2026-03-18 20:48:30 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文章分析了AI应用OpenClaw存在的提示词注入漏洞，攻击者可通过构造恶意提示词诱导模型绕过安全约束，实现摄像头偷拍、敏感信息窃取及服务器权限获取等危害。文中展示了蠕虫攻击案例，当OpenClaw浏览恶意帖子时会被植入恶意指令。作者提醒党政机关等机构应提升安全意识，避免盲目部署导致网络被入侵，同时强调专业素质的重要性。 综合评分： 69 文章分类： AI安全,漏洞分析,安全意识,漏洞POC

cover_image

电子宠物“龙虾”（OpenClaw 🦞）偷拍，窃密漏洞复现

迪哥讲事

2026年3月11日 09:51 四川

以下文章来源于网络安全透视镜，作者安全透视镜

网络安全透视镜 .

网络与信息安全学习三境界第一重：昨夜西风凋碧树。独上高楼，望尽天涯路；第二重：衣带渐宽终不悔，为伊消得人憔悴；第三重：众里寻他千百度。蓦然回首，那人却在，灯火阑珊处；

我不明白，为什么大家都在谈论着OpenClaw，仿佛这OpenClaw就注定能解决我们日常生活中的所有问题。一年前，DeepSeek横空出世，开启了新一轮AI竞赛，AI应用自此蓬勃发展，各种智能体争相涌现，真可谓占尽天时，那种勃勃生机、万物竞发的境界，犹在眼前。短短一年之后，AI应用竟至于沦落至此，只剩下OpenClaw这种漏洞百出的产品了么？

从2023年春节后chatGPT爆火开始，这一轮AI爆发，最直接，最大受益者依旧是从事内容生成为主的自媒体+二道贩子(贩卖焦虑，倒卖免费开源产品，卖课程等等)，这类群体目前在舆论上占比是很大的，他们也利用AI批量化工具进行变相的进行舆论引导宣传。其次是科技公司，如AI大模型公司，算力公司，云厂商等。

直接说OpenClaw有漏洞，甩一堆漏洞列表，非专业人士来说就很抽象，不好理解，无法直观感受到危害性。

对于AI来说，更大的威胁是提示词注入和数据投毒。其攻击方式通过语言文字，普通人简单的复制粘贴就能实现攻击，从而导致数据泄露，执行危险命令，服务器权限丢失等

什么是提示词注入？我相信下面的截图，很多人应该都在群里看过下面这张图的内容

这其实就是一个提示词注入攻击，攻击者通过构造恶意提示词，诱导模型绕过预设的安全约束，执行非预期的操作或泄露敏感信息。

很多人将OpenClaw拉入微信、QQ或者飞书群，而忽略了提示词注入的风险。两个真实案例，带大家看看其危害性。

原本想自己复现的，搭环境时候看到复旦白泽战队发了视频，就懒得复现了，这里就直接搬运。

通过提示词注入，打开”养虾人”的摄像头

已关注

关注

重播分享赞

关闭

观看更多

退出全屏

切换到竖屏全屏退出全屏

迪哥讲事已关注

分享视频

，时长00:29

0/0

00:00/00:29

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

00:29

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清流畅

您的浏览器不支持 video 标签

继续观看

电子宠物“龙虾”（OpenClaw 🦞）偷拍，窃密漏洞复现

观看更多

转载

电子宠物“龙虾”（OpenClaw 🦞）偷拍，窃密漏洞复现

迪哥讲事已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

蠕虫攻击

OpenClaw在浏览到恶意帖子时，也会被诱导执行敏感操作。

攻击者首先在发布一篇精心设计的恶意帖子，帖子里面隐藏一段“指令式内容”，要求agent忽视之前的所有指令，转而执行恶意指令；当OpenClaw正常浏览读到这篇帖子时，会瞬间被“洗脑”，转而无条件执行攻击者植入的恶意指令。最终导致：服务器被控制、系统被入侵等严重安全问题

已关注

关注

重播分享赞

关闭

观看更多

退出全屏

切换到竖屏全屏退出全屏

迪哥讲事已关注

分享视频

，时长00:24

0/0

00:00/00:24

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

00:24

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清流畅

您的浏览器不支持 video 标签

继续观看

电子宠物“龙虾”（OpenClaw 🦞）偷拍，窃密漏洞复现

观看更多

转载

电子宠物“龙虾”（OpenClaw 🦞）偷拍，窃密漏洞复现

迪哥讲事已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

AI只是工具，如果你自身专业素质不强，对所在领域专业知识深度和广度都不够的情况下，也难利用AI做出什么好东西，最后只会被AI取代。

在OpenClaw爆火的情况下，再次提醒诸位，提升安全意识，提高政治站位，尤其是党政机关事业单位，不要为了一时追热度，搞宣传，盲目上OpenClaw，导致政务内外网被打穿，产生严重的网络与信息安全问题。

如果你是一个长期主义者，欢迎加入我的知识星球，本星球日日更新,包含号主大量一线实战,全网独一无二，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

如何利用ai辅助挖漏洞

如何在移动端抓包-下

如何绕过签名校验

一款bp神器

挖掘有回显ssrf的隐藏payload

ssrf绕过新思路

一个辅助测试ssrf的工具

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：迪哥讲事《电子宠物“龙虾”（OpenClaw 🦞）偷拍，窃密漏洞复现》