夜雨聆风OpenClaw本质上是一个「在具有持久凭据的可信环境中,执行不受信任代码的系统」。
用得好,它能大幅提升工作效率;用得不当,则可能带来严重的安全风险。
使用OpenClaw前,请确保具备以下三个基本条件:
「一台专用计算机或VPS云服务器」 :非日常工作电脑,建议使用虚拟机或独立设备。
「你常用的聊天工具」 :WhatsApp、Telegram、Discord、钉钉、飞书等。
「AI大模型API或本地部署的AI模型」 :如OpenAI、Claude、Kimi、MiniMax等云端API服务,或Qwen系列等本地模型。
通过了解OpenClaw的安全特性、潜在风险以及最佳实践,让我们在充分利用其强大功能的同时,有效规避安全隐患。
Openclaw 核心安全风险解析
1. 自主执行风险
OpenClaw可以在无人工确认的情况下执行操作。如果被操纵,可能执行删除文件、发送错误消息、调用敏感API等有害操作。
2. 过度授权风险
许多人为了使用方便,会授予OpenClaw过于广泛的系统访问权限。这是一种非常危险的做法。
如果它可以访问整个文件系统或生产环境的密钥,任何配置错误或安全漏洞都可能导致灾难性的后果。
3. 插件和技能风险
OpenClaw支持通过插件或技能(Skills)进行功能扩展,这些插件通常由社区创建并通过ClawHub分发。然而,任何插件都可能成为攻击的入口。
2026年1月曝光的「ClawHavoc」攻击事件曝光了数百个恶意技能,可窃取API密钥、记录键盘输入、窃取加密货币钱包凭据。
安装一个技能基本上等同于在系统中安装具有特权的代码。
4. 提示注入风险
提示注入可以从简单的文本操纵升级为现实世界中的实际操作。
攻击者会将恶意指令隐藏在OpenClaw读取的内容中,从而操纵工具使用或修改内存,影响它的长期行为。
5. 密钥泄露风险
如果API密钥、机器人令牌或其他凭据存储不安全,OpenClaw可能会通过日志、消息或意外输出泄露它们。
如何安全的配置OpenClaw
1. 独立运行环境
OpenClaw的运行环境隔离是安全策略的基石。
实施建议:
使用专用的虚拟机或单独的物理设备; 确保该设备不用于日常工作任务; 将运行环境视为可处置的系统; 为OpenClaw创建专门使用且非敏感的账户和数据集; 定期轮换API密钥; 假设系统可能被入侵。
2. 最小权限原则
必须严格限制运行时用户的权限,使用标准用户账户,绝对禁止使用root或管理员账户运行OpenClaw。
文件访问边界应该仅限于明确的工作区路径,而不是开放整个文件系统。工具范围应该禁用不需要的工具,以减少潜在的故障点和攻击面。
在企业环境中,每个Agent都应该仅被授予执行其特定任务所必需的文件、目录、API和服务访问权限。应该避免全局文件访问、生产环境的凭据和管理员权限。
3. 密钥管理规范
密钥管理是OpenClaw安全中最常见的弱点之一。
绝对禁止在仓库文件或配置中硬编码密钥。 使用环境变量或专业的密钥管理器来存储所有敏感凭据。 每个服务应该使用具有最小作用域的密钥,只授予该服务完成其任务所必需的最低权限。 应该定期轮换密钥,不能长期使用相同的凭据。 经常登陆AI模型提供商的仪表板,监控异常支出和使用模式,及时发现潜在的安全问题。
OpenClaw的凭据存储位置需要特别关注。
基于文件的密钥存储在~/.openclaw/secrets.json。
应该假设~/.openclaw/目录下的任何文件都可能包含敏感信息。
4. 网络安全配置
默认情况下,OpenClaw的Gateway端口为 18789,强烈建议优先使用Tailscale Serve而不是LAN绑定,切勿将Gateway在0.0.0.0上无认证暴露。
安全的网络配置应该包括:
使用"loopback"绑定模式(默认); 使用随机生成的认证令牌; 配置防火墙规则限制对端口18789的访问; 使用SSH隧道或Tailscale VPN进行远程访问; 定期轮换gateway.auth.token; 永远不要在容器中硬编码令牌;
5. 沙盒模式配置
OpenClaw提供了三级沙盒模式来控制工具执行的隔离程度。
「off」表示无沙盒隔离;「non-main」表示群聊在隔离容器中运行,主会话在主机上(默认设置);「all」表示每个工具调用都在容器中运行。
对于处理不受信任输入的代理,强烈建议启用沙盒模式。
应该特别注意tools.elevated标志的工具,这些工具始终在主机上运行,不会绕过工具策略,应该仅授予高度可信的代理。
敏感操作需人工审批
建议以下操作人工确认:
发送如邮件等外部通信; 删除或修改关键文件; 执行有风险的shell操作; 任何涉及财务或账户级别的更改。
这些操作的后果可能是不可逆的,因此必须经过人工确认才能执行。
可以参考以下自动化的设计来确保安全:
通过cron定时任务或心跳检测触发审计任务; 只读收集阶段; 输出生成草稿; 审批; 交付和审计日志。
这种模式确保了任何可能产生外部影响的操作都必须经过人工批准才能执行。
插件和技能安全
OpenClaw的技能系统是一个强大的功能,但也是最严重的安全风险之一。
每个技能本质上都是第三方代码,可以在你的系统上执行任意命令。
在安装任何技能之前,必须仔细阅读技能的源代码,了解其行为和潜在风险。
如果你不会手动将某个技能部署到生产环境,那就不要将其交给OpenClaw。只加载你明确信任的插件和扩展。
定期审查已安装的技能列表,移除不再使用或存在安全问题的技能。
OpenClaw提供了内置的安全审计命令,可以帮助识别常见的配置问题。
openclaw security audit 可检查常见的配置错误;
openclaw security audit --deep 进行深度检查;
openclaw security audit --fix 自动修复问题;
openclaw security audit --json 获取JSON格式的输出以便集成到自动化流程中。
审计工具会检查以下方面:
入站访问策略(DM策略、群组策略、允许列表); 工具爆炸半径( elevated工具和开放房间); 网络暴露(Gateway绑定/认证、Tailscale Serve/Funnel、弱认证令牌); 浏览器控制暴露(远程节点、 relay端口、远程CDP端点); 本地磁盘权限; 插件/扩展; 策略漂移/配置错误; 运行时期望漂移; 模型选择(旧模型可能存在已知漏洞)。
监控和事件响应
OpenClaw会持久化所有会话历史到磁盘(默认位置为~/.openclaw),包括:
agents/<agentId>/sessions/目录下的会话记录;
memory/目录下的每日日志和长期记忆文件。
定期备份~/.openclaw/workspace/ 目录可以捕获OpenClaw的工作状态。
如果你怀疑工作流被入侵或行为异常,应该按照以下步骤响应:
暂停或停止自动化运行,切断攻击的持续能力; 轮换所有可能受影响的密钥或密码; 检查日志和最近的工具操作; 使用之前的备份或配置快照进行恢复; 在确认安全后再恢复运行。
总结
每位OpenClaw用户必须遵守的基线规则:
「绝对禁止以root或管理员身份运行OpenClaw」——这是最基本也是最重要的安全规则。运行时应该使用普通用户账户,文件访问应该仅限于明确的工作区路径,默认情况下应该拒绝高风险工具。
「理解信任边界」——OpenClaw采用个人助手安全模型,每个网关对应一个信任边界。如果你需要支持多个相互不信任的用户,必须分散信任边界。
「保持版本最新」——作为一款开源且快速迭代的AI代理工具,OpenClaw会定期发布安全更新、功能改进和漏洞修复。
「插件即自有代码」——你不会随意安装来源不明的软件,同样不应该随意安装未审计的OpenClaw技能。
在享受OpenClaw带来的效率提升的同时,你应该通过实施适当的安全措施来控制风险。从一开始就将安全集成到你的部署策略中,而不是事后补救。
感谢阅读。