夜雨聆风
OpenClaw作为当前全球最受欢迎的开源AI智能体框架,其“自主执行”能力在带来生产效率革命的同时,也引发了严峻的网络安全与信息安全风险。本报告基于工信部、国家互联网应急中心及各高校发布的安全预警,结合最新漏洞披露和技术分析,系统梳理OpenClaw在权限要求、数据存储、危险操作规避、恶意程序防护等方面的安全隐患,并提供完整的安全使用指南。
1. OpenClaw的运行权限要求与数据存储方式
1.1 系统权限要求
OpenClaw为实现“自主执行任务”的核心能力,被设计为具备极高的系统权限,具体包括:
| 权限类型 | 具体内容 | 安全风险等级 |
|---|---|---|
| 文件系统访问 | 读写本地任意文件,包括文档、配置文件、密钥凭证 | 高危 |
| 终端命令执行 | 执行任意Shell命令,可删除文件、修改系统配置 | 极高危 |
| 系统资源调用 | 调用本地软硬件资源、管理进程 | 高危 |
| 网络访问 | 发起网络请求、抓取网页内容、对外通信 | 中高危 |
| 外部API调用 | 调用各类服务API,包括支付、社交、云服务 | 中高危 |
| 插件安装 | 自动安装和运行第三方技能包 | 高危 |
关键问题:OpenClaw默认“信任边界模糊”,部署时即被授予操作系统级权限,缺乏细粒度的权限管控机制。这意味着一旦OpenClaw被攻击者接管,攻击者将获得与用户同等的系统控制权。
1.2 数据收集与存储方式
与传统云端AI模型不同,OpenClaw在本地运行时会主动进行数据采集:
数据收集范围:
本地文档和文件内容
系统配置文件和密钥凭证
浏览器历史记录和Cookie
邮件内容和聊天记录
操作日志和命令历史
存储方式与风险:
明文存储:操作指令、敏感配置信息、API密钥等未加密存储,部分版本甚至明文缓存数据
长期记忆留存:跨会话的用户偏好、历史操作被持久化存储,默认保留30天以上
无访问审计:默认未开启操作日志记录,数据访问行为无法追溯
核心风险:这种“主动采集+明文存储”的模式,使得敏感信息在本地以可读形式存在,一旦系统被入侵,所有数据可被瞬间窃取。
2. 如何避免龙虾执行危险操作及泄露数据
2.1 权限最小化配置
工信部明确要求遵循“最小权限原则”,只授予完成任务必需的最小权限。具体配置方案如下:
创建专用受限用户(Linux环境):
# 创建受限用户,不使用sudo权限sudo adduser --shell /bin/rbash --disabled-password clawuser# 创建受限命令目录,禁止rm、mv、dd等危险命令sudomkdir-p /home/clawuser/binsudoln-s /bin/ls /home/clawuser/bin/lssudoln-s /bin/echo /home/clawuser/bin/echo# 强制设置只读PATHecho"if [ \"$USER\" = \"clawuser\" ]; then export PATH=/home/clawuser/bin; readonly PATH; fi" | sudotee /etc/profile.d/restricted_clawuser.sh
Tools分级配置(核心配置文件):
| 风险等级 | Tool名称 | 配置建议 |
|---|---|---|
| 极高危 | exec(执行命令) | 必须开启人工审批 |
| 高危 | write/edit | 限制写入路径白名单 |
| 高危 | message(对外发消息) | 仅允许发送给自己 |
| 中危 | browser | 屏蔽支付、银行类网站 |
| 低危 | read/web_search | 可开启,注意审计 |
关键配置示例:
{"tools": {"allow": ["read", "write", "edit", "exec", "web_search", "browser"],"deny": ["nodes", "llm_task", "lobster"] },"approvals": {"exec": { "enabled": true }, // exec命令必须人工确认"write": {"allowedPaths": ["/home/clawuser/Documents", "/opt/workspace"] } },"browser": {"blockedDomains": ["*.pay.com", "*.bank.com"] // 禁止访问金融网站 },"message": {"allowedRecipients": ["你的TelegramID"], // 仅允许发给自己"blockedPlatforms": ["WhatsApp", "Slack"] // 禁用对外平台 }}
2.2 数据加密与访问控制
文件系统隔离(Docker部署):
# docker-compose.yml 关键配置volumes: - /opt/openclaw/workspace:/app/workspace # 可写工作目录 - /opt/openclaw/config:/app/config:ro # 配置目录只读 - /opt/openclaw/logs:/app/logs # 日志目录
敏感数据加密:
使用密钥管理服务(KMS)存储API密钥,禁止明文写在环境变量中
定期清理记忆缓存:
openclaw memory clear --older-than 30d配置敏感关键词过滤:在memory配置中添加sensitiveKeywords列表
定期审计:
# 运行安全审计命令openclaw security audit# 开启详细日志openclaw gateway --log-level debug >> /var/log/openclaw.log 2>&1
2.3 高危操作拦截机制
建立“人工二次确认”机制,对以下操作必须审批:
删除文件(特别是系统目录和重要文档)
修改系统配置
执行支付、转账类操作
对外发送消息或数据
安装新插件或技能包
熔断机制:金融交易场景应建立熔断机制,防止AI失控时频繁下单。
3. 如何避免龙虾被恶意程序或木马病毒控制
3.1 核心漏洞风险
CVE-2026-25253(ClawJacked漏洞):攻击者可利用该漏洞实现无交互远程接管,包括对网关端口进行高速暴力破解(且无日志记录),结合权限设计缺陷可完全控制本地实例。
漏洞统计(2026年1月-3月):
总漏洞数:82个
超危漏洞:12个
高危漏洞:21个
中危漏洞:47个
低危漏洞:2个
3.2 网络暴露面控制
禁止公网暴露:OpenClaw默认端口(18789)不得直接暴露在公网上。截至3月上旬,全球公网暴露实例超27万个,其中国内约9万个。
正确远程访问方式:
# 方法1:SSH隧道ssh-L18789:localhost:18789 user@your-server# 方法2:绑定本地地址,通过VPN访问# 配置文件中设置 gateway.bind: "127.0.0.1"# 强制VPN接入后启用token认证
防火墙配置(Linux):
# 关闭默认端口公网访问sudo ufw deny 18789# 创建IP白名单链sudo iptables -N ALLOWED_IPSsudo iptables -A ALLOWED_IPS -s192.168.1.100 -j ACCEPT # 允许内网IPsudo iptables -A ALLOWED_IPS -j RETURNsudo iptables -A INPUT -p tcp --dport18789-j ALLOWED_IPS
3.3 插件供应链安全
插件投毒风险:ClawHub技能市场被确认存在大量恶意技能包。研究团队扫描近3000个Skill,发现:
确认恶意插件:341个
潜在问题插件:472个
常见伪装名称:“加密货币追踪器”“YouTube助手”“PDF工具”
防范措施:
安装前审查:
# 查看skill详细信息openclaw skills info <skill-name># 审查源码,特别注意要求"下载ZIP"、"执行shell脚本"、"输入密码"的skillcat ~/.openclaw/skills/<skill-name>/SKILL.md
优先使用精选列表:参考awesome-openclaw-skills项目(31.4K Stars)的精选列表
使用SecureClaw扫描工具:
npm install -g secureclawsecureclaw scan ~/.openclaw/skills/
禁用自动更新:防止恶意更新包植入后门
3.4 运行环境隔离
强烈建议:不在主力电脑上部署OpenClaw
推荐方案(按安全性排序):
| 方案 | 隔离级别 | 适用场景 | 操作复杂度 |
|---|---|---|---|
| 物理隔离(闲置电脑) | 最高 | 个人重度使用 | 低 |
| 虚拟机(VMware/VirtualBox) | 高 | 测试、学习 | 中 |
| Docker容器 | 中高 | 生产环境、云服务器 | 中 |
| 云服务器(阿里云等) | 高 | 24小时运行需求 | 低 |
Docker部署示例(推荐):
docker run -d \--name openclaw \--restart always \--memory 4G \--cpus2 \-p18789:18789 \-v /opt/openclaw/workspace:/app/workspace \-eSANDBOX_MODE=true \-eRESTRICT_FILESYSTEM=true \ openclaw/openclaw:latest
3.5 提示词注入攻击防护
攻击原理:攻击者在网页中构造隐藏恶意指令,诱导OpenClaw读取该网页,导致系统密钥泄露或被控制。
防护措施:
使用浏览器沙箱和网页过滤器扩展
禁止OpenClaw访问不可信网站
配置blockedDomains列表,屏蔽可疑域名
启用操作日志审计,监控异常网络请求
4. 如何正确安全地使用龙虾
4.1 官方安全使用建议(“六要六不要”)
| 要点 | 建议内容 |
|---|---|
| 要使用官方最新版本 | 从官方渠道下载,开启自动更新提醒,升级前备份数据 |
| 不要使用第三方镜像 | 不使用非官方版本或历史版本 |
| 要严格控制互联网暴露 | 定期自查暴露情况,使用SSH加密通道访问 |
| 不要将实例暴露公网 | 确需远程访问需限制源地址、强密码认证 |
| 要坚持最小权限 | 创建专用用户,容器/虚拟机隔离运行 |
| 不要使用管理员权限 | 重要操作二次确认或人工审批 |
| 要谨慎使用技能市场 | 安装前审查源码,优先官方或精选列表 |
| 不要安装可疑技能包 | 拒绝要求下载ZIP、执行脚本或输入密码的技能 |
| 要防范钓鱼攻击 | 使用浏览器沙箱,启用日志审计 |
| 不要点击陌生链接 | 不浏览可疑网站,不读取不可信文档 |
| 要建立长效防护机制 | 定期漏洞修补,结合杀毒软件防护 |
| 不要禁用日志审计 | 留存完整操作日志,确保可追溯 |
4.2 安全检查清单
部署前检查:
- 是否在隔离环境(虚拟机/容器/备用机)部署?
- 是否创建了专用受限用户?
- 是否关闭了默认端口公网访问?
- 是否配置了强密码和多因素认证?
- 是否加密存储了API密钥?
运行时检查:
- 是否开启了exec命令人工审批?
- 是否限制了文件写入路径白名单?
- 是否屏蔽了支付、银行类网站?
- 是否定期运行
openclaw security audit? - 是否定期检查
SOUL.md和MEMORY.md异常修改?
应急准备:
- 是否制定了应急处置预案?
- 是否定期备份重要数据?
- 是否记录了关键操作的联系人和联系方式?
4.3 应急响应流程
发现异常时,立即执行以下步骤:
断网隔离:立即断开设备网络连接
关停服务:
openclaw stop或终止相关进程排查清理:检查可疑进程、文件、网络连接
审计日志:导出日志分析异常操作
恢复数据:从备份恢复受影响数据
报告事件:联系单位网络安全部门或当地网信办
联系方式:
工信部网络安全威胁和漏洞信息共享平台:https://nvdb.miit.gov.cn
中国人民大学信息技术中心:62514520 / anquan@ruc.edu.cn
东北石油大学现代教育技术中心:0459-6503319
4.4 特别提醒
禁止使用场景:
❌ 涉密设备及处理国家秘密的计算机
❌ 存储核心商业秘密的设备
❌ 处理教学科研数据、行政办公信息的设备
❌ 接入校园网的办公电脑
❌ 金融交易核心系统
适用场景:
✅ 隔离的测试环境
✅ 虚拟机或容器沙箱
✅ 专用备用电脑
✅ 经安全加固的云服务器
结论
OpenClaw作为开创性的AI智能体框架,其“自主执行”能力代表了AI从“对话”走向“行动”的技术方向。然而,由于其高权限运行、本地数据主动采集、插件生态缺乏审核等设计特性,加之已曝光的82个安全漏洞和数十万个公网暴露实例,OpenClaw当前的整体安全风险处于高位。
用户应清醒认识到:OpenClaw本质上是一个面向开发者的底层框架,而非成熟的消费级产品。盲目跟风部署可能带来不可逆的数据泄露和系统破坏。建议用户在充分理解风险、落实安全配置的前提下,在隔离环境中审慎使用,并严格遵守工信部“六要六不要”安全建议。
核心理念:功能越强,风险越大;权限越紧,越安全。驯服这只“龙虾”,靠的不是技术冲动,而是严谨的安全意识和持续的运维管理。
