全網(wǎng)都在“養(yǎng)蝦”，醫(yī)院卻下了封殺令

2026年3月，一股“養(yǎng)蝦”熱潮席卷中文互聯(lián)網(wǎng)。無論男女老少，都在急切地互相詢問“你養(yǎng)蝦了嗎”“怎么養(yǎng)蝦”？當然，這里的“蝦”絕非可以大快朵頤的小龍蝦，而是名為OpenClaw的開源AI智能體。

相比之前的AI智能體只能聊天和生成內(nèi)容，OpenClaw的運行方式帶來了變革。它可以直接接管電腦，自主按照指令執(zhí)行相應任務，像真人一樣操作鼠標鍵盤，幫你發(fā)郵件、整理文件乃至寫代碼。雖然大多數(shù)人對此一知半解，但顯然沒有人愿意錯過這一熱潮。

自然而然，這股“養(yǎng)蝦”風潮也迅速刮進醫(yī)療圈。然而，這只“龍蝦”雖然也帶來了效率提升，但僅需一次翻車，就將造成災難性后果。

01

當AI“龍蝦”接管醫(yī)療人電腦

OpenClaw導致的最知名的翻車事件無疑來自Meta。其超智能實驗室的AI對齊與安全總監(jiān)Summer Yue如以往一樣，嘗試讓OpenClaw整理她混亂的收件箱。為了穩(wěn)妥，她特意設置了一條安全指令：“在采取任何行動前，必須向我確認。”

然而，OpenClaw錯誤忽略了這條指令，不僅沒有請求確認，反而開始瘋狂清空的郵件。

這位專家回過神來立即輸入停止指令，但在慌亂之中并未輸入正確的停止指令。“我不得不像拆除炸彈一樣，全速沖向我的Mac mini去物理斷電”，她在推文中的描述充滿了絕望的意味。

當一位AI安全專家都能遇到這樣的問題時，OpenClaw存在的巨大風險顯而易見。如果將其應用到醫(yī)療場景，或許就有可能出現(xiàn)下面的情況。

比如，一位信息科的醫(yī)生最開始仍有安全意識，僅是在物理隔絕網(wǎng)絡的備用機上“養(yǎng)蝦”。隨著對OpenClaw的依賴度漸增，自恃已成為“養(yǎng)蝦”專業(yè)戶的B醫(yī)生自以為做好了安全隔離，開始在工作機上“養(yǎng)蝦”。

沒有想到的是，耐心的黑客等待的便是這一刻，利用漏洞攻破了系統(tǒng)，各種信息系統(tǒng)秘鑰被黑客一覽無余，最終造成醫(yī)院患者隱私數(shù)據(jù)泄露的嚴重安全事故。

又比如，一家醫(yī)院使用的OpenClaw在處理跨系統(tǒng)任務時導致原有HIS系統(tǒng)的代碼“屎山”崩壞，整個HIS系統(tǒng)陷入癱瘓，修復系統(tǒng)耗時數(shù)日。

一個好消息是，安全管理機構已經(jīng)接連發(fā)布風險公告。

工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺發(fā)布的OpenClaw安全風險預警

早在2月5日，工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺就發(fā)布了OpenClaw安全風險預警。不過，當時“養(yǎng)蝦”并未成為熱門話題，并未引起太多關注。在“養(yǎng)蝦”熱潮漸起后，3月10日，國家互聯(lián)網(wǎng)應急中心又發(fā)布關于OpenClaw安全應用的風險提示。

根據(jù)國家信息安全漏洞庫（CNNVD）統(tǒng)計，自2026年1月-2026年3月9日，共采集OpenClaw漏洞82個，其中光超危漏洞就多達12個，高危漏洞21個、中危漏洞47個、低危漏洞2個，包含了訪問控制錯誤、代碼問題、路徑遍歷等多個漏洞類型。

據(jù)動脈網(wǎng)了解，知名三甲醫(yī)院已經(jīng)發(fā)布通知，嚴令禁止將OpenClaw接入醫(yī)院內(nèi)網(wǎng)、業(yè)務專網(wǎng)及各類醫(yī)療信息系統(tǒng)。即便科研團隊因研究測試需要，也需要滿足安全規(guī)定，做好安全防范。

某知名三甲醫(yī)院已發(fā)布關于OpenClaw的風險通知

管理機構的迅速反應無疑是給大眾吃了一顆定心丸。不過，這并不能完全杜絕由OpenClaw導致的安全問題。畢竟，絕大多數(shù)時候，導致安全問題的主體不是系統(tǒng)，而是人。

僅以國內(nèi)醫(yī)院信息系統(tǒng)必須安全機制的堡壘機為例。正常情況下，第三方運維人員登錄醫(yī)院服務器資源必須通過堡壘機分配獲得賬號才可實現(xiàn)安全可控的訪問。然而，部分醫(yī)院的堡壘機除了在等保測試和檢查時開啟，平時很少啟用。這是因為醫(yī)院信息系統(tǒng)較多，幾十個業(yè)務系統(tǒng)可能涉及不同的企業(yè)。運維人員會覺得堡壘機的賬號分配及權限管理增加了很多工作量，加之設置的確需要一定的專業(yè)知識。所以，部分醫(yī)院很少啟用堡壘機。

即使安全規(guī)則再嚴格，系統(tǒng)再完善，只要人的安全意識出現(xiàn)一絲大意，那么上述在另一時空由OpenClaw引發(fā)的事故，在真實世界同樣無法杜絕。

02

撞上安全紅線，為什么醫(yī)療環(huán)境是“龍蝦”的禁區(qū)？

OpenClaw之所以能夠得到追捧，究其根本還是在于它可以智能化處理各種任務，這使其具備了高權限、高自動化和高連通的特點。然而，這些賦予OpenClaw優(yōu)勢的特點，恰恰與安全準則背道而馳。

以最為關鍵的權限為例，傳統(tǒng)的網(wǎng)絡安全遵循最小權限原則，只授予完成任務所必需的最低權限。但OpenClaw為了完成復雜的自動化任務，通常需要被授予較高的系統(tǒng)權限，比如讀取文件、執(zhí)行命令、訪問網(wǎng)絡等。一旦其被惡意利用或AI出現(xiàn)誤判，就可能直接刪除核心數(shù)據(jù)或篡改系統(tǒng)配置，破壞力遠超普通程序。

此外，在金融、醫(yī)療等敏感領域，類似刪除數(shù)據(jù)、修改權限的關鍵操作通常需要二次確認或人工審批。OpenClaw則能夠根據(jù)自然語言指令自動規(guī)劃并執(zhí)行一系列操作，無需人工干預，具有高自動化的特點。不過，一旦指令被惡意誘導，它可能會在無人察覺的情況下執(zhí)行危險操作，且事后難以追溯責任。

安恒信息AI安全專家認為，目前，OpenClaw在醫(yī)療環(huán)境的應用存在四個核心隱患。

其一是數(shù)據(jù)隱私泄露，OpenClaw需要調(diào)用大模型，或在線搜索信息，存在數(shù)據(jù)泄露的風險。

其二是AI幻覺產(chǎn)生的風險。“此前已有教訓證明，OpenClaw可能會對操作命令出現(xiàn)幻覺或誤判，進行錯誤操作；在涉及模糊指令或信息不完整的場景中，也傾向于自行腦補缺失信息然后直接執(zhí)行，這導致了極高的操作風險。此外，在診療環(huán)節(jié)如果因為幻覺給出錯誤建議則可能出現(xiàn)生命危險，更為嚴重”，他表示。

第三是系統(tǒng)越權風險。專家認為，具有高風險的OpenClaw一旦對接醫(yī)院核心系統(tǒng)，極有可能成為攻擊者的跳板，防不勝防。

最后，專家認為模型的安全風險也不容低估：“OpenClaw本質(zhì)上還是建立在大模型之上，可能會遭受提示詞注入、數(shù)據(jù)投毒等風險，一旦出現(xiàn)問題又難以追溯，需要慎重對待。”

除此以外，OpenClaw的成本風險也已眾所周知，由于OpenClaw依賴大模型進行推理，每執(zhí)行一步任務都需要調(diào)用模型接口，若在云端運行且配置不當，算力和調(diào)用費用都可能迅速增加。

當然，通過各種安全配置和限制，OpenClaw的安全風險可以得到大幅降低。不過，此時其功能也已經(jīng)與最初不可同日而語。一位資深碼農(nóng)向動脈網(wǎng)表示，如果對OpenClaw進行嚴格的安全配置，如完全本地化、嚴格權限、只讀分析，那么其與如定制自動化腳本等現(xiàn)有方案相比，在安全性、成本和可維護性等方面可能并沒有絕對優(yōu)勢。

AI安全專家則表示，現(xiàn)階段安全跟智能的確彼此矛盾，但OpenClaw仍有可取之處：“你想讓它更智能，那權限管控就要更開放，安全性就下降；你想讓它更安全，那限制就要更多，智能水平就會下降。如果針對OpenClaw做一些加固和定制化開發(fā)，即使智能水平有所下降，仍然還是有可能在醫(yī)療環(huán)境下使用。至少它還是基于大模型，用戶可以通過自然語言實現(xiàn)交互，這會使一些專業(yè)軟件的使用成本降低，也可以做一些文檔編輯、統(tǒng)計分析等輔助工作。我認為其實還是能解決很多問題。”

03

后OpenClaw時代，AI時代安全方案走向何方？

對于現(xiàn)階段在醫(yī)療環(huán)境下使用OpenClaw，安恒信息AI安全專家給出了幾個具體的安全建議。

第一是部署隔離，通過虛擬化或容器化的方式部署。尤其要與醫(yī)院HIS系統(tǒng)實現(xiàn)物理隔離。

第二是要嚴格控制權限。他在交流中提到：“一些危險的命令是需要絕對禁止執(zhí)行的，還要限制對敏感文件系統(tǒng)的訪問。另外，對于‘投喂’的醫(yī)療數(shù)據(jù)還需要脫敏，并且關閉OpenClaw的記憶持久化功能，畢竟，有可能你不小心提供了敏感數(shù)據(jù)，其記憶仍然是長期存在的。”

第三是需要清晰知道功能邊界。比如，禁止調(diào)用醫(yī)療系統(tǒng)接口，又或者僅僅只開放文檔查詢或者行政輔助的低風險能力。

第四則是安全加固。“我們需要部署安全軟件，從而實現(xiàn)對安全風險，如提示詞注入風險的防范；還需要建立全流程日志審計；甚至還要做到一鍵關停，從而在出現(xiàn)風險后能夠及時阻斷”，他補充說道。

最后則是安全合規(guī)治理。“我們肯定要先做這種安全評估，有必要的話要進行這種醫(yī)護培訓，然后定期的由這個管理員去要進行這個漏洞掃描和補丁更新。”

眾多安全廠商也開始行動起來，比如，安恒信息就緊急發(fā)布了OpenClaw安全防護工具——ClawdSecbot，能夠?qū)penClaw漏洞進行掃描并進行一鍵式防護，并由管理員制定安全策略對OpenClaw的潛在風險進行阻斷。

專家認為，AI智能體的日趨火爆正在給醫(yī)療安全市場提出了新的要求：“目前，傳統(tǒng)的EDR軟件是基于進程行為進行風險識別，雖然可以防止AI執(zhí)行一些敏感命令或者禁止訪問特定目錄，但對于基于意圖方式的風險識別能夠起到的作用越來越小。比如這個進程的行為到底是由用戶觸發(fā)，還是由提示詞或者說是由惡意代碼等外部內(nèi)容觸發(fā)，現(xiàn)有安全軟件是判斷不出來的。”

“AI智能體，特別是OpenClaw這種端側(cè)智能體的火爆對于安全來講將是一個分水嶺。傳統(tǒng)安全方案其實是靜態(tài)規(guī)則，或者說是一種邊界防護，在AI環(huán)境下效果越來越小。未來我們可能需要強化行為分析，通過對系統(tǒng)的指令做上下文分析，也就是對行為意圖進行分析。這將是AI時代安全方案的發(fā)展方向”，他補充道。

專家表示，這類能夠滿足AI時代的安全方案仍有一定難度：“我們既要考慮所有的風險場景，處理海量的數(shù)據(jù)；又要考慮性能問題，不能系統(tǒng)開銷過大；還要考慮安全產(chǎn)品自身的安全性問題。目前，我們也在做一些AI防護的預演工作，盡快推出成熟的AI安全方案。”

04

OpenClaw的爆火或許值得我們深思。具有如此高風險且尚不成熟的應用竟然能夠如傳銷一般迅速火遍互聯(lián)網(wǎng)，甚至被堂而皇之討論引入到最為看重安全的醫(yī)療環(huán)境，著實讓人始料未及。雖然其效率提升著實令人心動；但另一方面，對于風險的普遍漠視似乎也是當前醫(yī)療領域數(shù)據(jù)安全問題的注解。

在可以預見的將來，AI智能體必將持續(xù)火爆。這也給安全行業(yè)提出了巨大挑戰(zhàn)，醫(yī)療領域乃至整個社會將急切需要更符合AI時代的安全方案。當然，不管技術如何變化，更為重要的恐怕是醫(yī)療人對安全的敬畏。畢竟，任何好的安全配置和規(guī)則在人性面前都將不值一提。

*封面圖片來源：123rf

如果您認同文章中的觀點、信息，或想進一步討論，請與我們聯(lián)系；也可加入動脈網(wǎng)行業(yè)社群，結交更多志同道合的好友。

聲明：動脈網(wǎng)所刊載內(nèi)容之知識產(chǎn)權為動脈網(wǎng)及相關權利人專屬所有或持有。未經(jīng)許可，禁止進行轉(zhuǎn)載、摘編、復制及建立鏡像等任何使用。文中如果涉及企業(yè)信息和數(shù)據(jù)，均由受訪者向分析師提供并確認。