夜雨聆风最近"养龙虾"的人越来越多了。
但我看到一个很危险的现象——很多人把OpenClaw接入了自己的飞书、微信、各种账号,却完全没设防。
这篇文章专门写给新手,看完你就知道该怎么给自己的"龙虾"穿好装备了。
01 你的"龙虾"能帮你干什么?
先简单说一下OpenClaw是什么,为什么这么多人都在用。
OpenClaw是一个AI智能体,可以代替你操作电脑完成各种任务:
帮你写文章、发邮件 自动整理文件夹、填表格 24小时待命,你睡觉它干活
它通过各种"渠道"(飞书、微信、Telegram等)和你的数字身份绑定,所以——
它能帮你干活 = 它能接触你的账号和数据
这就是为什么安全设置不能省。
02 裸奔的"龙虾"有哪些风险?
① 渠道权限过大
安装时如果一股脑授权所有权限,OpenClaw理论上可以:
读取你的飞书消息 发送飞书消息 操作你的文件
② 提示词被滥用
如果你经常让它执行"帮我发一条朋友圈""帮我写投诉邮件给xxx",你的语气、习惯都会被AI学会——万一泄露,后患无穷。
③ 多人共用,无审计记录
很多人搭建好之后,全家或者团队一起用,但没有任何使用记录。谁在什么时候问了什么,干了什么,统统查不到。
03 保姆级安全设置,5步完成
第一步:给渠道设独立子账号
不要用主账号授权! 去飞书后台建一个专用子账号,只给它最小必要权限。
这样即使出问题,影响范围可控。
第二步:限制工具权限
在OpenClaw设置里,把"高风险操作"关掉:
文件写入/删除 → 按需开启 外部发送消息 → 需要确认 敏感操作(支付、账号变更)→ 一律关闭
第三步:添加用水印/记录
开启OpenClaw的操作日志,所有执行记录都存档。 每月检查一次,发现异常立刻改密码。
第四步:定期换Token
你的API Token相当于"龙虾"的钥匙。 建议每月换一次,换完记得同步更新配置。
第五步:不要让AI接触这些
以下内容永远不要让OpenClaw处理:
银行卡密码、支付密码 身份证号+真人实名认证照片 商业机密/合同原文
04 普通人需要花多少钱?
安全防护不一定需要花钱。
免费方案:
用飞书子账号 + 最小权限(0元) 开启操作日志,自己每月查一次(0元)
进阶方案(推荐):
开启OpenClaw的"沙盒模式",AI所有操作都先预览再执行 使用独立的API Key,不混用其他服务
花点小钱:
云端版用户可以用平台的访问控制功能,比自建更省心
05 自检清单:你的"龙虾"安全吗?
| 检查项 | 标准 |
|---|---|
| 授权渠道 | 用了子账号,不是主账号 ✅ |
| 工具权限 | 高风险操作需要确认 ✅ |
| 操作日志 | 开启并每月检查 ✅ |
| API Token | 30天内换过 ✅ |
| 敏感信息 | 没有让AI接触过 ✅ |
5项全绿的,继续愉快"养虾" 🦞
有任何一项是×,现在就去改。
写在最后
"养龙虾"本身没问题,但你得对自己的数字资产负责。
安全不是为了麻烦,而是为了让AI真正成为你的得力助手,而不是一颗定时炸弹。
觉得有用的话,转发给身边也在"养虾"的朋友。
