夜雨聆风2026年3月22日,国家互联网应急中心联合中国网络空间安全协会,面向普通用户、企业、云服务商与技术开发者,正式发布OpenClaw安全使用实践指南,针对开源AI智能体OpenClaw在本地部署、权限管理、数据隐私、供应链安全等方面的突出风险,给出体系化、可落地的安全防护规范,为AI工具规模化安全应用提供权威指引 。
一、核心发布信息
发布机构:国家互联网应急中心、中国网络空间安全协会
发布时间:2026年3月22日
覆盖对象:普通用户、企业用户、云服务商、技术开发者
核心目标:降低OpenClaw本地部署与运行中的权限越权、数据泄露、恶意入侵、供应链风险 。
二、分主体安全要求
1. 普通用户(基础安全)
环境隔离:用专用设备/虚拟机/容器安装,不建议在日常办公电脑部署 。
权限最小化:禁用管理员/超级用户权限运行程序 。
数据边界:不存储、处理身份证、账号、密码等隐私数据 。
版本管理:及时更新至官方最新稳定版,封堵已知漏洞 。
2. 云服务商(基础设施安全)
主机加固:对承载OpenClaw的云主机做安全评测与基线加固 。
防护部署:在主机、网络层部署入侵检测、防DDoS等能力,强化风险监测 。
供应链与数据安全:开展漏洞常态化监测,定期更新官方镜像,严控组件来源 。
3. 技术开发者(配置与运维安全)
强认证:config.json配置高复杂度密码/Token,DM配对设验证码或白名单,严禁open模式。
端口管控:Web管理端口(18789)不暴露公网/局域网,禁用非安全隧道映射。
插件管理:仅用可信签名扩展,严控自动更新,开启操作日志审计 。
4. 企业用户(组织级管控)
网络隔离:默认不对外开放相关服务,严格网络访问控制 。
凭证安全:禁止明文存密钥,使用加密存储与权限分级管理 。
合规审计:全流程日志留存,建立漏洞响应与版本升级机制 。
三、指南价值与意义
1. 填补规范空白:为快速普及的本地AI智能体提供国家级安全标准,统一风险认知与防护基线 。
2. 降低安全隐患:从环境、权限、数据、供应链多维度阻断典型攻击面,提升整体韧性 。
3. 支撑合规落地:为个人与机构提供可直接执行的操作清单,兼顾易用性与安全性 。
本次指南的发布,标志着开源AI智能体进入安全与发展并重的规范化阶段。OpenClaw作为本地优先、可自主执行任务的热门AI工具,其安全水平直接关系设备安全与数据隐私。遵循本指南要求,落实环境隔离、最小权限、可信更新、持续监测等核心措施,既能充分发挥AI工具效能,又能有效防范安全风险,为本地AI Agent的健康、可持续应用筑牢安全底座。
