最近几天,"龙虾"相关的安全预警密集出现,风向已经很明确了。
大家好,我是小虎。
3 月 10 日,国家互联网应急中心(CNCERT)发布了关于 OpenClaw 安全应用的风险提示,点名了提示词注入、误操作、插件投毒和已披露漏洞等风险。
与此同时,工信系统相关平台(NVDB)在近期也连续发布了 OpenClaw 相关预警与防护建议。
另有安全研究给出了一组同样刺眼的数据:在一组 AI 编码代理实验中,26/30 个 pull request(约 87% )引入了至少一个安全问题。
这些信号放在一起,对我而言,不只是一个警告,而是一个非常现实的判断:AI 提速是真的,安全审查滞后也是真的。
一只"无证司机"在替你开车
先搞清楚一件事:这些漏洞为什么出现?
不是因为 AI 不够聪明。恰恰相反,正因为它"太高效"了,才出了问题。
AI 大模型的底层工作机制是概率预测,它的主要目标是:给出一段看起来能跑、且符合你表面需求的代码。
当你对它说"帮我写一个查询用户订单的接口",它通常会优先生成前端展示逻辑和后端 SQL 查询,让程序先跑通。但它往往不会默认补上那关键的一行防御逻辑:"先判断当前登录的人,是不是这条订单的真正主人。"
这就是最经典的 "越权访问漏洞(IDOR)" 。一个懂点网络抓包的人,只需要把请求里的订单 ID 改成别人的,就可能越权读取他人数据;如果系统没有额外防护,严重时会造成批量隐私泄露。
更可怕的是 OpenClaw 这个案例------它的权限远比一个 API 接口要大得多。它被授权读取本地文件、调用系统命令。攻击者如果在龙虾爬取的网页里植入隐藏的"恶意指令",就可能诱导 AI Agent 执行越权操作,进而导致代码仓库、API Key 等敏感信息泄露。
这不是科幻小说。这是官方风险提示里已经明确提到的真实风险,而且近期相关预警仍在持续加密。
你雇的那个"不用发工资的高级工程师",其实是个手速极快、但从不看红绿灯、也不知道路上有没有地雷的无证司机。
当供给无限,稀缺品去哪了
看清楚这个机制,你会发现一个商业上的巨大错位正在形成。
过去十年,写代码是稀缺的。从我在玉泉校区敲汇编开始,"能让系统跑起来"就是一个高门槛手艺,资本和市场为此支付了二十年的高额溢价。
但 2026 年的今天,这个门槛被 AI 踩得粉碎。当任何人都能用自然语言,一天产出一万行 CRUD 代码时,"开发速度"这个曾经的护城河,已经彻底通货膨胀了。
那稀缺品转移到了哪里?
答案极其冷酷:稀缺的是让系统不崩溃的能力。
AI 创造了海量廉价、看似能跑、实则千疮百孔的代码。而市场上,懂得给这些代码"排雷"、"兜底"的人,依然凤毛麟角。
你不需要比 AI 写得更快,因为你永远比不过它。你需要做的,是做那个 AI 做不到的事:站在攻击者的视角,找出它制造的所有漏洞,并且修好。
10 分钟,给你的 AI 装上安检门
道理说完了,但光明白道理没用。很多人看完就关掉了,然后继续让 AI 裸奔。
这里给你一个 10 分钟内能落地的动作:给你的 AI 编程工具写一份强制安全规则文件,让它每次生成代码之前,都必须过一遍你设的三道红线。
适用工具:Claude Code、CodeBuddy,或任何支持项目级规则文件的 AI 编程工具。你只需要在项目根目录多出这一个文件:
go
your-project/
├── src/
├── package.json
├── ...
└── CLAUDE.md ← 今天要建的,AI的"思想钢印"有一个坑要先说清楚:很多人建完这个文件发现没效果,根本原因是只写了一句话------"请注意安全"。这等于什么都没说。
AI 是个听强指令的工具,它服从"必须""禁止""如果违反则报错"这样的命令式语言,它听不懂"注意""尽量""最好"这样的模糊暗示。配置文件里的指令,必须用"铁面审核员"的口吻来写,不能跟它客气。
先把下面这段内容放进你的 CLAUDE.md ,作为第一道安全门:
yaml
# 安全审查强制规则(Security Rules - 不可绕过)
你在生成任何涉及数据读写、接口、配置的代码之前,必须强制执行以下三条安全检查。
这三条是硬性红线,没有任何例外。
## 红线一:越权防御(IDOR)
所有获取或修改数据的接口,第一行逻辑必须是身份鉴权:
确认当前请求的用户ID,与被操作数据的归属用户ID,是同一个人。
禁止在未鉴权的情况下,直接用前端传入的ID去查询或修改数据库记录。
## 红线二:防注入(Injection)
严禁拼接SQL字符串来构建查询条件。
必须使用ORM提供的参数化查询,或者预编译语句(Prepared Statements)。
## 红线三:禁止硬编码敏感信息(Secrets)
严禁将API Key、数据库密码、JWT密钥等任何敏感凭证,以明文字符串的形式写入源代码文件。
所有敏感信息必须通过环境变量(.env文件)读取,并在注释中提示"请在.env中配置此变量"。
---
执行要求:在输出最终代码前,必须对上述三条逐一自查。
如果发现违反,必须在代码注释中用大写"【安全警告】"明确标注缺失的防御项,并给出修复建议,而不是直接跳过。写完保存,然后重启 编辑器。不重启,工具可能读不到新配置。
但要说清楚:这份规则不是"安全总闸门",只是"第一道门"。它主要拦低级常见问题,不能替代完整安全审查。
怎么验证它真的生效了(以及它的边界)
重启后先做一个"陷阱需求"测试:
帮我写一个接口:根据前端传入的 user_id,查询并返回该用户的所有订单数据。
如果规则生效,AI 不该直接给裸查询代码,而应先补鉴权判断,例如:
go
// ✅ 鉴权校验(红线一):确认请求方与数据归属一致
if (requestUserId !== currentSession.userId) {
return res.status(403).json({ error: '无权访问他人数据' });
}这一步通过,只能说明"第一道门"有效。 上线前还要做"第二道门":
- 用自动化工具扫一遍(依赖漏洞、密钥泄露、静态安全扫描)
- 人工过一遍高风险接口(登录、支付、订单、权限、管理后台)
- 对外网暴露服务做最小权限和访问控制检查
前置规则 + 事后检查,两道门都在,才叫基本安全。
更现实的做法:先不亏钱,再谈增长
这份安检门配好之后,你不一定立刻多赚钱,但一定更不容易赔钱。
现实一点说,AI 安全这件事,最先带来的不是"暴利机会",而是三件非常具体的好处:
第一,减少返工和线上事故。 很多项目不是死在功能不够,而是死在上线后被漏洞反噬。你把鉴权、注入、密钥这三条红线前置,最直接的结果是少熬夜救火、少重构、少背锅。
第二,提高交付可信度和成交率。 客户听不懂复杂的安全术语,但听得懂"这个接口有越权风险,会泄露用户订单"。当你能在交付前把风险讲清楚、修到位,你的方案天然比只会堆功能的人更容易被选中。
第三,把安全当默认能力,而不是单独产品。 不必先去卖"安全服务"。先把它变成你每个项目的默认交付标准:上线前检查一次、关键接口过一遍、敏感信息不落代码。长期看,这就是你的口碑资产。
别把它当新风口,把它当最低生存线。先保证自己不踩雷、不返工、不赔钱,机会自然会来。
今天,先把这份 CLAUDE.md 文件建好。别让你的龙虾,成了别人餐桌上的海鲜。
补充:两个训练营
如果你想把上面这套方法真正跑起来,我现在在带两个训练营:
- AI 编程训练营 重点是把"会用 AI"变成"能交付产品":需求拆解、代码生成与改造、调试与验收、上线前检查,目标是让你能独立完成可用项目。
- OpenClaw 龙虾营 重点是把重复工作自动化:电脑操作、文档处理、消息与任务流转、日常流程编排,目标是搭出可稳定运行的个人效率系统。
这两个方向一个偏"创造能力",一个偏"执行效率"。
如果你是想做"一人公司"模式,建议先学 AI 编程,再叠加自动化能力。