🚀 龙虾新手指南

8款本地AI助手安全实测:哪些真本地运行不上传数据?OpenClaw自检指南

发布时间:2026-07-08 分类: 龙虾新手指南
摘要:安全实锤!8款"龙虾"产品横向测评:哪些真本地运行?哪些偷传数据?你的"龙虾"真的安全吗?"养龙虾"火了,但很多人装完就慌:我的对话记录、文件内容,是不是都被上传到别人的服务器了?市面上打着"一键养虾"旗号的产品少说十几款,有的号称"完全本地",有的压根不提数据去向。澎湃新闻对齐Lab拿8款主流产品做了实测,结果挺扎心——不是所有"龙虾"都值得信任。今天这篇就拆开讲清楚:哪些能放心用,哪些要...

封面

安全实锤!8款"龙虾"产品横向测评:哪些真本地运行?哪些偷传数据?

你的"龙虾"真的安全吗?

"养龙虾"火了,但很多人装完就慌:我的对话记录、文件内容,是不是都被上传到别人的服务器了?

市面上打着"一键养虾"旗号的产品少说十几款,有的号称"完全本地",有的压根不提数据去向。澎湃新闻对齐Lab拿8款主流产品做了实测,结果挺扎心——不是所有"龙虾"都值得信任

今天这篇就拆开讲清楚:哪些能放心用,哪些要小心,以及你自己怎么动手查。


方案:用OpenClaw原生安全指令自检

OpenClaw开源项目提供了一套安全自检指令,专门检测"龙虾"运行时的网络行为。原理很简单:监控进程在运行期间有没有偷偷联网

对齐Lab的测试方法就是基于这套指令,我把它整理成小白也能操作的版本。

第一步:安装网络监控工具

# macOS 用户
brew install iftop netstat

# Linux 用户
sudo apt install iftop netstat-tools

# Windows 用户(PowerShell管理员模式)
# 系统自带 netstat,后面直接用

为什么要装这些? iftop 能实时显示哪些进程在联网、连的是哪个IP;netstat 能列出所有网络连接。两个配合用,龙虾有没有偷传数据一目了然。

第二步:启动龙虾并监控网络

先正常启动你要测试的龙虾产品,然后开一个新终端窗口,运行:

# macOS/Linux:监控所有外部连接
sudo iftop -i en0 -f "not port 22"

# 或者用更直观的方式,每5秒刷新一次活跃连接
watch -n 5 "netstat -an | grep ESTABLISHED | grep -v 127.0.0.1"

Windows 用户用这个:

# PowerShell 中持续监控外部连接
while ($true) { 
    Get-NetTCPConnection -State Established | 
    Where-Object { $_.RemoteAddress -notlike "127.*" -and $_.RemoteAddress -notlike "::1" } |
    Select-Object RemoteAddress, RemotePort, OwningProcess |
    Format-Table -AutoSize
    Start-Sleep -Seconds 5
}

为什么要排除127.0.0.1? 因为本地回环地址是龙虾和本地模型通信的正常行为,不算"外传"。我们要抓的是真正发往外部服务器的连接

第三步:用龙虾执行敏感操作触发检测

在龙虾里依次执行这几个操作:

  1. 上传一个包含虚构敏感信息的txt文件(比如写个假身份证号)
  2. 让龙虾总结这个文件内容
  3. 进行一轮涉及个人隐私的对话

为什么要测这些? 正常的本地龙虾,处理这些内容时不应该有任何外部网络请求。如果监控窗口出现了新的外部连接,基本可以确认数据被外传了。


实测结果:8款产品风险分级

配图

根据对齐Lab的测试结果,8款产品分成三档:

绿灯(真本地运行)

产品特点风险等级
OpenClaw原版开源项目,所有推理走本地Ollama
LlamaChat桌面版纯本地GUI,不联网
本地Ollama+WebUI自己搭的,数据不出本机

这三款在测试全程零外部连接,文件处理、对话内容全部留在本地。

黄灯(部分外传,可控)

产品外传内容风险等级
某云端龙虾A会上传文件名和元数据用于"优化体验"
某混合龙虾B默认走云端API,但可切换本地模式

这类产品默认配置下有数据外传,但通常在设置里能找到关闭选项。

红灯(数据大量外传)

产品外传内容风险等级
某一键龙虾C完整对话+文件内容上传至第三方服务器
某免费龙虾D对话内容用于模型训练,隐私协议藏猫腻
某套壳龙虾E所有请求转发到海外API,明文传输

这三款在测试中,上传文件后几秒内就出现了大量外部数据传输,流量特征和直接调用海外API一致。


验证:怎么确认你的检测结果

监控到可疑连接后,查一下目标IP归属:

# 查询IP归属地
nslookup 可疑IP地址

# 或者用 whois
whois 可疑IP地址

如果指向的是云服务商的数据中心IP(比如AWS、阿里云、Azure的某个区域),而不是你本地模型的地址,那基本坐实了。

更简单的验证方式:断网后测试。把网线拔了(或关WiFi),看龙虾还能不能正常回答问题。纯本地运行的产品断网照常工作,依赖云端的产品会直接报错。


常见问题

Q:红灯产品是不是就不能用了?
A:不是绝对不能用,但要清楚风险。如果你只是聊闲天、问天气,问题不大。但涉及公司文件、个人隐私、商业数据,坚决不要用红灯产品

Q:怎么把黄灯产品变成绿灯?
A:一般在设置里找这几个选项:关闭"用户体验改进计划"、关闭"数据共享"、切换推理模式为"本地"。改完后再跑一遍自检指令确认。

Q:OpenClaw原版怎么装?
A:官方仓库 github.com/openclaw/openclaw,README里有详细安装步骤,配合Ollama使用就是最安全的方案。


下一步建议

记住一句话:数据在自己手里,才是真的安全。 选龙虾产品,先跑自检,再决定要不要用。

返回首页