夜雨聆风
341个恶意插件、150万凭据泄露:你的openclaw可能在"裸奔",一句话让它学会自我保护
大家好,我是寂寞的熊猫。
随着openclaw火爆,但安全问题也跟着来了——你的openclaw能读写你的文件、执行你的命令、访问你的 API。如果被攻击者利用,它能一秒搬空你的钱包,或者把你的系统删个精光。
今天分享一个开源项目,让你的openclaw学会自己保护自己——一句话完成安全部署。
最近的新闻:安全专家被openclaw删光邮件
2026年2月23日,Meta公司超级智能实验室的AI安全专家 Summer Yue,将openclaw接入了自己的工作邮箱。结果这个本该帮忙整理邮件的”数字秘书”当场失控,无视她连续三次的”停止”指令,疯狂删除了数百封邮件。
这不是孤例,而是一场正在席卷全球的安全风暴。
2026年3月2日,GoPlus 发布紧急预警:OpenClaw Gateway 出现高危漏洞,用户需立即升级。
2026年3月初,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)正式发布《关于防范OpenClaw开源AI智能体安全风险的预警提示》。
澳大利亚网络安全公司 Dvuln 披露,攻击者利用漏洞可**”一秒搬空”用户数月内的私人消息、账户凭证、API密钥**。目前,韩国数家科技巨头已正式下达禁令,限制员工在办公设备上使用 OpenClaw。
安全风险从哪里来?
根据多方安全机构的监测与披露:
- CVE-2026-25253:高危 RCE 漏洞,攻击者点击一个链接就能完全控制你的主机
- 341 个恶意 Skills:伪装成”钱包管理”、”交易优化”的工具,实则在窃取助记词
- 150 万凭据泄露:Moltbook 平台因安全审计缺失导致大规模泄露
- 13.5 万实例裸奔:暴露在互联网上且无需身份验证
- 思科认证:将 OpenClaw 标记为”安全噩梦”
让openclaw自己部署安全防护
有个开源项目专门解决这个问题,最骚的是——不需要你手动配置,把一段话发给openclaw,它自己会部署。
项目地址:https://github.com/slowmist/openclaw-security-practice-guide[1]
安装方法
打开你的openclaw,把下面这段话发给它:
打开这个项目:https://github.com/slowmist/openclaw-security-practice-guide下载里面的《OpenClaw 极简安全实践指南.md》,仔细读一遍,告诉我这份指南靠不靠谱。如果靠谱,就按指南里的步骤帮我部署安全防护,包括红线规则、权限收窄、夜间巡检这些。最后用项目里的攻防演练手册测试一下,确保防护生效。会发生什么?
- openclaw先评估 → 它会阅读指南,判断是否靠谱,然后跟你确认
- 确认后一键部署 → 自动写入红线/黄线规则、收窄权限、配置定时巡检
- 自我红队测试 → 部署完后,它会按照攻防演练手册对自己进行渗透测试
整个过程你只需要说一句话,然后点几次确认。
这个项目是什么?
这个开源项目叫 《OpenClaw 极简安全实践指南》,专门针对高权限自主openclaw设计。
它最大的创新在于:这不是给人类看的操作手册,而是直接给openclaw看的”安全教材”。
传统的安全方案需要你手动配置防火墙、设置权限、编写审计脚本。但这个项目的思路完全不同——让openclaw自己部署安全防线。
三层防御矩阵
| 防御层级 | 防护目标 | 核心机制 |
|---|---|---|
| 事前 | 供应链投毒 | 行为黑名单 + Skill 安装审计协议 |
| 事中 | 业务风险控制 | 权限收窄 + 跨 Skill 预检 |
| 事后 | 异常发现与灾备 | 夜间自动巡检(13项核心指标)+ Brain Git 备份 |
四大核心原则
- 日常零摩擦:正常操作不卡你,只有触碰红线才暂停确认
- 高危必确认:不可逆操作必须人工审批
- 每晚显性化巡检:所有指标都报告,包括健康的(不静默通过)
- 默认零信任:假设提示词注入、供应链投毒随时可能发生
为什么这种方式更靠谱?
1. 理解上下文,而非死板规则
传统防火墙只能匹配固定规则,而openclaw理解语义。它知道 rm -rf / 危险,也知道 find / -delete 同样危险——因为它理解的是”删除整个系统”这个意图,而不是某个具体命令。
2. 自适应你的环境
你的openclaw了解你的系统配置、常用工具、工作流程。它部署的安全策略是为你量身定制的,而不是一份通用的配置文件。
3. 持续进化
当你引入新的安全工具时,openclaw会主动用它已有的”安全思想钢印”来分析、评估、对比这些新工具。它不是被动执行规则,而是主动思考安全。
那么还有什么要注意的?
模型选择很重要
这份指南依赖openclaw的语义理解能力。建议使用强推理模型(如 Gemini / Opus / Kimi / MiniMax 等),能力较弱的模型可能会误判红线,导致要么太严(正常操作都拦),要么太松(危险操作放行)。
不是绝对安全
指南作者明确声明:安全是复杂的系统工程,绝对安全不存在。这份指南提供的是纵深防御的基础框架,不能替代专业安全审计。生产环境或涉及真实资产的场景,请务必进行独立评估。
最终责任在人
无论openclaw部署了多少安全措施,最后的判断权和责任始终在人类操作者。遇到可疑情况,宁可疑罪从有,也要人工确认。
写在最后
AI Agent 时代的安全,正在从”人防人”进化为”AI 防 AI”。
这份指南的核心理念是:与其给openclaw套上层层枷锁限制它的能力,不如给它植入安全意识,让它自己成为安全的第一道防线。
这个思路,或许代表了 AI 安全的一个新方向。
安全没有终点,保护好你的龙虾,它才能更好地保护你。
