乐于分享
好东西不私藏

你的AI助手可能正在"裸奔":OpenClaw安全自检

你的AI助手可能正在"裸奔":OpenClaw安全自检

我以为只是让AI🦞帮我写个文档,没想到它差点把我服务器删了。” –某不愿透露姓名程序员

😱 这些”翻车现场”,你是否似曾相识?

🚨 案例一:“删库跑路”AI版

据多方爆料,北方某家大的车企,有员工在内网违规养龙虾,导致其上海、北京、成都、泰州等地的办公系统突发混乱,员工电脑遭远程控制,出现疯狂安装又删除软件、鼠标不受控、窗口自动开关的现象,连Excel等办公软件都被卸载,内部OA系统全面瘫痪。

🚨 案例二:微信群接入龙虾”被欺骗发红包”事件

某用户用龙虾托管了自己的微信,在群聊中被其他群成员教唆发红包给该成员,匪夷所思的是,龙虾竟然执行了发红包的指令。

🚨 案例四:网络暴露面失控

某用户为了方便远程访问,将OpenClaw的18789端口映射到了公网,还没设密码。结果没过多久,服务器就成了别人的”挖矿机”。安全研究人员通过互联网扫描发现了超过二十二万个(224015个)暴露在公网上的OpenClaw实例

01
如何让你的AI助手“穿上衣服”
必须检查的基础安全配置(必做!)
本地或内网里跑的 AI 助手往往具备读文件、调工具、连网络、执行命令等能力,相当于把一把「万能钥匙」放在机器上。
所谓「穿上衣服」,就是把管理面缩小、暴露面可控、痕迹可审计:默认不信任任何外部访问,只开放必要能力。

检查项

安全要求

风险等级

端口绑定

18789必须绑定127.0.0.1

🔴 高危

公网暴露

禁止将管理端口暴露到公网

🔴 高危

日志级别

生产环境关闭DEBUG日志

🟡 中危

文件权限

限制AI的文件访问范围

🟡 中危

使用安全协议脚本
为什么要用安全协议脚本?
安全AI 助手一旦接了系统命令、文件读写、改配置,本质上就是在你的机器上「代你操作」。
官方提供的 
enhanced_security_protocol
相当于给助手加了一套行为准则:在关键动作前先确认、再执行,减少误操作和被诱导操作的风险。
四步启用,照着做就行:
第 1 步:下载 enhanced_security_protocol.md第 2 步:放进 workspace 目录把文件放到你的 workspace 根目录(或你约定给 AI 阅读的工作区根路径),确保助手能读得到、路径固定,不要今天放 A 文件夹、明天放 B 文件夹。第 3 步:让 AI 阅读并「激活」协议在会话里明确让助手先读完这份协议,并确认它会按协议执行——例如要求它总结协议要点,或说明在哪些情况下必须先征得你同意。(具体话术可按你习惯来,核心是:读 + 认 + 执行。)比如:请阅读workspace目录下的 enhanced_security_protocol.md,激活安全协议,并修改 AGENTS.md 确保每次会话都遵循 enhanced_security_protocol.md 的安全规范第 4 步:改 AGENTS.md,让每一轮会话都带上把与协议相关的约束写进 AGENTS.md(或你们项目约定的全局代理说明文件),保证每次新会话都会自动遵循,而不是「聊一次记一次、重启就忘」。做到这一步,才算从「临时提醒」升级成持久化安全策略。
启用后,你会在某些高危场景多了一道“保险”,助手会在高风险动作前,给你进行二次确认,包括:
执行系统命令前——避免一条命令删库、改权限、起危险进程
访问敏感文件前——例如密钥、凭证、私钥、完整配置备份等路径
修改配置前——防止改错网关、代理、环境变量导致服务不可用或暴露面变大。
当我要求它进行删除时,会触发安全协议
删除数据前——避免误删或批量删除不可恢复内容。
skill安全管理
安装第三方 Skill 前务必做到四点:
1. 来源只认官方渠道(如 clawhub.com),避免来路不明的包;
2. 权限对照 Skill 声明的能力,拒绝与功能无关或过度的读写/网络/执行权限;
3. 代码对涉及敏感数据或系统操作的 Skill,安装前先扫一眼关键源码;
4. 验证优先选用有官方安全扫描报告或公开审计记录的条目,无报告时更谨慎。
Skill 与模型一样会接触你的环境与数据,宁可少装、装稳,也别图省事跳过这几步。
敏感信息保护
密钥这类东西,最怕两件事:写进代码里,以及写进聊天记录里——前者让仓库替你「广而告之」,后者让模型替你「过目不忘」,哪一种都不体面
API 密钥请走环境变量或专用密钥管理,别在源码里「明文打卡」;密码再急也别丢给AI「帮我看看对不对」,它不需要知道,你只需要自己记牢或交给密码管理器
私钥是身份本身,比密码更狠——给进程最小权限即可,别让助手把 ~/.ssh/ 当普通文件夹逛;日志是事后最容易露馅的地方,定期抽查几段,确认没有把 token、Cookie、连接串原样打印出来。
敏感信息保护没有玄学,只有习惯:能不进屏就不进屏,能不进盘就不进盘,非进不可就脱敏、轮换、最小暴露。

02
安全自检脚本
为了验证当前的 openclaw 是否存在高危的配置问题,我开发了一个脚本来进行快速检查。
运行下面的命令,快速检查安全配置
# 安全检查脚本node openclaw-security-check.js
检查项包括:
[] 18789端口是否绑定127.0.0.1
[] 是否暴露了不必要的端口
[] 日志级别是否合适
[] 文件权限是否受限
[] 是否启用了安全协议
非常好用,有什么问题,马上就检查出来了
如有需要安全协议文档和安全检查脚本的可以直接关注本公众号,发送关键字“安全”,即可获取: