夜雨聆风养龙虾OpenClaw之前要补的安全课
上一篇我写了用 AI Agent 跑 CEO 日常工作流的实操经验,里面提到了我的 OpenClaw 系统——三台机器、七个 Agent、十三个模型。这篇专门讲安全。写这篇有三个动机:一是工信部发了 OpenClaw 安全风险预警,提了"六要六不要",网安通报中心也跟进了漏洞通报,这是官方认定的风险信号;二是很多朋友都想用龙虾,但在准备用和用的过程中,都因为安全问题卡住了,进退两难;三是我做财富管理技术,服务对象是家族办公室和超高净值人群,保密是职业底线,客户问我 AI 怎么安全地用,我得先把自己的系统彻底搞明白。
最近问我安全问题的朋友实在太多了,干脆先整理一篇出来。这篇不是一份完整的安全手册,而是一些最基本的操作和注意事项。目的是让你对"该做什么才能更安全地用龙虾"有个基本概念,知道从哪里下手。
功能越强,风险越大
OpenClaw 的价值在于它能真正帮你做事——读文件、发消息、跑脚本、调 API。但每解锁一项能力,就多一个风险敞口。安全控制本质上就是约束它的能力范围。建议逐步解放:先锁紧,确认安全后再放开,每次放开要清楚解锁了什么能力、承担了什么风险。
风险大致分三类。
外部攻击是最直观的威胁。2026 年 1 月的 ClawHavoc 事件里,攻击者在 ClawHub(OpenClaw 的官方技能包市场)混入了 1,184 个恶意技能包,来自 12 个发布者账号,其中一人就上传了 677 个。这些技能伪装成邮件工具、日历同步,实际偷 macOS 钥匙串、SSH 密钥和加密钱包。发布门槛低得惊人——GitHub 账号注册满一周就能上传技能。
ClawJacked 漏洞暴露了另一个入口。恶意网页通过 WebSocket(一种浏览器和服务器之间的实时通信协议)直连你的 gateway,没有限速机制的情况下暴力破解密码,一旦成功就能完全控制你的 agent。安全研究者也演示过,一封精心构造的邮件就能骗到暴露实例的 SSH key 和 API token。
平台自身的设计也有风险。提示词注入不是破解,是"说服"——攻击者通过共享文档内容诱导 OpenClaw 自动添加一个攻击者控制的 Telegram bot。日志投毒是通过 WebSocket 往日志里写恶意内容,agent 读自己日志时就被注入了指令。记忆投毒更隐蔽,直接在 MEMORY.md 里写入恶意指令,重启也不会消失。单运营者模型是个结构性问题——不分管理员和普通用户,团队共享就是共享最高权限。
操作风险最容易被忽视,但我自己踩过的坑全在这里。一开始没做权限分离,一个 agent 同时面对个人和团队渠道,结果私人消息和 API key 传到了团队那边。WhatsApp 设了无限 DM 模式,本来是低风险测试,结果 agent 帮我跟酒店前台沟通时聊了太多,收不住。自动化脚本烧 token,成本失控。升级搞坏了所有定时任务,还有个版本让连接每 30 秒断一次。
装的时候就该做的事
这些是一开始 setup 就应该配好的。
别装在你的主力机器上
如果你还没有十足的把握,不要把 OpenClaw 装在日常办公的电脑上。用一台独立的机器——哪怕是一台便宜的云服务器或者闲置的 Mac Mini。这样即使配置出了问题,影响范围也限制在那台机器上,不会波及你的工作文件和个人数据。
在同一台机器上装一个独立的"修理工"
OpenClaw 有时候会把自己搞坏——配置改错了起不来,升级后功能异常,或者 agent 进入死循环。这时候你需要一个不依赖 OpenClaw 的工具来排查和修复。建议在装 OpenClaw 的机器上同时装一个独立的 AI 编程工具,比如 Claude Code CLI、Codex CLI、Kimi CLI 或者 Cursor。它们能直接读文件、改配置、看日志,相当于给你留了一条不经过 OpenClaw 的应急通道。
Gateway 锁本机
gateway 是 OpenClaw 的入口,默认配置可能对公网开放,意味着互联网上任何人都能尝试连接。绿盟扫描发现四万多个实例对公网开放,九成三连认证都没开。
把 bind 设成 loopback(只允许本机访问,配置路径:openclaw.json → gateway → bind),外部流量就进不来。多台设备互通走 Tailscale(一个零配置的私有组网工具,tailscale.com 免费注册,国内可正常使用)这类私有网络,不要直接暴露端口。改完打开配置文件确认生效,不要靠默认值。
访问认证
默认是宽松模式,知道地址就能发指令。切到 token 模式(配置路径:openclaw.json → auth → mode 改为 "token"),每个渠道(Slack、WhatsApp 等)配独立密钥,一个渠道泄露不影响其他。
Slack 设 requireMention(在 Slack 渠道配置里加 requireMention: true),只有 @ 才触发。WhatsApp 和 iMessage 开 pairing(配置路径:openclaw.json → agents → dmPolicy 改为 "pairing"),只有你批准的号码能对话。十分钟搞定,但很多人懒得做。
多 agent 分权
一个 agent 管所有事等于一把钥匙开所有门。按用途拆分——个人事务、工作协作、自动化脚本各自独立。每个 agent 有自己的配置、API key 和数据目录(每个 agent 的独立配置在 ~/.openclaw/agents/[agent-id]/agent/auth-profiles.json)。
注意:OpenClaw 内部有些后台组件会默认去找某些 provider 的配置,每个 agent 的配置文件要独立配全,不能只配主力模型。我一开始就是没分权,私人内容跑到了团队渠道。
沙箱决策
沙箱限制 agent 的执行能力(配置路径:openclaw.json → sandbox → mode 设为 "all")——不能随意写文件、调网络、执行系统命令。接触客户数据或多人环境,建议开启。个人使用需要完整执行能力可以不开,但入口和权限控制必须更严。
这是"逐步解放"理念的典型体现:你放开了执行能力,就要在入口和权限上锁得更紧。安全是个平衡,不是单选题。
养的过程中注意的事
系统跑起来之后,安全不是一劳永逸的。
插件管理
ClawHavoc 之后 ClawHub 的审核在改善,但供应链风险不会消失。只装必要的,安装前看权限申请,越权的直接拒绝。不用的插件立刻删,别留着。每月扫一遍已安装列表。
API key 管理
默认明文写在配置文件里。三级升级路径:环境变量(把 key 写在 .env 文件里,配合 chmod 600 限制读取权限)→ SecretRef(OpenClaw 内置的密钥引用机制,启动时加载到内存,不落盘,详见官方文档 Security 章节)→ 外部密钥管理器(如 1Password CLI,1password.com,用的时候临时调用)。每个 agent 用独立 key,一个泄露不连累其他。
消息策略和 DM 控制
开放 DM 模式后,agent 会主动跟任何人聊天,可能聊太多暴露信息。我之前在 WhatsApp 开无限 DM 测试,agent 帮跟酒店前台沟通时聊了远超预期的内容。新渠道接入建议先用 pairing 模式(需审批),确认可控后再逐步放开。
Token 用量监控
自动化脚本和定时任务会持续消耗 API 额度。我踩过这个坑——有个脚本逻辑写岔了,成本远超预期。建议设 budget 上限,每周看一眼用量,异常飙升通常是循环调用或配置错误。
定期检查
每周花十分钟:翻一遍 MEMORY.md(OpenClaw 的长期记忆文件,在 agent 工作目录下)看有没有异常内容;扫日志确认没有陌生来源的请求;检查插件列表;看版本号。
版本管理
不要盲目追新。我有次升级后搞坏了所有定时任务,还有个版本让连接每 30 秒断一次。新版本先看社区反馈,跑一两周没问题再上。安全补丁除外,那种尽快打。
持续关注的安全问题
前面讲了怎么配、怎么养,但有几个风险是配置解决不了的,需要持续关注。
提示词注入
攻击者不需要破解系统,只需要"说服" AI。一封邮件、一个文档里藏一段指令,AI 读了可能就照做。这种攻击没有完美的技术防御。
当前应对:假设 AI 总有一天会被忽悠,在执行层设硬限制——高危操作强制人工确认,敏感命令设红线永不自动执行。沙箱和分权在这里也有用,即使 agent 被忽悠,破坏范围锁死在特定区域。
记忆投毒
AI 的记忆文件(MEMORY.md)如果被写入恶意指令,这些指令会伴随每次重启,长期潜伏。目前只能靠定期人工检查,看有没有突兀的指令或异常内容。
单运营者模型的局限
OpenClaw 不分管理员和普通用户。个人用没问题,团队用就是所有人共享最高权限。当前的 workaround 是多 agent 隔离——不同人用不同 agent,通过物理隔离降低风险。期待官方后续加入多租户和角色权限支持。
生态在改善
ClawHavoc 之后 ClawHub 加强了发布审核;OpenClaw 官方推出了 security.yaml 和 openclaw security audit 工具;OWASP 发布了 2026 版 AI 智能体十大安全风险。社区安全意识在提升,基础设施还在追赶。
自查清单
陈沐(Mu Chen),Canopy CEO,清华五道口金融学院客座讲师。Canopy 服务全球 60+ 家族办公室与超高净值客户,跟踪超过 1200 亿美元资产。他在小宇宙播客「不止金钱」、微信公众号「沐的沙盒」和英文 newsletter Amongst Families 记录 AI 与财富管理的一线实践。
我建了一个小群,聊 AI Agent 实操和 OpenClaw 怎么调,感兴趣的朋友可以私信我。