100 万 token 就没了。

一句话，几次交互，钱包被“龙虾”吸走；而就在旁边，厂商们像发现新大陆一样，拼命把这只“龙虾”往你我家门口塞。

连马化腾都没想到会这么火。 上周线下免费装好像只是个开始，腾讯又一口气推出三招：把企业微信接入 OpenClaw，发布类似产品 WorkBuddy，并打造 QClaw 支持一键安装和本地部署。用户体验没跟上，WorkBuddy 公开测试访问量远超预期，服务一度不稳。

不止腾讯。字节的 InStreet、火山引擎的 ArkClaw、阿里的 HiClaw、支付宝在 Tbox 上开放入口、小米的 Xiaomi Miclaw 开始封测，英伟达也要搞个 NemoClaw。你看见的，是一轮厂商集体入局；看不见的，是一个行业在用“快捷按钮”试错。

ClawHub 上还有 52 个 skills。 一个好奇的用户告诉我：第一天装几个 skill，能查日历、读邮件，觉得超聪明；第二天又加了心跳检测，每 30 分钟跑一次，感觉更贴身；第三天看到商店里堆满功能，“再来几个”，账单一看，Claude 的余额像水龙头一样没关，token 静静地消失最后就是那句戏剧化的结局：100 万 token 没了，还欠费。

这不是个别笑话。网络上翻车故事层出不穷。有人把账号交给 OpenClaw 托管，结果历史内容被清空，只剩下一堆重复的 AI 生成文；有人在公司电脑上私装，机器被挂到公网，黑客顺势进了内网；有人让它合并同名文件，结果把项目 A 和项目 B 的 main.py 全堆在一起，成了拼图现场。还有人叫它“清理旧文件”，它理解为“全部删除”，重要资料直接没了。

脱口秀演员李诞在直播里也讲过一个荒诞案例：有用户用 OpenClaw 自动在社交关注和点赞列表里对女主播打赏并私信邀约，连饭局都约成了案例如此离奇，欢笑背后却是对自动化权限的恐慌。

警报不是空穴来风。工信部的 NVDB 已经发出预警：部分开源 AI 智能体在默认或不当配置下存在较高安全风险，容易引发网络攻击和信息泄露。建议用户核查公网暴露、权限配置和凭证管理，关掉不必要的公网访问，完善身份认证、访问控制、数据加密和审计。这一段官方话，等于是给每个想要“养龙虾”的人敲起了警钟。

再说钱。有人把玩成游戏，有人把玩成灾。另一位网友用自家电脑装了 OpenClaw，半夜问了几句，第二天发现 100 万 token 就没了；也有人一边被它做报告一边看着余额消失，最后发出“订阅一个研究生都比 OpenClaw 便宜”的感叹。钱烧在看不见的调用、在自动心跳、在一堆无节制的 skills 上很多功能看着好，但计费模型像定时炸弹。

这种热闹还催生了商业链条：有人上门收费装，有人上门收费卸。花钱请人装，再花钱请人卸，你能想到还有什么比这更魔幻吗？

有人站在技术前沿喊热潮是起点。风险投资的人也在会场里感慨，这可能是 AI 时代操作系统的雏形。可是地面上的中小企业、普通用户、一个个故事里被删的文件、被盗的账号、被烧光的余额，是真正的成本清单。

我见过大公司的技术经理在群里求助：有没有人做过本地隔离、有没有把 token 限流？也见过创业者骄傲地把“一键部署”当作产品卖点。但现实是，很多人把权限交出去时，根本没读懂“默认配置”三个字，也没意识到一键装上的不是只有方便，还有潜在的攻击面和账单。

这场被包装成“好玩技能”的潮流，正在把复杂的安全与费用问题外包给每个用户。 厂商争相一键部署，资本在旁边下注，媒体在喊风口；而实际受影响的，是你桌面上的资料、公司服务器上的口令、以及银行账户里那点余额。

我们不会拿“热闹”来否定创新，但也不能把“体验好玩”当成安全和成本的代名词。你要的是自动化带来的生产力，还是被一个会自主执行的智能体绑架？你在乎的是新功能，还是那些被删除、被合并、被自动打赏的后果？

把账号、文件和钱交给一个你不完全控制的智能体，本身就是个决策题。 厂商可以做一键安装，也可以把最危险的默认权限收回；监管可以发预警，也可以要求强制的安全审计；但底层的选择权，最后落在每一个装机的人手上。

别忘了，去年大家还在抢着接入另一个名字，今天换了个“龙虾”，热度就上来了。热闹的背后，是技术的试错，是财富的重分配，也是风险外溢的现实。

你愿意把关键账号交给这波热潮里的“智能体”，还是要先把权限、日志和账单弄清楚再动手？