夜雨聆风2026 年 OpenClaw 火爆全网,短短几个月 GitHub stars 突破 20 万+,无数人开始“养龙虾”——让这个开源 AI Agent 帮自己订票、写周报、管邮箱、甚至炒股。但火爆的背后,是一个残酷的现实:OpenClaw 强大到能“接管”你的电脑,也就意味着它一旦出问题,后果可能是灾难性的。
“养龙虾”不是简单部署,它更像养一只高智商但有爪子的宠物:你必须先学会怎么锁好笼子、戴好嘴套。今天我们就来聊聊 OpenClaw 的安全与信任问题——风险有哪些?官方/社区怎么应对?普通用户该怎么安全玩转它?
OpenClaw 的安全真相:强大 = 高风险
OpenClaw 的核心卖点是“动手能力”:它能控制浏览器、执行 shell 命令、读写文件、调用 API……这在单人信任场景下超级实用,但也让它成为“高权限自治代理”的典型代表。
常见风险总结(基于 2026 年已曝光事件和社区报告):
·公开暴露实例:很多人直接把 OpenClaw 暴露到公网,导致上万实例被扫描到,泄露 API key、聊天记录、账号凭证。
·恶意 Skills/插件:社区 ClawHub 有数百个技能,部分已被发现恶意(供应链投毒、窃取凭证、持久后门)。安装前无强制审核,存在风险问题。
·权限滥用与配置漂移:默认工具全开、无沙箱时,Agent 等于 root 权限。配置一乱,Agent 可能被操控成“双面间谍”。
·信任边界模糊:群聊/多用户场景下,边界容易被绕过;Workspace 文件可被恶意技能篡改,永久改变 Agent 行为。
·提示词注入:恶意网页/消息能注入指令,让 Agent 执行你没授权的操作,如删除文件、转账。
OpenClaw 不是“安全默认”的工具,它是“强大默认、信任你自己”的工具。官方文档和 Trust 页面都反复强调:“没有完美安全的部署,只有你能接受的风险水平”。
OpenClaw 官方的安全设计与应对
好消息是,项目团队(包括 Security & Trust 负责人)从 2026 年初就重视问题,建立了相对透明的机制:
·沙箱(Sandbox)模式:核心防护。默认“non-main”——主会话在主机,其他线程/群聊在 Docker 容器隔离。推荐升级到“all”模式,所有工具调用都进容器。
·Workspace 只读 + 权限控制:可设置容器不挂载 Workspace,或只读挂载;工具分级。
·Gateway Token + 通道策略:DM/Group 设为 owner_only,只允许主人触发;生成专用 Token 访问。
·Skill 扫描器:安装时自动扫描危险模式,警告但不阻挡;社区有 Agent Trust Hub 等第三方工具辅助审核。
·公开 Threat Model:GitHub 上有 trust 仓库,社区可贡献;漏洞报告通道 + 赏金计划。
·日志与审计:所有高危操作可日志,方便事后追溯。
官方态度很诚实:“我们不卖安全感,我们卖透明和工具,让你自己决定信任边界”。这也是为什么很多人敢用——风险可控,且开源可审计。
用户实战:如何安全“养龙虾”?(推荐配置清单)
想安全玩 OpenClaw?照以下步骤逐步加固(从最重要开始):
1.绝不公网暴露:本地跑或 VPS 内网 + SSH 隧道/反代。关闭 18789 端口对外。
2.强制沙箱:配置所有工具进 Docker 容器或沙箱,Workspace 读只或不挂载。
3.最小权限原则:只开启需要的工具;浏览器用无痕模式/独立 profile;API key 用临时/低权限账号。
4.技能安装三原则:只从官方/高 star 来源装;安装前用 skill-scanner 或第三方审计;先在测试环境跑。
5.高危操作人工确认:启用 ask=on-miss 或 allowlist 模式,敏感命令需手动批准。
6.定期检查:查看日志、审计 Workspace 文件变化;用独立设备/VPS 跑,别放主力机。
7.备份与回滚:重要数据备份;出问题能快速重置 Agent。
把 OpenClaw 当“有根的 rootkit”对待——给它越少权限,它就越安全,但也越“笨”。找到你的平衡点。
信任不是给 AI,而是给你自己设的边界
OpenClaw 证明了 Agentic AI 的潜力,也暴露了“自治 + 高权限”的双刃剑。2026 年,它不是“绝对安全”的产品,而是一面镜子——照出你对风险的容忍度、对隐私的在意度、对自动化的渴望度。
如果你只是想试试订票、写周报,从沙箱 + owner_only 开始就够安全;如果你连金融/邮箱都敢交给它,那请务必把“笼子”锁到最死。
安全不是 OpenClaw 给你的,而是你给自己的。养龙虾前,先问问自己:我准备好为这份强大付出信任的代价了吗?
评论区聊聊:你是怎么加固 OpenClaw 的?遇到过安全小惊吓吗?