夜雨聆风
OpenClaw(小龙虾)是本地AI代理,能读写文件、执行命令、调用你的API密钥——权限越高,风险越大。
很多人装完就用,结果:
• API密钥被盗、数据泄露
• 系统被恶意插件搞崩
• 端口暴露公网被黑客扫描
今天这篇,从安装到加固,全程安全闭环,新手照着做,零风险拥有你的“小龙虾”。
1. 环境隔离(必做)
• ❌ 不要在主力电脑/办公机安装(含工作文档、网银、聊天记录)
• ✅ 优先:虚拟机/备用机/独立Windows账号/WSL纯净环境
• ✅ 极简方案:用Docker容器(与系统完全隔离)
2. 只下官方(防供应链后门)
• 官方地址:openclaw.ai / docs.openclaw.ai
• 拒绝:第三方网盘、论坛“一键包”、魔改整合包
• Windows一键安装(管理员PowerShell):
iwr -useb https://openclaw.ai/install.ps1 | iex
国内加速:iwr -useb https://open-claw.org.cn/install-cn.ps1 | iex
3. 权限原则(贯穿全程)
• 永远普通用户运行,禁用管理员/root
• 只给专用目录权限,禁止全盘访问
• 高危操作(删文件、改配置)必须二次确认
Step 1:以管理员身份启动终端(Windows)
• 搜索PowerShell → 右键以管理员身份运行 → 点“是”
Step 2:执行官方安装脚本
• 复制上面的一键命令,粘贴回车
• 等待自动安装(3–8分钟),全程不修改代码
Step 3:初始化配置(安全核心)
安装完成自动进入向导,严格按以下设置:
1. 网络绑定:只选127.0.0.1(本地回环),禁止0.0.0.0/公网暴露
2. 端口:修改默认端口(如18789),避免被批量扫描
3. 认证:开启密码+Token双认证,设置24小时过期
4. 目录:指定专用工作目录(如D:\OpenClaw_Work),禁止系统盘/敏感目录
Step 4:禁用不必要服务
• 关闭:屏幕录制、麦克风、摄像头(除非必需)
• 关闭:自动更新(手动验证后再更)
• 关闭:WebSocket/远程访问(本地用足够)
1. 锁死网络(防公网扫描)
• 防火墙:仅允许127.0.0.1访问,拒绝所有外部IP
• 不做端口映射、不使用公网穿透(确需远程用Tailscale等零信任)
2. 权限最小化
• Windows:取消“完整磁盘访问”,仅授权专用目录
• Mac:系统设置→隐私与安全性→只开必要权限(用完可关)
• Linux:创建专用用户,禁止root运行
3. API密钥安全(重中之重)
• 密钥加密存储,绝不明文写在配置里
• 定期轮换密钥,不截图/不发群/不泄露
• 限制密钥权限:只开AI生成所需最小权限
4. 插件零信任(高危区)
• 只装官方ClawHub认证插件,第三方一律不装
• 不装“效率/挖矿/破解”类插件(多为恶意)
• 安装前代码扫描,开启插件安全校验
5. 定期自检
• 每周:检查端口暴露、权限、插件列表
• 每月:更新到官方最新版(修复漏洞)
• 每次:高危操作前备份配置与数据
1. 不在主力机/办公机安装
2. 只从官方渠道下载
3. 永远普通用户运行,禁用管理员
4. 只绑定127.0.0.1,不暴露公网
5. 仅授权专用目录,禁止全盘访问
6. API密钥加密,绝不泄露
7. 只装官方插件,拒绝第三方
8. 高危操作二次确认
9. 定期更新+备份
10. 不用OpenClaw处理敏感数据(身份证、银行卡、工作机密)
我整理了OpenClaw安全安装自检表+加固配置模板,照着填就能一键锁死安全。
👇 评论区回复关键词:
👉 【龙虾安全】
领取全套资料,让你的OpenClaw既好用又安全!
