原创 | 自查!你的OpenClaw安全吗?一套图讲清7大隐患(附防御方案)

作者：郑俊嫦   
联合创作：谭俊锋、林嘉亮
本文约3000字，建议阅读6分钟
本文介绍了热门工具 OpenClaw 七大安全风险，并给出简易落地防护方法。

2026年，OpenClaw爆火出圈，作为7×24小时在线的全能工具，它处理邮件、撰写周报、检索资料、打理日程样样在行，就连午休时也能帮你跑完代码。目前其在GitHub斩获37万多星标，中国工程院院士、阿里云创始人王坚认为OpenClaw不是传统意义上提高工作效率的工具，它挑战了我们今天的工作方式，甚至改变了工作本身。美国工程院院士、NVIDIA创始人兼CEO黄仁勋将其誉为“个人AI的操作系统”。

但最近几个月，安全圈炸了好几锅，有人只是点开了一条链接，整块硬盘就瞬间被加密锁死；有人让OpenClaw帮忙整理邮件，回头却发现邮箱里大半年的历史邮件全部消失；还有人平白无故多出数百美元的异常账单，只因OpenClaw帮他打开了一个网页，而页面中暗藏一段隐形指令，OpenClaw竟按照指令，将他的API密钥直接发送给了攻击者。这些事不是想象出来的。是真实的、已经发生的安全事故。翻遍OpenClaw的漏洞库、安全报告和用户反馈，问题比预想的严重得多。我们梳理出7个最易踩坑的风险点，每一个都配了简单好操作的防护办法，照着做就能少踩九成坑。

权限太大，等于把“保险柜密码”给了管家

OpenClaw要干活，就得有读文件、执行命令、访问网络的权限。而它恰恰全都具备。早期版本的OpenClaw调试端口默认是开着的，而且还绑在0.0.0.0上，什么意思呢？就是互联网上随便一个人，只要知道你的IP地址，就能连上来，连密码都不用输。2026年2月披露的漏洞CVE-2026-25253正是如此：攻击者诱骗用户点一个链接，远程执行代码、偷走认证令牌、完全接管OpenClaw实例，全程用户连弹窗都没看到。事后翻日志也查不出什么，因为OpenClaw本身就拥有高权限，攻击者的所有操作看起来都像正常行为，入侵检测系统当作自己人。

防御建议

给OpenClaw单独建一个标准用户账号，不给管理员权限。管理界面只允许本地访问，外部连不进来。默认密码全部改掉。如果你是本地部署，最好的办法是把它装在一台独立的虚拟机上，或者安装在一台非工作电脑，跟你的日常工作环境隔离开。部署在云服务器也是不错的选择，各大厂商现在都有提供专用的OpenClaw服务器，配置安装都非常简单。这样，就算被攻破了，损失也限定在那台机器里。

插件市场藏“木马”，不是所有插件都靠谱

OpenClaw有个插件市场叫ClawHub，跟手机应用商店一个道理。大家觉得商店里的东西总归经过审核了吧？未必！有人研究了67,000多个插件版本，用了三款主流安全扫描器去扫。结果呢？超过80%的问题插件只被其中一款扫描器发现，三款同时报警的只有不到1%。换句话说，那些存心想绕过检测的恶意插件，蒙过单个扫描器的概率很高。今年初的axios投毒事件更是直接冲击了OpenClaw部署环境，有人偷了axios维护者的npm发布凭证，推了一个恶意版本，里面藏了安装钩子，安装时自动根据操作系统下载远程控制木马。Windows、Linux、macOS平台全覆盖。

防御建议

插件只在ClawHub官方商店下，装之前用Skill Vetter（https://clawhub.aispclaudehome/skill-vetter）扫描一遍。如果一个插件要的权限跟它的功能对不上，比如一个番茄钟申请打开摄像头，一个天气插件要无限制地读取本地文件。这就是有问题的，直接跳过，千万别安装。

网页里的隐形指令，能让AI直接“叛变”

跟OpenClaw说“帮我读一下这篇文章”，文章里可能藏了一段肉眼看不到的指令。AI不区分“这是用户说的”和“这是文章里写的”，统统当任务执行。没有防护的话，它会老老实实把API密钥发到攻击者的服务器，修改系统配置，关掉杀毒软件。攻击者可以使用巧妙的方式绕过敏感词判断，例如把“转账”说成“完成资金划拨流程”，关键词过滤就形同虚设。这招叫间接提示注入（Indirect Prompt Injection），是目前大语言模型最核心的安全威胁之一。

防御建议

如果你安装的OpenClaw版本支持沙箱或浏览器隔离，打开它。这个功能相当于给网页内容建了一个隔离区，藏在里面的指令传不到执行层。另外，OpenClaw读完网页或邮件后，如果突然要执行敏感操作，停下来想一秒，”让他干这个了吗？”没说过，就拒绝并重启对话。

理解错指令，删完才发现来不及

让OpenClaw“整理一下历史邮件”。它把“整理”理解成了“清理”。两万封邮件，没了。再比如让它“备份数据库，顺便清理过期日志”，它把正常日志当成过期删了。全程没问过一句“确定要删吗”，因为OpenClaw执行操作是批量的，一口气全干完，等发现时已经来不及了。传统软件是点一下执行一下，一步一确认，很烦，但很安全。OpenClaw理解+执行的模式效率高，但它可能理解错了你的意思，而一旦开始执行，拦都拦不住。

防御建议

防住这一条不需要技术。让OpenClaw动任何文件之前，先备份。云盘、U盘都行，拷一份，万一出事覆盖回去就是几秒钟的事。同时把OpenClaw设置成任何删除或覆盖操作必须用户确认。确认的时候看仔细它要删的跟想让它删的，是同一个东西吗？

凭证泄露=内网“裸奔”，攻击者能横着走

OpenClaw要访问各种服务，得带着API密钥等凭证。如果这些凭证泄露了，比如OpenClaw在处理一个HTTP重定向的时候，自动把API密钥发到了攻击者的服务器，对方就能拿着合法凭证在内网里畅通无阻。控制OpenClaw之后，攻击者只需要用自然语言指令就可以让它访问内网数据库，防火墙毫无反应，因为在防火墙眼里这就是正常流量。通过多轮交互，攻击者逐步摸清内网拓扑，最终核心业务系统全暴露。

防御建议

API密钥绝不能直接粘贴到聊天框。尤其在群聊环境里，OpenClaw可能在回复里把密钥输出出来，所有人都能看到。正确做法是存到环境变量里，Windows在“系统环境变量”中设置，Mac和Linux加到shell配置文件。每隔几个月轮换一次密钥，或者一旦怀疑泄露马上换，目前大多数服务商都有一键重新生成的按钮。

乱烧token，钱包分分钟被掏空

正常用OpenClaw，一个月的API费用可能就几十美金。但出问题的时候，比如OpenClaw卡在循环里反复读同一个文件，或者攻击者构造了不断请求大网页的场景，token消耗可以短时间飙到正常值的几十倍。

防御建议

最硬的防御手段是“物理熔断”，不绑信用卡，用预充值。充多少花多少，余额花完服务自动停。这个机制不需要任何配置，也不可被绕过。同时每周看一眼用量面板，打开邮件账单告警。运行时注意一下任务运行时间是否远远超出预期、OpenClaw是否反复读写同一个文件，一旦出现了就手动终止。

更新太快易“翻车”，别盲目追新版本

OpenClaw一个月上千次代码提交，有时24小时内连发两个版本。速度快，但每次大版本更新平均带出三到五个新问题。比如前阵子被社区戏称为“史诗级马虎”的v2026.3.22版本，官方发布时漏了关键步骤，大量用户升级后连控制界面都加载不出来。更崩溃的是，新版本为了安全大举重构插件SDK，一刀切断了旧兼容层，数以千计的第三方插件一夜之间全部失效。社区里甚至因此吵翻了天，有人调侃这是“这个补丁治那个，那个补丁治这个”。虽然官方随后紧急推出了v2026.3.23救火，但很多普通用户还是被折腾得够呛。

防御建议

更新策略很简单，安全补丁当天就更，纯功能更新等三到五天，去论坛看看有没有人翻车。更新前备份配置，更新后跑一遍 openclaw doctor –fix。用云平台的走托管升级路径，别手动覆盖文件，这样翻车了还能回滚。

说到底，OpenClaw的安全不是“会不会出事”的问题，是已经出事了。上面每一个案例都是真实发生的。但好消息是，防这些事不需要变成安全专家。记住几条原则：该备份的备份，该隔离的隔离，该关的端口关掉，就能挡住绝大多数风险。你的OpenClaw装好了吗?去检查一下配置吧。现在就去。

本文内容改编自团队的学术论文“Understanding and mitigating the risks of OpenClaw for non-technical users: A practical guide with Skill” 。论文链接：https://arxiv.org/abs/2606.11007 。本文在创作过程中的文本翻译、内容处理及插图由AI辅助完成，特此声明。