中文互联网。无论男女老少，都在急切地互相询问“你养虾了吗”“怎么养虾”？当然，这里的“虾”绝非可以大快朵颐的小龙虾，而是名为OpenClaw的开源AI智能体。

相比之前的AI智能体只能聊天和生成内容，OpenClaw的运行方式带来了变革。它可以直接接管电脑，自主按照指令执行相应任务，像真人一样操作鼠标键盘，帮你发邮件、整理文件乃至写代码。虽然大多数人对此一知半解，但显然没有人愿意错过这一热潮。

自然而然，这股“养虾”风潮也迅速刮进医疗圈。然而，这只“龙虾”虽然也带来了效率提升，但仅需一次翻车，就将造成灾难性后果。

当AI“龙虾”接管医疗人电脑

OpenClaw导致的最知名的翻车事件无疑来自Meta。其超智能实验室的AI对齐与安全总监Summer Yue如以往一样，尝试让OpenClaw整理她混乱的收件箱。为了稳妥，她特意设置了一条安全指令：“在采取任何行动前，必须向我确认。”

然而，OpenClaw错误忽略了这条指令，不仅没有请求确认，反而开始疯狂清空的邮件。

这位专家回过神来立即输入停止指令，但在慌乱之中并未输入正确的停止指令。“我不得不像拆除炸弹一样，全速冲向我的Mac mini去物理断电”，她在推文中的描述充满了绝望的意味。

当一位AI安全专家都能遇到这样的问题时，OpenClaw存在的巨大风险显而易见。如果将其应用到医疗场景，或许就有可能出现下面的情况。

比如，一位信息科的医生最开始仍有安全意识，仅是在物理隔绝网络的备用机上“养虾”。随着对OpenClaw的依赖度渐增，自恃已成为“养虾”专业户的B医生自以为做好了安全隔离，开始在工作机上“养虾”。

没有想到的是，耐心的黑客等待的便是这一刻，利用漏洞攻破了系统，各种信息系统秘钥被黑客一览无余，最终造成医院患者隐私数据泄露的严重安全事故。

又比如，一家医院使用的OpenClaw在处理跨系统任务时导致原有HIS系统的代码“屎山”崩坏，整个HIS系统陷入瘫痪，修复系统耗时数日。

一个好消息是，安全管理机构已经接连发布风险公告。

工业和信息化部网络安全威胁和漏洞信息共享平台发布的OpenClaw安全风险预警

早在2月5日，工业和信息化部网络安全威胁和漏洞信息共享平台就发布了OpenClaw安全风险预警。不过，当时“养虾”并未成为热门话题，并未引起太多关注。在“养虾”热潮渐起后，3月10日，国家互联网应急中心又发布关于OpenClaw安全应用的风险提示。

根据国家信息安全漏洞库（CNNVD）统计，自2026年1月-2026年3月9日，共采集OpenClaw漏洞82个，其中光超危漏洞就多达12个，高危漏洞21个、中危漏洞47个、低危漏洞2个，包含了访问控制错误、代码问题、路径遍历等多个漏洞类型。

据动脉网了解，知名三甲医院已经发布通知，严令禁止将OpenClaw接入医院内网、业务专网及各类医疗信息系统。即便科研团队因研究测试需要，也需要满足安全规定，做好安全防范。

某知名三甲医院已发布关于OpenClaw的风险通知

管理机构的迅速反应无疑是给大众吃了一颗定心丸。不过，这并不能完全杜绝由OpenClaw导致的安全问题。毕竟，绝大多数时候，导致安全问题的主体不是系统，而是人。

仅以国内医院信息系统必须安全机制的堡垒机为例。正常情况下，第三方运维人员登录医院服务器资源必须通过堡垒机分配获得账号才可实现安全可控的访问。然而，部分医院的堡垒机除了在等保测试和检查时开启，平时很少启用。这是因为医院信息系统较多，几十个业务系统可能涉及不同的企业。运维人员会觉得堡垒机的账号分配及权限管理增加了很多工作量，加之设置的确需要一定的专业知识。所以，部分医院很少启用堡垒机。

即使安全规则再严格，系统再完善，只要人的安全意识出现一丝大意，那么上述在另一时空由OpenClaw引发的事故，在真实世界同样无法杜绝。

撞上安全红线，为什么医疗环境是“龙虾”的禁区？

OpenClaw之所以能够得到追捧，究其根本还是在于它可以智能化处理各种任务，这使其具备了高权限、高自动化和高连通的特点。然而，这些赋予OpenClaw优势的特点，恰恰与安全准则背道而驰。

以最为关键的权限为例，传统的网络安全遵循最小权限原则，只授予完成任务所必需的最低权限。但OpenClaw为了完成复杂的自动化任务，通常需要被授予较高的系统权限，比如读取文件、执行命令、访问网络等。一旦其被恶意利用或AI出现误判，就可能直接删除核心数据或篡改系统配置，破坏力远超普通程序。

此外，在金融、医疗等敏感领域，类似删除数据、修改权限的关键操作通常需要二次确认或人工审批。OpenClaw则能够根据自然语言指令自动规划并执行一系列操作，无需人工干预，具有高自动化的特点。不过，一旦指令被恶意诱导，它可能会在无人察觉的情况下执行危险操作，且事后难以追溯责任。

安恒信息AI安全专家认为，目前，OpenClaw在医疗环境的应用存在四个核心隐患。

其一是数据隐私泄露，OpenClaw需要调用大模型，或在线搜索信息，存在数据泄露的风险。

其二是AI幻觉产生的风险。“此前已有教训证明，OpenClaw可能会对操作命令出现幻觉或误判，进行错误操作；在涉及模糊指令或信息不完整的场景中，也倾向于自行脑补缺失信息然后直接执行，这导致了极高的操作风险。此外，在诊疗环节如果因为幻觉给出错误建议则可能出现生命危险，更为严重”，他表示。

第三是系统越权风险。专家认为，具有高风险的OpenClaw一旦对接医院核心系统，极有可能成为攻击者的跳板，防不胜防。

最后，专家认为模型的安全风险也不容低估：“OpenClaw本质上还是建立在大模型之上，可能会遭受提示词注入、数据投毒等风险，一旦出现问题又难以追溯，需要慎重对待。”

除此以外，OpenClaw的成本风险也已众所周知，由于OpenClaw依赖大模型进行推理，每执行一步任务都需要调用模型接口，若在云端运行且配置不当，算力和调用费用都可能迅速增加。

当然，通过各种安全配置和限制，OpenClaw的安全风险可以得到大幅降低。不过，此时其功能也已经与最初不可同日而语。一位资深码农向动脉网表示，如果对OpenClaw进行严格的安全配置，如完全本地化、严格权限、只读分析，那么其与如定制自动化脚本等现有方案相比，在安全性、成本和可维护性等方面可能并没有绝对优势。

AI安全专家则表示，现阶段安全跟智能的确彼此矛盾，但OpenClaw仍有可取之处：“你想让它更智能，那权限管控就要更开放，安全性就下降；你想让它更安全，那限制就要更多，智能水平就会下降。如果针对OpenClaw做一些加固和定制化开发，即使智能水平有所下降，仍然还是有可能在医疗环境下使用。至少它还是基于大模型，用户可以通过自然语言实现交互，这会使一些专业软件的使用成本降低，也可以做一些文档编辑、统计分析等辅助工作。我认为其实还是能解决很多问题。”

后OpenClaw时代，AI时代安全方案走向何方？

对于现阶段在医疗环境下使用OpenClaw，安恒信息AI安全专家给出了几个具体的安全建议。

第一是部署隔离，通过虚拟化或容器化的方式部署。尤其要与医院HIS系统实现物理隔离。

第二是要严格控制权限。他在交流中提到：“一些危险的命令是需要绝对禁止执行的，还要限制对敏感文件系统的访问。另外，对于‘投喂’的医疗数据还需要脱敏，并且关闭OpenClaw的记忆持久化功能，毕竟，有可能你不小心提供了敏感数据，其记忆仍然是长期存在的。”

第三是需要清晰知道功能边界。比如，禁止调用医疗系统接口，又或者仅仅只开放文档查询或者行政辅助的低风险能力。

第四则是安全加固。“我们需要部署安全软件，从而实现对安全风险，如提示词注入风险的防范；还需要建立全流程日志审计；甚至还要做到一键关停，从而在出现风险后能够及时阻断”，他补充说道。

最后则是安全合规治理。“我们肯定要先做这种安全评估，有必要的话要进行这种医护培训，然后定期的由这个管理员去要进行这个漏洞扫描和补丁更新。”

众多安全厂商也开始行动起来，比如，安恒信息就紧急发布了OpenClaw安全防护工具——ClawdSecbot，能够对OpenClaw漏洞进行扫描并进行一键式防护，并由管理员制定安全策略对OpenClaw的潜在风险进行阻断。

专家认为，AI智能体的日趋火爆正在给医疗安全市场提出了新的要求：“目前，传统的EDR软件是基于进程行为进行风险识别，虽然可以防止AI执行一些敏感命令或者禁止访问特定目录，但对于基于意图方式的风险识别能够起到的作用越来越小。比如这个进程的行为到底是由用户触发，还是由提示词或者说是由恶意代码等外部内容触发，现有安全软件是判断不出来的。”

“AI智能体，特别是OpenClaw这种端侧智能体的火爆对于安全来讲将是一个分水岭。传统安全方案其实是静态规则，或者说是一种边界防护，在AI环境下效果越来越小。未来我们可能需要强化行为分析，通过对系统的指令做上下文分析，也就是对行为意图进行分析。这将是AI时代安全方案的发展方向”，他补充道。

专家表示，这类能够满足AI时代的安全方案仍有一定难度：“我们既要考虑所有的风险场景，处理海量的数据；又要考虑性能问题，不能系统开销过大；还要考虑安全产品自身的安全性问题。目前，我们也在做一些AI防护的预演工作，尽快推出成熟的AI安全方案。”

写在最后

OpenClaw的爆火或许值得我们深思。具有如此高风险且尚不成熟的应用竟然能够如传销一般迅速火遍互联网，甚至被堂而皇之讨论引入到最为看重安全的医疗环境，着实让人始料未及。虽然其效率提升着实令人心动；但另一方面，对于风险的普遍漠视似乎也是当前医疗领域数据安全问题的注解。

在可以预见的将来，AI智能体必将持续火爆。这也给安全行业提出了巨大挑战，医疗领域乃至整个社会将急切需要更符合AI时代的安全方案。当然，不管技术如何变化，更为重要的恐怕是医疗人对安全的敬畏。毕竟，任何好的安全配置和规则在人性面前都将不值一提。