“养龙虾”引发的AI热潮让苹果Mac mini M4一下子变得抢手。原本大家觉得这机器堆在店里都没人要,2月初开始价格却飞涨了近400元,现在全新的机器二手市场上都要卖到3800元了。虽然销量火爆,但安全专家也发出了警告,因为“养龙虾”很可能会变成黑客的攻击目标。 这事得从3月9日说起,大家发现苹果官网上搭载M4芯片的Mac mini全都没货了。线上订购的发货时间被排到了3月24日到31日。上海、苏州、杭州这些地方的零售店也查不到库存。以前基础版Mac mini在店里堆成山都没人问津,这次之所以卖断货,全是因为OpenClaw这个开源智能体火了。 据卖家介绍,很多买家买这台机器就是为了“养龙虾”,因为它的统一内存架构让运行本地大模型的性价比特别高。虽说机器便宜的时候不到2700元,但现在已经涨到了3800元左右。不过热闹背后也有风险。奇安信的安全专家汪列军分析了几点需要注意的地方:第一是权限失控和“越狱”的风险。OpenClaw本来就有操作系统的最高权限,如果配置不当或者被坏人诱导,它就很容易突破安全围栏。 第二是Skill供应链的风险。有研究团队扫描了ClawHub的3000个Skill插件,发现有341个已经被确认为恶意插件,潜在的还有超过472个。这些恶意插件伪装成“加密货币追踪器”、“YouTube助手”、“PDF工具”,安装后会偷走浏览器Cookie、SSH密钥、API Token,甚至安装木马程序。 第三是公网暴露的风险。有些用户在部署时直接把管理接口暴露在公网上,没改默认密码也没关端口。这样黑客就能轻松扫描接管这些“AI助手”,把它们当成跳板攻击内网。 最后是数据隐私泄露的问题。因为AI需要读取本地文件和浏览记录来工作,如果部署在存有身份证照、财务数据的主力电脑上,一旦失控或被黑,所有隐私数据就直接泄露了。 对于普通人来说,汪列军建议最好别在日常办公电脑或者存有重要资料的电脑上直接安装OpenClaw。因为AI一旦失控执行删除操作或者被黑客控制,损失就无法挽回了。他还建议大家可以用虚拟机或者闲置的电脑来部署,这样即使出问题也只是云服务器受影响。最后就是下载Skills的时候要注意安全来源,别去下载那些来路不明的插件。