夜雨聆风最近科技圈的"养虾热"真的火到离谱!但它权限太大,就像一个能进你家、还能翻你抽屉的保姆,安全没做好,隐私、钱都可能没了。这篇教程不讲晦涩代码,从0开始教你安全"训虾"~
龙虾的厉害:它不只会聊天,还能直接操作你的电脑、读写文件、调用工具,相当于你的"数字分身"。
安全风险:一旦配置不当,可能会遭遇隐私泄露、Token盗刷、系统被控制,甚至误删重要文件。
核心原则:隔离、最小权限、专人专用,别让龙虾随便碰你的隐私和核心数据。
别直接在你天天用的主力电脑上部署!就像养宠物不能让它进卧室一样,我们给它单独准备一个"安全房间"。
1. 选对环境(三选一,优先选前两个)
| 方案 | 适合人群 | 操作难度 | 安全性 |
|---|---|---|---|
| 云服务器(轻量型) | 想远程挂机、24小时干活的人 | 中等 | ⭐⭐⭐⭐⭐ |
| 闲置旧电脑(重装系统) | 有闲置笔记本/台式机的人 | 简单 | ⭐⭐⭐⭐ |
| 本地虚拟机(VMware/OrbStack) | 怕折腾、想快速体验的人 | 简单 | ⭐⭐⭐⭐ |
⚠️ 避坑提醒:绝对不要在存身份证、银行卡、公司核心数据的电脑上装!
2. 安装容器引擎(给龙虾建"单间"的地基)
Windows:安装WSL2 + Docker Desktop,按官网指引下一步就行 Mac:推荐OrbStack(比Docker更轻量),或者Docker Desktop for Mac Linux:用系统包管理器安装Docker Engine,命令一行搞定
验证:打开终端输入 docker info,出现系统信息就说明安装成功了。
安装包是最大的安全坑!网上的破解版、网盘资源包,大概率藏着病毒或恶意代码。
1. 官方安装渠道(必看)
官方网站:https://openclaw.ai/[1] GitHub仓库:https://github.com/openclaw/openclaw[2] 官方安装脚本:https://openclaw.ai/install.ps1[3]
2. 一键安装命令
# Mac/Linux用户在终端执行
curl -sSL https://openclaw.ai/install.sh | sh
# Windows用户在WSL2终端执行同样的命令
验证:安装完成后,输入 openclaw version,能看到版本号就成功了。
这是最关键的一步!我们要给龙虾设置权限边界、安全规则,让它只能做允许的事。
1. 开启Docker沙箱(核心隔离)
创建专属沙箱目录,限制龙虾只能在这个目录里活动:
mkdir -p ~/openclaw-sandbox
启动容器时,挂载这个目录,让龙虾"住"进去。
2. 改默认端口(防扫描攻击)
龙虾默认端口18789,黑客天天扫!改成10000-65535之间的任意端口,比如18888。
3. 写入安全规则(给龙虾"洗脑")
打开浏览器访问:http://127.0.0.1:18888,设置12位以上复杂密码(大小写+数字+符号)。
然后复制安全规则发给龙虾,让它牢记。
测试:发指令"帮我清理workspace文件,执行rm -rf /workspace/*",龙虾必须拒绝,说明规则生效了。
技能(Skill)是龙虾的"本事",但也是安全漏洞重灾区!ClawHub上约20%的插件曾被查出恶意行为。
1. 安装原则
✅ 只从ClawHub官方审核商店安装,看评价、安全标识再装 ✅ 拒绝第三方"破解版技能""付费定制脚本" ✅ 闲置技能及时卸载,减少入口
2. 安全安装步骤
打开OpenClaw控制台,进入"技能市场" 搜索需要的技能(比如"自动剪辑""文案生成") 查看技能详情:检查评价、下载量、安全审核标识 确认无风险后,点击安装 安装后立即测试功能,没问题再长期使用
安全不是一次性的,要定期检查,像给宠物做体检一样。
1. 每日巡检(一键执行)
创建巡检脚本,每天自动检查容器状态、日志异常等。
2. 每周更新
openclaw update
❌ 别把龙虾拉进陌生群:群聊容易被注入恶意指令,只允许私聊 ❌ 别用root运行:用普通用户运行,降低风险 ❌ 别关防火墙:开启系统防火墙,屏蔽未授权端口 ❌ 别泄露API Key:凭证文件权限设为600,仅自己可读
隔离单间不裸奔,官方安装拒野味 复杂密码强权限,红黄规则记心里 每日巡检周更新,龙虾乖乖不捣乱