01 一个让开发者又爱又恨的框架 "OpenClaw 太危险了,但我只用了两天就离不开它。" 直到我完整梳理它的架构设计、核实每一个技术细节,才明白其中的奥秘——它的"不安全"不是设计疏漏,它的"让人上瘾"也不是偶然,而是设计者在明确取舍后,给特定人群的完美适配。 工具会不断被颠覆,唯有"上下文"稳如泰山。今天,我就用最通俗的话,揭秘 OpenClaw 的真实架构,解答那个核心问题:它明明有安全短板,为什么还是让人欲罢不能。 02 先说结论:它确实"不安全" 开门见山,OpenClaw 的安全设计确实存在明确短板,这些不是"bug",而是设计者主动取舍的结果,具体如下: 风险点
具体说明
影响等级
无 TLS 加密(默认)
WebSocket 通信默认采用明文传输,未强制启用 TLS 加密,需用户手动配置 SSL 证书才能实现加密传输,默认不提供加密保护。
🔴 高
Token 静态配置
访问令牌(Token)默认以静态形式存储在本地配置文件中,无自动过期、动态刷新机制,若配置文件被非法读取,可能导致身份冒用。
🟡 中
本地自动批准(可配置)
默认开启本地设备自动配对批准模式,同一局域网内的设备发起配对请求时,无需手动确认即可通过,若内网存在恶意设备,可能绕过配对审核。
🟡 中
单点故障
核心组件 Gateway 为单一进程部署,无默认集群或容灾机制,一旦 Gateway 进程崩溃,所有消息渠道、设备连接将全部中断,需手动重启进程恢复。
🟡 中
无审计日志(默认)
默认未启用操作审计日志模块,无法记录设备连接、命令执行、文件访问等操作,需用户手动配置日志模块,才能实现操作追溯。
🟢 低
它的潜在攻击场景也并非假设,而是基于实际部署的合理推演: 场景 1:内网渗透
攻击者进入内网 → 扫描 OpenClaw 默认端口 18789 → 利用明文传输漏洞劫持消息通道 → 伪装合法设备控制所有设备通信
场景 2:Token 泄露
配置文件被非法读取 → 攻击者获取静态 Token → 伪装成合法客户端接入 → 发送钓鱼消息或执行未授权操作
因为 OpenClaw 的核心定位,就是解决一个更根本的问题:AI 助理,到底应该是谁的?它的所有架构设计,都围绕这个核心,哪怕要牺牲部分安全性。 03 云端 AI vs 本地 AI:核心定位 OpenClaw 的核心主张是"本地优先、云端可选",这也是很多人误解它的地方——它并非完全反云端,而是以本地部署为主、云端部署为辅,核心目标是让用户掌控自己的 AI 助理和数据,而非完全否定云端。 现在大多数 AI 助理(比如某度、某讯的 AI),都是纯云端部署: 你的所有对话、操作、文件,都会上传到第三方平台的服务器,你看不到、管不了这些数据的去向; 平台可以用你的数据训练模型、做商业分析,哪怕你不想,也没有选择; AI 助理的功能、权限,全由平台说了算,平台限制什么,你就用不了什么。 而 OpenClaw 的"本地优先"模式,通俗说就是: 数据默认留在你自己的设备上,隐私比便利更重要,AI 助理的控制权,完全交还给你——这不是"反云端",而是"不强制云端",如果你需要,也可以手动配置云端部署,但默认是本地。 默认情况下,所有消息、文件、操作记录,都存储在你自己的本地设备(电脑、服务器),不会主动上传至任何第三方服务器; 你的数据,只有你能决定用途,不会被任何第三方用于模型训练、商业推广; AI 助理的功能、权限、配置,全由你自己调整,不做任何强制限制,也不干预你的使用。 代价是什么?安全防护的责任,需要用户自己承担。OpenClaw 只提供基础的安全默认配置,更高等级的安全防护,需要用户根据自身需求手动配置。 自由和责任,永远是一对密不可分的双胞胎——你想要掌控一切的自由,就要承担起保护自己的责任,这是 OpenClaw 从一开始就明确的定位。 04 核心架构:轻量单核+节点扩展 OpenClaw 采用"轻量单核+节点扩展"架构,通俗来说,就是"一个核心大脑,多个功能手脚",既简单又灵活,这也是它部署简单的关键。 它的核心架构只有两个核心部分:Gateway(核心网关,相当于"大脑")和 Node(功能节点,相当于"手脚"),两者配合工作,架构极为轻量。 1. 核心网关(Gateway):轻量单核进程,是整个框架的"大脑" 它的作用很单一,也很核心——统一管理所有设备连接、消息路由,不负责具体的 AI 计算、功能执行,只做"调度和转发"。 通俗说:Gateway 就像一个"总调度",所有设备(手机、电脑)要连接 OpenClaw,都要先找它"报到";所有消息(比如你给 AI 发的指令),都要经过它,再转发给对应的功能节点;它不做具体的"思考"(AI 计算),只负责"传话"和"管准入"。 2. 功能节点(Node):可扩展功能单元,是整个框架的"手脚" 它的作用是执行具体功能——比如 AI 对话、文件处理、命令执行等,每个节点负责一个或一类功能,你可以根据自己的需求,部署需要的节点,不需要的节点可以不部署。 通俗说:Node 就像一个个"专门做事的人",有人负责"陪你聊天"(AI 节点),有人负责"帮你处理文件"(文件节点),有人负责"帮你执行电脑命令"(命令节点);Gateway 喊哪个节点做事,哪个节点就行动,不喊就待命。 微信、飞书、Telegram 等每个渠道,都要单独部署一个完整的服务(既有"大脑",又有"手脚"); 需要额外搭建服务发现、负载均衡等复杂组件,才能让多个渠道协同工作; 维护起来很麻烦,一个渠道出问题,不影响其他渠道,但排查故障要逐个检查,很耗时。 只有一个"大脑"(Gateway),所有渠道、所有设备,都只连接这一个"大脑"; "手脚"(Node)可按需部署、灵活扩展,想加功能就加节点,想删功能就删节点,不影响核心网关; Gateway 和 Node 之间,采用本地进程内调用,没有跨服务通信的损耗,消息转发更快。 部署简单:你只需要部署一个 Gateway,再根据需求部署几个 Node,就能用起来,不用搭建复杂的组件; 维护简单:核心只有一个 Gateway,故障排查很容易,只要 Gateway 没出问题,大概率是某个 Node 的问题,针对性排查即可; 灵活度高:想加新功能,不用改 Gateway,直接加一个 Node 就行;不用的功能,直接删 Node,不占用资源。 代价是什么?Gateway 是"单点核心",一旦它崩溃,所有设备连接、消息转发都会中断,所有 Node 也无法工作,需要手动重启 Gateway 才能恢复——这就是它的单点故障问题,是架构取舍的必然结果。 简单说:OpenClaw 追求的是"轻量、简单、灵活",为了这个目标,牺牲了"高可用",接受了单点故障的风险——这不是设计缺陷,而是明确的架构选择。 05 通信方式:WebSocket 可选,非强制 OpenClaw 支持 WebSocket 长连接和 HTTP 短连接两种方式,默认采用 WebSocket,但并非强制,用户可根据需求手动切换。 首先,你可以把"通信方式"理解为"你和 AI 助理说话的方式",两种方式各有优劣,OpenClaw 选择"默认用更流畅的,同时保留更兼容的"。 通俗说:你和 AI 助理"拨通电话后,一直不挂",你随时能说话,它随时能回应,不用每次说话都重新"拨号"。 优势:实时性强,消息延迟低(默认延迟的是 50-100 毫秒),交互流畅,适合需要频繁对话、实时响应的场景(比如日常聊天、实时指令)。 不足:需要持续维持连接,会消耗一定的设备资源(比如电脑内存、网络带宽),如果网络不稳定,连接容易断开,需要重新连接。 通俗说:你和 AI 助理"每次说话都拨号,说完就挂电话",下次说话再重新拨号。 优势:兼容性强,不需要维持长连接,消耗资源少,哪怕网络不稳定,也能正常发送消息(只是响应慢一点),适合不频繁使用、对实时性要求不高的场景。 不足:实时性差,消息延迟高(延迟是 500 毫秒-2 秒),每次发送消息都要重新建立连接,交互有割裂感。 OpenClaw 的选择:默认采用 WebSocket 长连接,追求更好的交互体验;同时支持 HTTP 短连接,供有兼容性、低资源需求的用户手动切换——不是"非此即彼",而是"默认最优,兼顾多样"。 50-100 毫秒是什么概念?你眨一下眼大约需要 300 毫秒,也就是说,OpenClaw 的消息响应速度,比你眨眼还快 3-6 倍,几乎是"秒回"——这也是它用起来"顺手"的关键原因之一。 06 信任机制:Token+设备ID 双重认证 OpenClaw 的信任机制是"Token+设备 ID 双重认证",兼顾安全性和易用性,这也是它比单纯密码认证更安全的核心原因。 用通俗的话,讲清楚这种双重认证机制,以及它的优势: 大多数系统(比如手机APP、网站),只靠"密码"认证——你知道密码,就能登录,一旦密码泄露,别人就能冒充你。 而 OpenClaw 的"双重认证",通俗说就是:要想接入我的 AI 助理,你得同时有"两把钥匙",少一把都不行。 1. 静态 Token(第一把钥匙):就是你配置文件里的那个令牌,相当于"大门的密码",是接入的基础——没有这个 Token,哪怕你有设备,也无法发起连接。 2. 设备 ID(第二把钥匙):就是你设备的唯一标识(比如电脑的硬件ID、手机的设备码),相当于"你的身份证"——只有 Token 还不够,还得是我已经授权过的设备,才能接入。 认证流程:设备发起连接 → 提交 Token 验证 → 提交设备 ID 验证 → 验证通过,才能接入(本地设备默认自动批准,可手动关闭)。 传统密码认证方式:只要别人拿到你的密码,就能直接登录你的 AI 助理,你完全不知道,等发现的时候,可能已经造成损失;你需要紧急改密码、撤销所有登录,流程很麻烦。 别人即使拿到你的手机(有设备 ID),但没有 Token,也无法发起连接; 哪怕别人同时拿到了你的 Token 和手机(极端情况),你只要在 OpenClaw 后台,删除这个手机的设备 ID 授权,它就立刻无法接入; 你不需要改 Token,不需要撤销所有登录,只要删除丢失设备的授权,就能保住你的 AI 助理和数据,操作简单又高效。 这种双重认证,虽然比单纯密码认证更安全,但也有不便——换设备时,需要重新提交设备 ID 授权,还得更新 Token 配置,比"输入密码就登录"繁琐一点,但这是为了安全的必要取舍。 07 默认安全,而不是默认开放 这是 OpenClaw 核心的设计哲学,也是它最值得肯定的地方——虽然有安全短板,但它的"默认配置",是朝着"安全"去的,而不是"开放"。 通俗说就是:你刚安装好 OpenClaw,不用做任何配置,它就是"安全的";如果想要更便利(比如远程访问),需要你手动调整配置,同时承担相应的安全风险。 很多系统的默认设置是"开放优先":安装好后,默认允许所有设备访问,默认不开启任何认证,把"配置安全"的责任,全推给用户——如果你不懂安全,很容易出现漏洞。 而 OpenClaw 的默认设置,是"安全优先": 默认只允许本机访问(绑定 127.0.0.1),其他设备(哪怕是同一局域网),默认无法访问; 默认启用 Token+设备 ID 双重认证,没有合法 Token 和授权设备 ID,无法接入; 默认关闭公网访问,不会主动暴露端口,避免被公网攻击者扫描。 这就像:你家的大门,默认是锁着的,钥匙只有你有;如果想要让别人进来,你需要主动开门、确认身份——安全是底线,便利需要你自己主动选择,并且承担风险。 但问题来了:如果我在外面,想远程访问家里的 OpenClaw,怎么办? 核心思想:安全应该是默认状态,而不是需要你主动配置的"附加功能"。OpenClaw 不阻止你追求便利,但会明确告诉你:便利的背后,是安全风险,需要你自己承担。
08 为什么让人上瘾? 现在回到最初的问题:一个"不安全"的设计,为什么让人上瘾? 答案其实很简单——它没有追求"完美适配所有人",而是精准击中了"重视隐私、喜欢掌控、追求简单灵活"的人群的核心需求,哪怕有短板,也能被用户接受。 原因 1:掌控感——我的 AI 助理,我做主
代码开源,你可以查看每一行代码,确认它没有"偷偷收集数据";所有配置都能手动调整,你想开启什么功能、关闭什么功能,全由你决定;甚至可以自己开发 Node,给 AI 助理加新功能——它不是"别人给你的工具",而是"你自己打造的工具"。 这种"掌控一切"的感觉,是云端 AI 助理给不了的,也是很多开发者上瘾的核心原因。 原因 2:隐私——我的数据,只属于我
现在隐私泄露、数据滥用的情况太多了:你和 AI 聊的私密话题、处理的敏感文件,可能会被平台收集、分析,甚至泄露。 而 OpenClaw 坚持"本地优先,数据不上云":默认情况下,所有数据都存在你自己的设备上,没有你的允许,不会上传到任何第三方服务器。 这种"我的数据我做主"的安全感,是很多人愿意接受它安全短板的关键——比起"可能被攻击",他们更怕"自己的隐私被泄露"。 原因 3:简单灵活——上手容易,按需定制
很多本地 AI 框架,部署复杂、配置繁琐,需要专业的运维知识,普通人根本玩不转。 而 OpenClaw 定位就是"轻量、易用":部署简单,只要安装 Gateway 和需要的 Node,就能用;配置灵活,不需要的功能可以不部署,想要的功能可以随时加,哪怕你是技术新手,也能快速上手。 通俗说:它不搞"大而全",只搞"精而灵",你需要什么,它就给你什么,不需要的,它不强制你接受——这种"量身定制"的体验,很容易让人"用了就离不开"。 原因 4:无限制——没有套路,自由使用
云端 AI 助理,有很多限制:API 调用次数有限制,聊多了要收费;有内容审核,有些话题不能聊;功能权限有限制,有些操作不能做。 而 OpenClaw 无任何使用限制:没有 API 调用次数限制,你想聊多久就聊多久;没有内容审核,你想聊什么就聊什么;没有功能限制,你想让它做什么,只要能开发对应的 Node,就能实现。 这种"无拘无束"的自由,是很多开发者追求的——不用看平台脸色,不用被套路,只用专注于自己的需求。 原因 5:社区支持——志同道合,一起折腾
OpenClaw 是开源项目,有专门的社区板块,里面有很多志同道合的开发者:有人分享配置技巧,有人开发新的 Node 插件,有人解答新手的问题,有人反馈 bug 并提交修复方案。 09 所以,它适合你吗? ✅ 个人开发者、小团队(无需大规模部署,追求简单、灵活、易用); ✅ 在内网或可信环境使用(能规避公网攻击风险,发挥本地部署优势); ✅ 重视隐私保护,不想让自己的数据上传到第三方服务器; ✅ 想要个性化 AI 助理,能按需定制功能,不受平台限制; ✅ 愿意学习基础配置,能自己承担简单的安全防护责任(比如定期换 Token、配置加密)。 ❌ 银行、医院、政务等高安全等级场景(需要严格的合规、审计和容灾机制,它的单点故障、默认无加密等短板无法满足需求); ❌ 几十万用户级别的大规模应用(轻量单核架构无法支撑高并发,无水平扩展能力); ❌ 需要 99.99% 高可用性的业务(存在单点故障,无默认容灾方案,一旦崩溃,服务会中断); ❌ 需要详细审计日志的合规场景(默认未启用审计日志,需额外开发配置,无法满足合规要求); ❌ 不想自己管理安全、追求"开箱即用"的用户(安全防护需要手动配置,有一定技术门槛)。 一把瑞士军刀很优秀,能解决大多数日常问题,但你不会用它做精密手术;OpenClaw 就是一把"适合个人和小团队的瑞士军刀",找准场景,才能发挥它的最大价值。 10 如果你决定使用,这 5 条建议 整理 5 条可操作的建议,帮你降低 OpenClaw 的安全风险: 建议 1:不要直接暴露在公网
OpenClaw 默认绑定 127.0.0.1(只允许本机访问),这是最安全的默认配置。不要为了远程访问方便,将绑定地址改为 0.0.0.0(监听所有网卡),这会直接将服务暴露在公网,极易遭受攻击。 如果需要远程访问,优先使用最推荐的 Tailscale/VPN,其次是 SSH 隧道,尽量避免直接暴露端口。 建议 2:定期更换 Token,规范存储
Token 是 OpenClaw 的第一道安全防线,建议每 3 个月更换一次 Token,避免长期使用同一 Token;不要将 Token 明文写在配置文件、代码或笔记中,建议使用 1Password、Vault 等专业工具加密存储;更换 Token 后,及时更新所有已配对设备的配置,避免连接失败。 建议 3:关闭本地自动批准,手动审核配对
OpenClaw 默认开启本地设备自动配对批准,如果你的设备处于非可信内网(比如公司内网、公共内网),建议手动关闭自动批准,所有设备配对请求,都需要你手动确认,避免恶意设备绕过审核接入。 建议 4:启用操作日志,便于追溯
建议手动配置日志模块,记录所有设备连接请求、命令执行、文件访问等操作,定期备份日志文件——一旦出现安全问题,能通过日志快速定位原因、追溯操作,降低损失。 建议 5:定期备份配置,做好容灾
建议定期备份核心配置文件、设备配对信息、Token(加密存储),备份文件建议存储在独立设备或加密云存储中,定期验证备份的可用性——避免设备故障、配置丢失后,需要重新部署和配置,节省时间。 11 写在最后 回到那个核心问题:一个"不安全"的设计,为什么让人上瘾? 它不假装自己是"完美的安全框架",不把用户当傻瓜,坦诚地告诉你"我有短板,但我能解决你的核心需求";它不强迫你接受它的设计,不套路你,让你自己选择"是否接受它的短板,换取它的优势"。 而 OpenClaw 的"上下文",就是那群相信"数据应该属于自己"、"AI 助理应该由自己掌控"的人——他们不追求完美的工具,只追求贴合自己需求、能让自己安心使用的工具。 参考资料
OpenClaw 官方文档:https://docs.openclaw.ai OpenClaw 安全指南:https://docs.openclaw.ai/security OpenClaw 架构设计:https://docs.openclaw.ai/architecture 💬 互动话题
夜雨聆风