“养龙虾”暴雷！第一波受害跨境卖家已出现，有人花钱卸载

本文由 雨果网 撰写/授权提供，转载请注明原出处。

• 微信搜索【白鲸跨境】或扫描文章底部二维码关注【白鲸跨境】公众号，快速洞察跨境市场商机
• 进{{title.indexOf('tiktok') > -1?'TikTok':'跨境电商微信'}}群获取行业商机，请添加客服微信（baijing016）或扫描文章尾部二维码添加

来源：雨果网

作者：闫清博杨旭峰

“紧急提醒！”

近期，“养龙虾”成为跨境圈的热门话题，所谓“养龙虾”，实则是使用开源 AI 智能体 OpenClaw，这款被传能“自动干活、解放双手”的工具，本被寄望于帮卖家摆脱重复劳动的内耗，却暗藏数据泄露、资产被盗、账号被盗等致命风险。

目前已有不少跨境从业者踩坑，甚至有卖家在社群中表示，其公司已禁止员工个人在公司设备上安装 OpenClaw……

多部门发布紧急提醒

一边是跨境卖家对自动化效率的迫切需求，一边是工具带来的真实安全隐患，这场 “养龙虾” 热潮背后的风险已经引起官方高度重视。

3 月 10 日晚，国家互联网应急中心发布《关于OpenClaw安全应用的风险提示》，直指其安全隐患。

图源：国家互联网应急中心公众号

工业和信息化部也紧急发预警，表示尽管“龙虾”智能体已经更新到最新版本，能修复已知的安全漏洞，但并不意味着完全消除安全风险。

图源：工业和信息化部公众号

这些风险并非“危言耸听”，而是实实在在的损失。

“不少卖家反馈，确实在使用过程中踩坑了。”LinkFox AI 行业顾问任佳伟告诉雨果跨境，“很多卖家不懂技术，直接把 API Key 明文写在配置文件里，甚至发到群里求助。一旦泄露，别人可以用你的账户消耗大量费用，我自己就经历过需要紧急轮换被暴露 token 的情况。”

也有深圳卖家在社群中表示，自己为了节省运营时间，花 50 元找人远程安装 OpenClaw，结果安装当天，店铺后台就出现异常登录记录，绑定的信用卡被莫名刷走近万元。

还有上海的跨境卖家，花 40 块找人代装 OpenClaw，刚安装完成就接到电话，得知电脑权限已被代装客服接管，吓得又花钱找人卸载，即便如此，后续仍出现了信息泄露的情况。

不过也有卖家处于谨慎、观望状态，亚马逊卖家周然（化名）表示，听说“养龙虾”有风险，目前还没有使用，担心亚马逊账号被封，目前账号有些不太够用。

对于跨境卖家而言，OpenClaw 恰好戳中了“降本增效”的核心需求，也契合了不少人“怕被 AI 淘汰，不如先用上 AI”的焦虑心理。

这份“便利”和“焦虑的背后，来源于 OpenClaw 的高权限——OpenClaw 要实现“自主干活”，必须获取设备全盘读写、后台自主运行的权限，一旦授权，相当于让一个“陌生人”完全掌控你的电脑，黑客也能轻易突破防线，随意读取或修改店铺数据、客户信息、支付凭证，而跨境卖家的核心资产，恰恰都暴露在这份风险之下。

目前全球已探测到超 41 万例公网暴露的 OpenClaw 实例，其中 15.6 万例存在数据泄露风险。

这些安全隐患不仅让大量公网设备处于危险之中，还催生了一系列围绕 OpenClaw 漏洞的灰色服务。比如，OpenClaw 相关风险暴露后，上门卸载服务成为新的“生意”，也有服务商趁机“割韭菜”，声称“软件层权限太高，硬件才能解决安全问题”，推出各类“OpenClaw 安全硬件”，卖家要注意甄别，谨防被骗。

图源：社交媒体

“龙虾”有风险，跨境卖家别“硬用”

诸多跨境卖家的踩坑案例也证实了“龙虾”并非是一本万利的好助手。

除了上文中提到 token 暴露的风险，任佳伟还表示，OpenClaw 还会带来数据安全、费用失控以及合规等方面的风险。他提到，“龙虾”可以访问本地文件系统、执行命令，卖家如果配置不当，很可能误删重要文件、暴露敏感商业数据，比如供应商信息和定价策略等。

此外，在费用方面，任佳伟称：“AI 模型按 token 计费，多个 Agent 同时运行，如果不做成本控制的话，一天烧掉几百美金很正常，对于卖家而言，这是一笔不小的成本支出。”

而在合规方面，用 OpenClaw 生成的商品描述、评论回复，如果不经人工审核直接发布，可能会违反平台规则，甚至会造成更为严重的后果。

Keble AI 创始人马振豪，对“龙虾”的风险有着更清醒的认识。他表示：“OpenClaw 确实存在着诸多的漏洞，包括国外有很多用‘龙虾’而翻车的案例，有人用 OpenClaw 去处理邮件，结果所有邮件都被删除了。”

在马振豪看来，“龙虾”在跨境电商行业可以被应用，但并不代表着它具有商业价值，因为跨境卖家更多的是需要确定性，而不仅仅是效率。

当然，这也并非说跨境卖家不能使用 OpenClaw，马振豪表示，他最常见的使用场景，是卖家用其来进行信息汇总。另外，他建议卖家如果要使用“龙虾”，尽量不要在装有 ERP、登录店铺的电脑上运行，“这样总体来说风险是可控的。”他提到。

面对 OpenClaw 在跨境电商应用中的风险问题，任佳伟也给出了 6 点相关的实操安全建议：

1、API Key 管理：绝对不要硬编码 API Key，用环境变量管理，定期轮换 Key，检查配置文件权限（建议 600 权限）；

2、网络隔离：Gateway 端口不要暴露到公网。任佳伟称他的做法是只绑定本地地址（127.0.0.1），需要远程访问走 Tailscale 等内网穿透；

3、权限最小化：给Agent最小必要权限，不需要执行系统命令的 Agent，关掉 execl 工具；

4、费用监控：设置模型 Fallback 策略，比如主模型用 Claude，备用模型用 Kimi K2.5（成本几乎为零），每天做一次垃圾信息清除；

5、定期安全检查：任佳伟表示他自己设了每天凌晨的自动安全巡检——检查目录权限、端口暴露、新装插件等。

6、人工审核：AI 生成的任何对外内容（listing、邮件、评论回复），必须人工审核过后再进行发布。

而马振豪则重点提及了指令管理的重要性：“用 AI 做事，我们需要确认步骤。先让它写计划，然后再按计划去执行，这样不容易跑偏。”

他还强调，不要全自动——如果卖家要处理需要精确性的事情，全自动不见得是好事。

所以说，OpenClaw 并非“人人可用”，当“龙虾”爬上跨境卖家的操作后台，它带来的不只是效率的福音，还有可能是一记“狠夹”，它的高门槛和高风险，决定了其更适合有专业技术能力、能做好安全防护的团队，对于卖家而言，盲目使用，无异于“引狼入室”，最终只会得不偿失。

扫码关注公众号

获取更多跨境电商资讯