OpenClaw,先别急着安装

OpenClaw作为一个开源的AI智能体，因其能通过微信等平台自动执行文件管理、邮件收发等任务而迅速走红，被网友戏称为“龙虾”。然而，正是这种与操作系统直接交互的高权限能力，使其成为了网络攻击的“香饽饽”。（OpenClaw 保姆级部署与初始化配置指南）

根据国家网络与信息安全信息通报中心的数据，目前全球活跃的OpenClaw互联网资产已超20万个，其中境内约2.3万个。但随之而来的是严峻的安全挑战：仅在2026年1月至3月9日期间，国家信息安全漏洞库（CNNVD）就采集到OpenClaw漏洞82个，其中超危12个，高危21个。更令人担忧的是，已有部分金融机构和高校明确发文禁止在办公设备上安装此类软件。

• 最新漏洞案例：在2026年3月13日披露的一个超危漏洞（GHSA-4jpw-hj22-2xmc）中，攻击者只需持有最低权限的配对令牌，就能通过特定API调用（device.token.rotate）生成管理员令牌，最终在节点上实现远程代码执行。该漏洞影响 2026.3.8 及之前的所有版本，2026.3.11版本已修复。

OpenClaw默认绑定 0.0.0.0:18789 地址，允许所有外部IP访问，且远程访问无需账号认证。API密钥和聊天记录等敏感数据默认明文存储。

数据显示，OpenClaw资产的公网暴露比例高达85% 。这意味着绝大多数用户安装后未修改配置，直接将其暴露在公网扫描器下。

OpenClaw的插件中心（ClawHub）已成为重灾区。针对3016个技能插件的分析发现：

• 10.8% 的插件包含恶意代码。

• 17.7% 的插件会拉取不可信的第三方内容。

• 2.9% 的插件支持从外部动态获取执行内容，攻击者可借此远程修改AI的执行逻辑。

OpenClaw采用多层架构，但每一层都存在设计缺陷：

• IM集成网关层：可被伪造消息绕过身份认证。

• 智能体层：可通过多轮对话诱导修改AI行为模式。

• 执行层：直接与操作系统交互，一旦被控，后果严重。

OpenClaw在执行指令时易发生“权限失控”，可能出现无视用户指令、删除数据、盗取信息等情况。且由于迭代极快，即便更新到最新版本，也不意味着风险彻底消除，因为其核心的自主决策特性依然存在被恶意指令诱导的风险。

根据OpenClaw官方文档、工信部“六要六不要”建议及国家互联网应急中心提示，我们整理出了以下七条OpenClaw安全使用指南。

✅ 从官方渠道下载最新稳定版本，开启自动更新提醒

❌ 不要使用第三方镜像版本或历史版本

操作要点：

1. 下载渠道：仅从OpenClaw官网（https://openclaw.ai）或官方GitHub仓库下载

2. 版本检查：运行 openclaw version 查看当前版本，确保不低于 2026.3.11（该版本修复了近期多个高危漏洞）

3. 升级流程：

• 升级前备份数据（配置文件 ~/.openclaw/ 目录）

• 升级后重启服务

• 运行 openclaw security audit 验证补丁生效

✅ 定期自查互联网暴露情况，不要将OpenClaw暴露到公网

✅ OpenClaw官方安全指南明确要求设置 bind: “loopback” 和强认证

操作步骤：

1. 自查暴露面：

• Windows：运行 netstat -ano | findstr “:18789”

• Linux/macOS：运行 ss -tlnp | grep 18789

• 如果显示 0.0.0.0:18789 或 ：：：18789，说明已暴露，必须立即修复

2. 修改配置：编辑 ~/.openclaw/openclaw.json：

{  “gateway”： {    “mode”： “local”，    “bind”： “127.0.0.1”，  // 或 “loopback”    “auth”： {      “mode”： “token”，      “token”： “此处替换为32位以上随机字符串”    }  }}

3. 如需远程访问：

不要直接暴露端口，应使用SSH隧道或Tailscale VPN

# SSH隧道示例ssh -L 8080:localhost:18789 user@your-server# 然后本地访问 http：//localhost：8080

4. 终极验证：

运行 openclaw security audit，官方审计工具会直接指出网络暴露和认证缺失问题

✅ 为OpenClaw使用专用的低权限系统账户运行，不要以管理员身份运行

操作步骤（Windows）：

1. 创建标准用户（非管理员）：

• 设置 → 账户 → 家庭和其他用户 → 将其他人添加到这台电脑

• 选择“我没有这个人的登录信息” → 添加一个没有Microsoft账户的用户

• 设置复杂密码

2. 安装和运行：

• 右键点击OpenClaw启动脚本，选择“以其他用户身份运行”

• 或直接切换到该用户登录Windows后再运行

操作步骤（Linux/macOS）：

# 创建专用用户sudo useradd -m -s /bin/bash openclaw# 设置目录权限sudo mkdir /opt/openclawsudo chown openclaw:openclaw /opt/openclaw# 切换到该用户运行sudo su - openclaw

❌ 避免在环境变量中明文存储密钥

✅ 使用环境变量而非配置文件存储密钥，定期轮换

操作步骤：

1. 禁止硬编码：不要将API密钥写在 config.json 中

// ❌ 错误做法{  “anthropic_api_key”： “sk-ant-api03-xxx”}

2. 使用环境变量：

# Linux/macOSexport ANTHROPIC_API_KEY=“sk-ant-api03-xxx”export OPENAI_API_KEY=“sk-xxx”# Windows PowerShell$env:ANTHROPIC_API_KEY=“sk-ant-api03-xxx”

3. 加密存储（可选高级方案）：

# 使用sops加密.env文件sops --encrypt .env > .env.encrypted# 解密使用sops --decrypt .env.encrypted > .envsource .env

4. 定期轮换：

• 每90天更换一次API密钥

• 为OpenClaw创建专用密钥，并设置消费限额

• 每周检查API用量仪表板，发现异常立即撤销

✅ 优先考虑在容器或虚拟机中隔离运行

✅ 在Windows上推荐通过WSL2运行，以获得最佳兼容性和一致性

方案A：WSL2 + Ubuntu（官方推荐）这是OpenClaw官方钦定的Windows最佳实践，兼顾性能与隔离。

# 1. 以管理员身份运行PowerShell，安装WSL2wsl --install# 2. 重启后，在WSL2的Ubuntu中安装OpenClawcurl -fsSL https：//openclaw.ai/install.sh | bash# 3. OpenClaw运行在隔离的Linux子系统中，与Windows主系统天然隔离

方案B：Docker容器（轻量级隔离）OpenClaw官方文档提供了Docker沙箱指南：

dockerfile# Dockerfile示例FROM node:20-alpineRUN addgroup -g 1001 openclaw && \    adduser -D -u 1001 -G openclaw openclawUSER openclaw

运行容器时添加安全选项：

docker run -d \  --name openclaw \  --read-only \  --tmpfs /tmp \  --cap-drop=ALL \  --security-opt=no-new-privileges \  -v openclaw-data:/app/data：ro \  openclaw：latest

✅ 审慎下载ClawHub“技能包”，安装前审查代码

❌ 不要使用要求“下载ZIP”、“执行shell脚本”或“输入密码”的技能包

操作原则：

1. 来源审查：只安装官方认证或自己完全审查过代码的开源插件

2. 高危特征识别：任何要求您手动下载ZIP、执行不明Shell脚本或在插件中输入密码的技能包，直接视为恶意，立即拒绝并卸载

3. 定期清理：不用的插件就是风险敞口，立即卸载

4. 禁用自动更新：国家互联网应急中心建议禁用自动更新功能，仅从可信渠道安装经过签名验证的扩展程序

✅ OpenClaw安全指南中的“强化基线”配置明确要求 fs： { workspaceOnly： true }

✅ 仅允许访问必要目录，禁止访问敏感目录

操作步骤：

1. 创建专用工作文件夹，如 D：\ClawWorkSpace

2. 在配置文件中启用工作区限制：

{  “fs”： {    “workspaceOnly”： true，    “workspace”： “D：/ClawWorkSpace”  }}

3. 将需要处理的文件复制到该工作区内操作

4. 配置文件夹权限：只允许 ClawUser 访问该目录，禁止访问其他个人目录

1. 立即断网：拔掉网线或关闭WiFi，切断攻击者控制通道

2. 停止进程：通过任务管理器结束OpenClaw相关进程

3. 痕迹排查：

• 检查聊天记录和日志，寻找可疑指令

• 检查插件目录，查找最近安装的未知插件

• 检查系统定时任务（cron/jobs）是否被写入恶意持久化任务

4. 重置凭证：立即更换所有相关API密钥和密码

5. 上报与重装：

• 彻底卸载OpenClaw，删除配置目录

• 从官方渠道重新下载最新版本，严格按本指南加固

“养龙虾，需谨慎。”

在官方生态安全审核机制完善之前，任何将其暴露在公网的行为都无异于开门揖盗。请务必遵循工信部“六要六不要”建议，在隔离环境中使用，并严格执行本指南的各项措施，做到“先可控、再提效”。

安全不是一次性配置，而是持续的习惯。

#OpenClaw#信息安全#指南#龙虾

本指南编写于2026年3月14日，基于截至当日的公开漏洞信息、工信部及国家互联网应急中心最新提示、OpenClaw官方文档核对。由于漏洞和版本迭代极快，请在使用前再次确认本文时效性。