OpenClaw安全安装黄金指南|零风险部署“小龙虾”,新手也能一次成功

1. 环境隔离（必做）

• ❌ 不要在主力电脑/办公机安装（含工作文档、网银、聊天记录）

• ✅ 优先：虚拟机/备用机/独立Windows账号/WSL纯净环境

• ✅ 极简方案：用Docker容器（与系统完全隔离）

2. 只下官方（防供应链后门）

• 官方地址：openclaw.ai / docs.openclaw.ai

• 拒绝：第三方网盘、论坛“一键包”、魔改整合包

• Windows一键安装（管理员PowerShell）：

iwr -useb https://openclaw.ai/install.ps1 | iex

国内加速：iwr -useb https://open-claw.org.cn/install-cn.ps1 | iex

3. 权限原则（贯穿全程）

• 永远普通用户运行，禁用管理员/root

• 只给专用目录权限，禁止全盘访问

• 高危操作（删文件、改配置）必须二次确认

Step 1：以管理员身份启动终端（Windows）

• 搜索PowerShell → 右键以管理员身份运行 → 点“是”

Step 2：执行官方安装脚本

• 复制上面的一键命令，粘贴回车

• 等待自动安装（3–8分钟），全程不修改代码

Step 3：初始化配置（安全核心）

安装完成自动进入向导，严格按以下设置：

1. 网络绑定：只选127.0.0.1（本地回环），禁止0.0.0.0/公网暴露

2. 端口：修改默认端口（如18789），避免被批量扫描

3. 认证：开启密码+Token双认证，设置24小时过期

4. 目录：指定专用工作目录（如D:\OpenClaw_Work），禁止系统盘/敏感目录

Step 4：禁用不必要服务

• 关闭：屏幕录制、麦克风、摄像头（除非必需）

• 关闭：自动更新（手动验证后再更）

• 关闭：WebSocket/远程访问（本地用足够）

1. 锁死网络（防公网扫描）

• 防火墙：仅允许127.0.0.1访问，拒绝所有外部IP

• 不做端口映射、不使用公网穿透（确需远程用Tailscale等零信任）

2. 权限最小化

• Windows：取消“完整磁盘访问”，仅授权专用目录

• Mac：系统设置→隐私与安全性→只开必要权限（用完可关）

• Linux：创建专用用户，禁止root运行

3. API密钥安全（重中之重）

• 密钥加密存储，绝不明文写在配置里

• 定期轮换密钥，不截图/不发群/不泄露

• 限制密钥权限：只开AI生成所需最小权限

4. 插件零信任（高危区）

• 只装官方ClawHub认证插件，第三方一律不装

• 不装“效率/挖矿/破解”类插件（多为恶意）

• 安装前代码扫描，开启插件安全校验

5. 定期自检

• 每周：检查端口暴露、权限、插件列表

• 每月：更新到官方最新版（修复漏洞）

• 每次：高危操作前备份配置与数据

1. 不在主力机/办公机安装

2. 只从官方渠道下载

3. 永远普通用户运行，禁用管理员

4. 只绑定127.0.0.1，不暴露公网

5. 仅授权专用目录，禁止全盘访问

6. API密钥加密，绝不泄露

7. 只装官方插件，拒绝第三方

8. 高危操作二次确认

9. 定期更新+备份

10. 不用OpenClaw处理敏感数据（身份证、银行卡、工作机密）