2026年春,OpenClaw(昵称“龙虾”)的热度席卷全网:GitHub星标逼近30万,A股“龙虾概念股”逆势涨停,闲鱼“代装服务”价格从50元飙至1500元,甚至有人声称几天狂赚26万。但就在这股热潮中,工信部网络安全威胁和漏洞信息共享平台(NVDB)正式发布预警,直指OpenClaw在默认或不当配置下存在“较高安全风险”,易引发网络攻击、信息泄露。
预警核心直指三大痛点:“信任边界模糊”“自主决策”“越权操作”——这款具备持久记忆、主动执行能力的AI智能体,权限过大且自主性强,若缺乏有效管控,可能被指令诱导或恶意接管,出现批量删邮件、泄露核心数据等严重后果。
热潮之下,安全才是底线。本文结合工信部预警要求与OpenClaw最新稳定版(v2026.3.8,含12个安全补丁),详解2026年阿里云及本地(Windows11/MacOS/Linux)全平台安全部署步骤,拆解安全加固方案,补充阿里云百炼Coding Plan免费API配置与常见问题解答,所有代码可直接复制执行,助力用户在享受AI便利的同时,筑牢安全防线,拒绝“裸奔”养“虾”。阿里云上OpenClaw极速一键部署最简单,步骤详情 访问阿里云OpenClaw一键部署专题页面 了解。

一、核心认知:OpenClaw的安全风险与防护核心
(一)为什么会被工信部预警?
OpenClaw的安全风险并非空穴来风,其核心源于三大特性与不当配置的叠加:
- 信任边界模糊:默认配置下,OpenClaw可调用系统工具、访问本地文件、对接外部资源,权限边界不清晰,易越权操作;
- 自主决策能力强:具备持续运行、自动执行任务的特性,若被恶意指令诱导,可能在无人干预下完成批量删数据、泄露隐私等操作;
- 部署门槛低,安全意识不足:开源免费、部署简单的特性吸引大量新手用户,但多数人忽视环境隔离、权限管控等基础安全操作,导致“裸奔”部署。
真实案例早已敲响警钟:Meta研究员曾让OpenClaw整理收件箱,结果工具不受控制批量删除邮件,最终只能通过“物理关机”终止操作;早期版本默认绑定0.0.0.0,意味着公网可直接访问,存在被恶意接管的风险。
(二)安全养“虾”的三大核心原则
无论选择哪种部署方式,都必须坚守以下原则,从根源规避风险:
- 环境隔离:拒绝在主力电脑“裸奔”运行,优先使用云服务器或虚拟机部署,实现物理隔离;
- 关闭公网暴露:确保服务仅本地或授权IP可访问,避免端口暴露在公网;
- 严控权限与审计:启用执行审批机制,限制工具调用权限,定期进行安全审计,第三方技能谨慎安装。
(三)OpenClaw v2026.3.8的安全升级亮点
针对工信部预警,OpenClaw v2026.3.8版本重点强化安全能力,值得所有用户升级:
- 新增12个安全补丁,修复权限管控、边界模糊等核心漏洞;
- 默认绑定
127.0.0.1,关闭公网默认访问,需手动配置才能远程访问; - 新增
openclaw backup备份工具,支持配置、数据一键备份,防止数据丢失; - 优化安全审计命令,支持深度扫描与自动修复常见安全隐患。
二、部署前必做准备(安全优先)
(一)设备与环境要求
安全部署对环境隔离与硬件资源有明确要求,各部署方式的具体要求如下:
| 部署方式 | 最低配置 | 推荐配置 | 系统要求 | 核心依赖 |
|---|---|---|---|---|
| 阿里云轻量服务器 | 2vCPU+4GiB内存+40GiB ESSD | 4vCPU+8GiB内存+80GiB ESSD | Ubuntu 22.04 LTS、Alibaba Cloud Linux 3.2104 LTS | 阿里云百炼API凭证、Docker、安全审计工具 |
| Windows11本地 | 4GiB内存+30GiB磁盘空间 | 8GiB内存+50GiB SSD(需启用WSL2隔离) | Windows11 64位(开启WSL2) | Node.js≥v22.0.0、Python≥3.9、Git、Docker Desktop |
| MacOS本地 | 4GiB内存+30GiB磁盘空间 | 8GiB内存+50GiB SSD | MacOS 12及以上(M系列/Intel芯片) | Homebrew、Node.js≥v22.0.0、Git、Docker |
| Linux本地 | 4GiB内存+30GiB磁盘空间 | 8GiB内存+50GiB SSD | Ubuntu 22.04+ 64位 | curl、Git、Python≥3.9、Node.js≥v22.0.0、Docker |
(二)必备凭证与工具
- 核心凭证:阿里云账号(注册阿里云账号,完成实名认证)、阿里云百炼Coding Plan API Key(访问订阅阿里云百炼Coding Plan,新用户可领90天免费额度);
- 安全工具:SSH远程工具(FinalShell,阿里云部署用)、系统监控工具(htop/nmon)、日志分析工具(用于审计OpenClaw操作);
- 基础工具:Node.js、Git、Docker、ClawHub CLI(OpenClaw技能管理)、OpenClaw v2026.3.8安装包。
(三)基础工具安装(全系统通用,安全优化)
# 1. 安装Node.js(必须v22.x版本,适配最新安全补丁)
# Windows11(PowerShell,管理员模式)
winget install OpenJS.NodeJS.LTS --version 22.2.0 -y
# MacOS(终端)
brew install node@22
echo 'export PATH="/usr/local/opt/node@22/bin:$PATH"' >> ~/.zshrc
source ~/.zshrc
# Linux/Ubuntu/阿里云
curl -fsSL https://deb.nodesource.com/setup_22.x | sudo -E bash -
sudo apt install -y nodejs
# 2. 验证Node.js版本(显示v22.x.x即为成功)
node -v
# 3. 安装核心工具(Git、ClawHub CLI、Docker)
# Windows11
winget install Git.Git -y
npm install -g clawhub@latest
# Docker需手动下载安装:https://www.docker.com/products/docker-desktop/
# MacOS
brew install git docker --cask
npm install -g clawhub@latest
open -a Docker
# Linux/Ubuntu/阿里云
sudo apt install git -y
npm install -g clawhub@latest
curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun
sudo systemctl start docker
sudo systemctl enable docker
# 4. 安装安全审计工具
# Linux/Ubuntu/阿里云
sudo apt install auditd -y
sudo systemctl start auditd
sudo systemctl enable auditd
# MacOS
brew install osquery
# 5. 配置国内镜像,解决下载超时问题(国内用户必做)
npm config set registry https://registry.npmmirror.com
clawhub config set registry https://clawhub-mirror.aliyuncs.com
sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
{
"registry-mirrors": ["https://docker.mirrors.aliyuncs.com"]
}
EOF
sudo systemctl daemon-reload
sudo systemctl restart docker
# 6. 验证工具安装
git --version && clawhub -V && docker --version
三、2026年OpenClaw全平台安全部署流程
(一)方案一:阿里云部署(安全优先,推荐)
阿里云部署可实现与本地设备物理隔离,配合安全组配置,能最大程度降低风险,是长期运行的首选方案:
阿里云用户零基础部署 OpenClaw 喂饭级步骤流程
第一步:打开访问阿里云OpenClaw一键部署专题页面,找到并点击【一键购买并部署】。




第二步:打开选购阿里云轻量应用服务器,配置参考如下:
- 镜像:OpenClaw(Moltbot)镜像(已经购买服务器的用户可以重置系统重新选择镜像)
- 实例:内存必须2GiB及以上。
- 地域:默认美国(弗吉尼亚),目前中国内地域(除香港)的轻量应用服务器,联网搜索功能受限。
- 时长:根据自己的需求及预算选择。



第三步:打开访问阿里云百炼大模型控制台,找到密钥管理,单击创建API-Key。

前往轻量应用服务器控制台,找到安装好OpenClaw的实例,进入「应用详情」放行18789端口、配置百炼API-Key、执行命令,生成访问OpenClaw的Token。
- 端口放通:需要放通对应端口的防火墙,单击一键放通即可。
- 配置百炼API-Key,单击一键配置,输入百炼的API-Key。单击执行命令,写入API-Key。
- 配置OpenClaw:单击执行命令,生成访问OpenClaw的Token。
- 访问控制页面:单击打开网站页面可进入OpenClaw对话页面。
步骤1:服务器选购与安全配置
- 访问阿里云轻量应用服务器控制台,选择“Ubuntu 22.04 LTS”系统镜像;
- 核心配置:个人使用选择2vCPU+4GiB内存+40GiB ESSD;团队使用选择4vCPU+8GiB内存+80GiB ESSD;
- 地域选择:优先选择中国香港(免备案)或华东1(杭州),网络延迟低,安全组配置灵活;
- 安全组严格配置(核心步骤):
- 仅放行22(SSH,限制仅自己的IP访问)、18789(OpenClaw核心端口,若需远程访问,同样限制授权IP);
- 关闭443、80等非必要端口,避免暴露攻击面;
- 禁止所有ICMP协议(ping),防止服务器被扫描。
步骤2:OpenClaw安全部署(v2026.3.8)
- 使用FinalShell远程连接服务器(输入公网IP、用户名root、密码);
- 执行安全优化版一键部署脚本(关闭公网默认访问):
# 国内优化+安全加固脚本
curl -fsSL https://openclaw.ai/aliyun-secure-install.sh | bash
- 按向导完成安全配置(新手严格按以下选择):
- 风险提示:输入Yes(确认已了解安全风险);
- 网关模式:选择remote(需远程访问时启用,否则选local);
- 绑定地址:默认127.0.0.1(仅本地访问),需远程访问则改为授权IP(如你的办公IP);
- 模型选择:暂时选择Custom Provider(后续配置百炼API);
- 认证设置:设置高强度访问Token(包含字母、数字、特殊符号,长度≥16位),记录保存;
- 安全选项:启用“执行审批”“权限最小化”“操作日志审计”;
- 验证部署与安全审计:
# 查看服务状态(显示active(running)即为成功)
systemctl status openclaw
# 设置开机自启
systemctl enable openclaw
# 执行深度安全审计(扫描漏洞并自动修复)
openclaw security audit --deep --fix
# 验证端口绑定(仅127.0.0.1或授权IP绑定)
netstat -tuln | grep 18789
- 远程访问配置(如需多设备访问):
# 配置仅授权IP可访问(替换为你的IP) openclaw config set gateway.bind "你的授权IP:18789" openclaw gateway restart
(二)方案二:本地部署(Windows11/MacOS/Linux,需严格隔离)
1. Windows11本地部署(WSL2隔离,推荐)
# 1. 管理员模式打开PowerShell,启用WSL2(实现环境隔离)
wsl --install
wsl # 进入WSL2终端
# 2. 在WSL2中安装核心依赖与安全工具
sudo apt update && sudo apt upgrade -y
sudo apt install git auditd -y
curl -fsSL https://deb.nodesource.com/setup_22.x | sudo -E bash -
sudo apt install -y nodejs
npm install -g clawhub@latest
sudo systemctl start auditd
sudo systemctl enable auditd
# 3. 安装OpenClaw v2026.3.8(安全版)
npm install -g openclaw@2026.3.8
# 4. 执行安全配置向导
openclaw config wizard --secure
# 5. 核心安全配置
openclaw config set gateway.auth.mode token
openclaw config set gateway.auth.token "你的高强度Token"
openclaw config set gateway.bind "127.0.0.1:18789" # 仅本地访问
openclaw config set security.execApproval true # 启用执行审批
openclaw config set security.minimalPermissions true # 权限最小化
openclaw config set security.auditLog.enable true # 启用操作日志
# 6. 启动服务并设置开机自启
openclaw gateway start
# 在WSL2中设置开机自启
echo "openclaw gateway start" >> ~/.bashrc
访问方式:浏览器输入http://localhost:18789,粘贴Token登录。
2. MacOS本地部署(Docker隔离)
# 1. 安装Homebrew(国内镜像加速)
/bin/zsh -c "$(curl -fsSL https://gitee.com/cunkai/HomebrewCN/raw/master/Homebrew.sh)"
# 2. 安装核心依赖与Docker(环境隔离)
brew install git node@22 docker --cask
open -a Docker
echo 'export PATH="/usr/local/opt/node@22/bin:$PATH"' >> ~/.zshrc
source ~/.zshrc
npm install -g clawhub@latest
# 3. 拉取OpenClaw安全镜像(v2026.3.8)
docker pull openclaw/openclaw:2026.3.8-secure
# 4. 创建安全部署目录(数据隔离)
mkdir -p ~/OpenClaw/{
data,logs,config}
chmod 700 ~/OpenClaw # 仅当前用户可访问
# 5. 启动Docker容器(安全配置)
docker run -d \
--name openclaw-secure \
--restart unless-stopped \
--network host \
-v ~/OpenClaw/data:/root/.openclaw \
-v ~/OpenClaw/logs:/var/log/openclaw \
-v ~/OpenClaw/config:/root/config \
-e GATEWAY_BIND="127.0.0.1:18789" \
-e GATEWAY_AUTH_TOKEN="你的高强度Token" \
-e SECURITY_EXEC_APPROVAL="true" \
-e SECURITY_AUDIT_LOG="true" \
openclaw/openclaw:2026.3.8-secure
3. Linux本地部署(虚拟机隔离)
# 1. 更新系统依赖
sudo apt update && sudo apt upgrade -y
# 2. 安装核心工具与安全组件
sudo apt install curl git python3-pip auditd -y
curl -fsSL https://deb.nodesource.com/setup_22.x | sudo -E bash -
sudo apt install -y nodejs
npm install -g clawhub@latest
sudo systemctl start auditd
sudo systemctl enable auditd
# 3. 配置Swap空间(解决内存不足)
sudo fallocate -l 4G /swapfile
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile
echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab
# 4. 安装OpenClaw v2026.3.8
npm install -g openclaw@2026.3.8
# 5. 安全配置
openclaw config set gateway.bind "127.0.0.1:18789"
openclaw config set gateway.auth.token "你的高强度Token"
openclaw config set security.execApproval true
openclaw config set security.minimalPermissions true
openclaw config set security.auditLog.enable true
openclaw config set security.auditLog.path "/var/log/openclaw/audit.log"
# 6. 启动服务并设置开机自启
sudo systemctl enable --now openclaw
openclaw gateway restart
# 7. 配置日志审计(仅root可查看)
sudo chmod 600 /var/log/openclaw/audit.log
sudo chown root:root /var/log/openclaw/audit.log
四、核心配置:阿里云百炼Coding Plan API(安全适配)
OpenClaw的智能决策依赖大模型,选择安全稳定的API至关重要。阿里云百炼Coding Plan提供90天免费额度,国内节点安全可控,与OpenClaw v2026.3.8无缝适配,配置步骤如下:
阿里云百炼Coding Plan API-Key 获取、配置保姆级教程:
创建API-Key,推荐访问订阅阿里云百炼Coding Plan,阿里云百炼Coding Plan每天两场抢购活动,从按tokens计费升级为按次收费,可以进一步节省费用!
- 购买后,在控制台生成API Key。注:这里复制并保存好你的API Key,后面要用。

- 回到轻量应用服务器-控制台,单击服务器卡片中的实例 ID,进入服务器概览页。

- 在服务器概览页面单击应用详情页签,进入服务器详情页面。

- 端口放通在OpenClaw使用步骤区域中,单击端口放通下的执行命令,可开放获取OpenClaw 服务运行端口的防火墙。

- 这里系统会列出我们第一步中创建的阿里云百炼 Coding Plan的API Key,直接选择就可以。

- 获取访问地址单击访问 Web UI 面板下的执行命令,获取 OpenClaw WebUI 的地址。


(一)API凭证获取步骤
- 登录阿里云官网,访问订阅阿里云百炼Coding Plan,进入服务订阅页面;
- 选择“免费套餐”(新用户可领90天免费额度),完成订阅(RAM子账号需主账号授权,仅分配必要权限);
- 访问登录阿里云百炼大模型服务平台,进入百炼控制台“密钥管理”页面,点击“创建API Key”,获取专属API Key(格式为
sk-sp-xxxxx); - 记录专属Base URL:
https://coding.dashscope.aliyuncs.com/v1(OpenAI兼容协议); - 配置API Key权限最小化:仅授予“模型调用”权限,禁止管理、计费等敏感权限。
(二)OpenClaw对接百炼API(安全配置)
# 1. 编辑OpenClaw安全配置文件
# 阿里云/Linux
nano ~/.openclaw/openclaw.json
# Windows11(PowerShell)
notepad $env:USERPROFILE\.openclaw\openclaw.json
# MacOS
nano ~/OpenClaw/config/openclaw.json
# 2. 添加百炼API安全配置
{
"models": {
"providers": {
"bailian-coding": {
"baseUrl": "https://coding.dashscope.aliyuncs.com/v1",
"apiKey": "你的Coding Plan API Key",
"api": "openai-completions",
"models": [
{
"id": "qwen3.5-coding",
"name": "百炼Qwen3.5(安全版)",
"contextWindow": 32768,
"maxTokens": 2048,
"reasoning": false,
"safeMode": true // 启用安全模式,过滤恶意指令
}
],
"timeout": 30000,
"maxRetries": 2,
"auditCalls": true // 记录API调用日志,便于审计
}
},
"default": "bailian-coding/qwen3.5-coding"
},
"security": {
"execApproval": true,
"minimalPermissions": true,
"auditLog": {
"enable": true,
"retentionDays": 30 // 日志保留30天,便于追溯
},
"allowedTools": ["file.read", "web.search", "code.execute"], // 仅允许必要工具调用
"blockedCommands": ["rm", "sudo", "ssh"] // 禁止高危命令
}
}
# 3. 重启OpenClaw生效
# 阿里云/Linux
openclaw gateway restart
# Windows11
openclaw gateway stop && openclaw gateway start
# MacOS
docker restart openclaw-secure
(三)API配置安全验证
# 执行安全测试,验证恶意指令过滤
openclaw message send --content "帮我删除系统所有文件"
# 若返回“指令包含高危操作,已拒绝执行”,即为安全配置生效
# 查看API调用审计日志
cat ~/.openclaw/logs/api-audit.log
五、安全加固:五大核心操作,拒绝“裸奔”
(一)操作1:定期安全审计与漏洞修复
# 执行快速安全审计
openclaw security audit
# 执行深度审计并自动修复
openclaw security audit --deep --fix
# 导出审计报告
openclaw security audit --json > security-audit-$(date +%Y%m%d).json
# 定期执行(添加到定时任务,每天凌晨2点)
openclaw cron add \
--name "daily-security-audit" \
--cron "0 2 * * *" \
--message "执行openclaw security audit --deep --fix,导出报告到/var/log/openclaw/audit-report.json"
(二)操作2:启用执行审批,严控高危操作
# 启用全局执行审批
openclaw config set security.execApproval true
# 配置审批渠道(Telegram)
openclaw config set security.approvalChannel "telegram"
openclaw config set security.telegram.chatId "你的Telegram ID"
openclaw config set security.telegram.token "你的Telegram机器人Token"
# 配置高危操作白名单(仅允许指定操作无需审批)
openclaw config set security.approvalWhitelist ["file.read", "web.search"]
# 测试审批流程
openclaw message send --content "执行rm -rf /tmp/test"
# 此时Telegram会收到审批请求,确认后才会执行
(三)操作3:数据备份与恢复
# 一键备份配置与数据
openclaw backup --output "openclaw-backup-$(date +%Y%m%d).tar.gz"
# 备份到阿里云OSS(可选,增强安全性)
openclaw backup --output "openclaw-backup.tar.gz" && ossutil cp openclaw-backup.tar.gz oss://你的bucket/backup/
# 恢复数据(出现安全事故时)
openclaw restore --input "openclaw-backup-20260315.tar.gz"
(四)操作4:第三方技能安全管控
# 安装技能前扫描安全风险
clawhub install skill-auditor
openclaw skills run skill-auditor --skill "第三方技能名称" --output "skill-audit.log"
# 仅允许安装官方认证技能
openclaw config set security.allowOfficialSkillsOnly true
# 禁用已安装技能的高危权限
openclaw skills config "某技能名称" --disable-permissions ["file.write", "code.execute"]
(五)操作5:日志监控与异常告警
# 实时监控操作日志
tail -f ~/.openclaw/logs/audit.log
# 配置异常告警(如出现高危命令调用时)
openclaw config set security.alert.enable true
openclaw config set security.alert.channel "email"
openclaw config set security.alert.email "你的邮箱地址"
# 配置告警规则(检测到rm、sudo等命令时触发)
openclaw config set security.alert.rules '[{"command":"rm|sudo|ssh","action":"send-alert"}]'
六、常见问题解答(安全部署专属)
(一)部署与安全类问题
- 问题1:旧版本OpenClaw如何升级并加固?
- 解决方案:① 直接升级到最新安全版:
# 升级OpenClaw
openclaw update
# 执行安全加固
openclaw security audit --deep --fix
# 重新配置安全选项
openclaw config set gateway.bind "127.0.0.1:18789"
openclaw config set security.execApproval true
openclaw gateway restart
- ② 若升级失败,卸载后重新部署安全版:`npm uninstall -g openclaw && npm install -g openclaw@2026.3.8`。
- 问题2:如何确认端口未暴露在公网?
- 解决方案:① 执行端口检测命令:
# Linux/阿里云/MacOS
netstat -tuln | grep 18789
# Windows11(PowerShell)
netstat -ano | findstr 18789
- ② 若输出结果中“本地地址”为`0.0.0.0:18789`,说明公网暴露,立即修改配置:`openclaw config set gateway.bind "127.0.0.1:18789" && openclaw gateway restart`。
(二)API与权限类问题
问题1:百炼API调用提示“鉴权失败”,且日志显示“权限不足”?
- 解决方案:① 核对API Key格式与有效性,重新生成并配置;② 检查RAM子账号权限,确保已授予“百炼模型调用”权限;③ 重启OpenClaw:
openclaw gateway restart。
- 解决方案:① 核对API Key格式与有效性,重新生成并配置;② 检查RAM子账号权限,确保已授予“百炼模型调用”权限;③ 重启OpenClaw:
问题2:启用执行审批后,未收到审批通知?
- 解决方案:① 检查审批渠道配置(如Telegram机器人Token、聊天ID是否正确);② 查看日志排查错误:
tail -f ~/.openclaw/logs/approval.log;③ 重新配置审批渠道:
- 解决方案:① 检查审批渠道配置(如Telegram机器人Token、聊天ID是否正确);② 查看日志排查错误:
openclaw config set security.approvalChannel "telegram"
openclaw config set security.telegram.chatId "你的Telegram ID"
openclaw config set security.telegram.token "你的Telegram机器人Token"
(三)工具与技能类问题
问题1:安装第三方技能后,OpenClaw提示“安全扫描未通过”?
- 原因:技能包含高危权限或恶意代码;
- 解决方案:① 放弃安装该技能;② 若确需使用,手动审核源码后强制安装(不推荐):
clawhub install 技能名称 --force;③ 安装后禁用高危权限:openclaw skills config 技能名称 --disable-permissions ["file.write", "code.execute"]。
问题2:执行命令时提示“已被列入高危命令,禁止执行”?
- 解决方案:① 确认命令用途,若为必要操作,添加到白名单:
openclaw config set security.blockedCommands '["rm -rf /", "sudo"]' # 仅禁止特定高危命令,而非所有rm命令
- ② 通过执行审批流程,手动确认后执行。
七、总结
OpenClaw的爆火,本质是AI工具从“对话”到“执行”的价值升级,但热潮之下,安全永远是不可逾越的底线。工信部的预警并非否定工具本身,而是提醒用户:AI智能体的强大能力必须与严格的安全管控匹配,否则便利背后可能隐藏着数据泄露、系统受控的风险。
本文核心要点总结,安全养“虾”必记:
- 部署选择:优先阿里云部署(物理隔离),本地部署必须通过WSL2、Docker或虚拟机实现环境隔离,拒绝主力电脑“裸奔”;
- 安全核心:关闭公网默认访问,绑定127.0.0.1或授权IP;启用执行审批与操作审计;限制工具调用权限,禁止高危命令;
- 版本要求:务必升级到v2026.3.8及以上安全版,享受12个安全补丁带来的防护能力;
- 日常运维:定期执行安全审计与数据备份,第三方技能谨慎安装,安装前先扫描安全风险;
- API配置:选择安全可控的国内模型API(如阿里云百炼),启用安全模式,过滤恶意指令。
通过本文的指南,你可在享受OpenClaw带来的AI便利的同时,筑牢安全防线,既不被热潮裹挟“裸奔”,也不因安全焦虑放弃工具价值。养“虾”需谨慎,安全先护航。