乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > OpenClaw 这次 beta,国内重度用户先别急着升级:先做 6 项安全体检

OpenClaw 这次 beta,国内重度用户先别急着升级:先做 6 项安全体检

当前时间: 2026-06-12 13:03:58 更新时间: 2026-06-12 分类:软件教程 评论(0)

OpenClaw 这次 beta,国内重度用户先别急着升级:先做 6 项安全体检

大家好,我是智瞳一哥。

OpenClaw 2026.6.6-beta.1 发了。

如果你只是看版本号,可能会直接划过去。

但这次我建议重度 Agent 用户认真看一眼。

不是因为它又多了什么炫技能力。

而是因为这次更新的主线非常明确:

OpenClaw 开始认真收紧 Agent 的安全边界。

这对国内用户尤其重要。

因为很多人试 Agent,不是为了在 GitHub 上跑个 demo。

而是想把它接到真实工作里:

电脑文件。

浏览器页面。

飞书通知。

QQBot 群聊。

公司项目。

公众号素材。

甚至以后可能还会接微信生态、企业微信、钉钉、内部系统。

一旦 Agent 开始碰这些东西,它就不是一个“会聊天的 AI”了。

它是一个能动手的助手。

能动手,就必须先问边界。

先说结论:不是所有人都该马上升级

这篇不是劝你闭眼升级。

OpenClaw 2026.6.6-beta.1 是 beta,也就是预览版。

如果你只是轻度体验,平时只打开本地控制台聊几句,现在没有必要急着动。

但如果你已经把 OpenClaw 接进真实工作流,就要认真看。

尤其是这几类用户:

你接了 Telegram、Discord、Teams、iMessage、WhatsApp 这些聊天渠道。

你在试 QQBot、飞书通知或类似国内办公入口。

你让 OpenClaw 调浏览器,看网页、点按钮、读页面。

你接了 MCP,也就是让 Agent 调外部工具的接口。

你让它碰本地文件、跑命令、调用 Codex 或其他代码工具。

你把它放在 Windows 电脑或小服务器上长期跑。

如果中了两条以上,这次更新就不是“可看可不看”。

它更像一次提醒:

你的 Agent 该做安全体检了。

OpenClaw 到底是什么?先别被术语绕住

为了照顾刚开始关注的读者,先用人话讲一下。

OpenClaw 可以理解成一个自己托管的 AI 助手网关。

网关,就是中间那一层。

你从聊天软件里发消息,它转给 Agent。

Agent 需要查网页、读文件、调用工具,它再去安排。

官方文档里说得很清楚:OpenClaw 可以跑在你自己的机器或服务器上,连接多个聊天入口和工具。它面向的是开发者和重度用户,不是普通聊天机器人。

这也是它好用的地方。

也是它危险的地方。

因为一旦它接得多,权限就会变复杂。

谁能叫醒它?

它能读哪些文件?

它能不能跑命令?

群里别人发一句话,会不会影响它?

浏览器里登录的账号,会不会被它误操作?

这些问题,比“模型是不是更聪明”更现实。

这次 beta 到底改了什么?翻成人话是 4 件事

官方 release notes 里有很多英文词。

不用全背。

抓住 4 件事就够了。

第一,聊天入口更谨慎。

这次提到 Telegram 投递更安全,未授权的私聊文本不会进入缓存和提示词上下文。也提到 QQBot 群 mention 开关、iMessage 恢复和投递改进。

翻译一下:

不是谁发一句话,都应该进入 Agent 的脑子。

尤其是群聊。

第二,浏览器和 MCP 更收边界。

MCP 可以理解成让 Agent 接外部工具的一套接口。

浏览器 CDP 可以理解成让 Agent 控制浏览器的一种通道。

这两个能力很强。

也最容易出事。

因为它们一旦放开,Agent 就可能读页面、点按钮、碰内部工具。

第三,输出内容开始被清理。

release notes 里提到浏览器输出边界、transcript 图片脱敏、抑制 Codex/Harmony 协议内容等。

翻成人话:

Agent 生成过程里的内部内容,不应该随便漏给用户或写进历史。

第四,审批超时更保守。

官方提到 exec approvals timeout 后会 fail closed。

意思是:如果要执行命令,但审批超时,不是默认放行,而是默认拒绝。

这点很重要。

真正的安全设计,宁愿少做一步,也不能在不确定时自动放行。

国内用户最该先查:这 6 个入口

别急着研究所有配置。

先查 6 个入口。

1. 聊天入口:谁能叫醒你的 Agent

如果你把 OpenClaw 接到了群里,第一件事是看触发规则。

群聊里最好要求明确 @ 才触发。

私聊最好用白名单或配对机制。

不认识的人、不相关的群、测试群里的杂音,都不应该进入 Agent 上下文。

国内用户尤其要注意:

如果你未来准备接 QQBot、飞书、企业微信、钉钉这类入口,先用测试群。

不要一上来接公司大群。

不要一上来让它读群历史。

不要让群里任何人都能触发带工具权限的 Agent。

2. 浏览器入口:不要用主力浏览器 profile

很多人试浏览器 Agent,最容易犯的错是:

直接让它操作自己日常用的浏览器。

里面有邮箱、网盘、公司后台、付款账号、各种登录状态。

这很危险。

更稳的做法是开一个单独浏览器 profile。

只登录测试账号。

只放低风险网站。

先让 Agent 做只读任务:打开网页、总结内容、提取信息。

不要一开始就让它提交表单、发帖、付款、删内容。

3. MCP 入口:先接只读工具

MCP 很有用,但别一上来接数据库、客户资料、内部后台。

先接只读工具。

比如搜索、文档、天气、公开网页读取。

等它跑稳定,再考虑接更重的工具。

如果一个 MCP 能写文件、发请求、查数据库、改状态,就不要给默认权限。

至少先确认它能不能记录日志、能不能撤销、能不能限制范围。

4. 文件入口:只给工作目录,不给全盘

Agent 不需要一开始就读你整个电脑。

尤其是 Windows 用户。

不要把桌面、下载、微信文件夹、公司资料盘、浏览器数据目录全部暴露给它。

建议建一个专门目录。

比如:

D:\AI-Agent-Workspace

先把测试文件放进去。

让 Agent 只在这个目录里读写。

跑通之后,再慢慢扩大。

5. 命令入口:能不自动执行就别自动执行

OpenClaw 是重度工具,它可能会涉及命令执行。

命令执行就是让 Agent 在你的机器上跑操作。

这件事一定要谨慎。

涉及删除、移动、安装、推送、改配置、启动服务的命令,最好都要人工确认。

尤其是团队环境。

不要为了省一步确认,把机器交出去。

6. Gateway 入口:别随便暴露到公网

Gateway 是 OpenClaw 的控制中枢。

能本地跑,就先本地跑。

官方文档里也强调,OpenClaw 更像个人助手信任模型,不适合把一个 Gateway 当成多个互不信任用户的强隔离系统。

国内用户如果要远程访问,优先考虑更可控的方式,比如内网、专用机器、专用账号。

不要随手把控制台暴露到公网。

不要用弱 token。

不要把个人账号和公司账号混在一个运行环境里。

真要实操,先跑这套 20 分钟流程

如果你已经在用 OpenClaw,今天可以照这个流程做一次检查。

第一步,确认自己是不是 beta 目标用户。

你只要问自己:有没有接聊天渠道、浏览器、MCP、文件、命令工具?

如果没有,先不用急。

第二步,备份配置。

重点备份:

~/.openclaw/openclaw.json

还有 credentials、secrets、agents 相关目录。

Windows 用户也一样,先找到自己的 OpenClaw 配置目录,再备份。

别在没备份的情况下试 beta。

第三步,跑安全审计。

官方文档给了命令:

openclaw security audit

进一步可以跑:

openclaw security audit --deep

如果你看到明显风险,再决定要不要用:

openclaw security audit --fix

注意,--fix 不是万能修复。

它适合处理一些明确的常见配置问题,不代表你的环境就彻底安全。

第四步,收紧聊天入口。

群聊必须 @ 才触发。

私聊尽量白名单。

测试群和正式群分开。

工作群不要一上来接高权限工具。

第五步,收紧工具权限。

浏览器只用测试 profile。

MCP 先接只读工具。

文件只给工作目录。

命令执行需要确认。

高权限工具先关掉。

第六步,跑三个低风险任务。

让它总结一个公开网页。

让它读取测试目录里的一个文档。

让它在测试聊天入口回复一条消息。

这三件事跑稳,再考虑接真实工作流。

谁适合现在试,谁先等等

适合现在试的人:

已经把 OpenClaw 当个人长期 Agent 用的人。

正在接 Telegram、Discord、Teams、iMessage、QQBot、飞书等入口的人。

已经在用 MCP、浏览器控制、Codex、本地命令工具的人。

愿意开测试环境、能看懂配置、能回滚的人。

先等等的人:

刚听说 OpenClaw 的新手。

只是想体验一下 AI 聊天的人。

没有备份习惯的人。

把 OpenClaw 放在正式工作流里,但没时间验证的人。

对 Windows、Node、API Key、网络环境这些门槛还没准备好的人。

这里也提醒一句:OpenClaw 官方文档写到,推荐 Node 24,也可以用 Node 22 LTS 的指定版本;还需要你自己的模型 API Key。

所以它不是那种点开网页就能用的工具。

它更适合愿意折腾、愿意配置、愿意把 AI 放进工作流的人。

这篇文章的重点,不是吓退你

OpenClaw 这类工具,我依然认为值得关注。

尤其是对重度用户。

它代表的是一个方向:

AI 不只是回答问题,而是能从聊天入口进入真实工作流。

但也正因为它能进入真实工作流,权限就不能随便给。

国内用户更应该谨慎。

因为我们的日常工作流里,有太多东西混在一起:微信文件、公司群、网盘、浏览器登录态、公众号素材、客户资料、内部后台。

这些东西一旦被 Agent 接进去,就不是“试试看”那么简单。

所以 OpenClaw 这次 beta,最值得普通重度用户记住的不是版本号。

而是这句话:

Agent 越能干,越要先把边界画清楚。

先安全体检。

再谈自动化。