夜雨聆风为什么要重视 OpenClaw 安全?
当前,OpenClaw 已成为众多开发者和技术爱好者日常使用的重要工具。然而,正是这些高权限能力,使得一旦配置不当或遭遇恶意攻击,可能导致远程接管、数据泄露、恶意代码执行等严重后果。这绝非危言耸听——安全从来不是"事后补救"的问题。
本文档由 CNCERT 联合中国网络空间安全协会,基于国内厂商的实践经验编制,适用于普通用户、企业用户、云服务商以及技术开发者等各类群体。
一、普通用户:保护自己的第一道防线
作为个人使用者,你的数据和设备安全掌握在自己手中。以下建议请务必牢记:
1. 环境隔离是基本功
不要在日常办公电脑上直接安装 OpenClaw。推荐以下三种隔离方案:
方案一:使用闲置旧电脑专门运行,清空其中的个人数据
方案二:通过 VMware、VirtualBox、Docker 等工具创建独立的虚拟机或容器,与宿主机隔离
方案三:在云服务器上部署,本地仅进行远程访问操作
2. 端口暴露要谨慎
OpenClaw 的默认端口(18789/19890)不应直接暴露在公网。建议配置为仅本地访问(127.0.0.1),关闭端口映射与公网 IP 绑定。如确需远程访问,建议使用 VPN,并启用验证码等强认证。
若你将 OpenClaw 对接了微信、钉钉、飞书等即时通讯软件,务必确保仅允许本人或已授权的可信人员访问。
3. 权限最小化原则
切勿使用管理员或超级用户权限运行 OpenClaw。具体建议:
创建专用低权限账户,仅授予最小必要目录的读写权限
关闭无障碍、屏幕录制、系统自动化等高危权限
仅开放专用工作目录,禁止访问桌面、文档、下载、密码管理器等目录
配置白名单路径,拒绝读取配置文件、密钥文件等敏感数据
关闭系统命令执行功能,仅在必要时临时启用并二次确认
限制网络访问,仅允许连接必要的 AI 服务与 API
4. 技能插件安装需谨慎
谨慎安装来源不明的 Skills,特别是外部社区或个人发布的插件。建议拒绝"自动赚钱、撸羊毛、破解"类不明技能——这类功能往往暗藏风险。
5. 敏感数据不进门
不要在 OpenClaw 环境中存储或处理银行卡号、密码、身份证号、私钥等敏感信息。这是保护你数字资产的基本常识。
6. 保持更新习惯
及时更新 OpenClaw 至最新版本,安装官方安全补丁,并关注官方发布的安全公告与漏洞通报。
----------------------------------------------
二、企业用户:系统性的安全管理
企业环境中,OpenClaw 的使用需要更加严谨的制度保障。以下八个方面缺一不可:
1. 建立管理制度
制定智能体应用的安全管理制度与使用规范,明确允许与禁止的使用场景、数据范围和操作类型。引入新的智能体应用或高权限功能时,必须经过安全评估和管理层批准。
2. 基础网络安全防护
禁止将智能体服务直接暴露在公共网络,通过防火墙、VPN 等手段限制访问,仅开放必要端口给可信网络或 IP 地址。对智能体所在服务器启用主机入侵防御和恶意流量检测,确保运行环境定期更新补丁,消除已知漏洞。
3. 精细化权限管理
对所有智能体服务账号遵循最小必要权限原则进行配置。利用权限控制工具对智能体可访问的文件目录、网络域、数据库表等进行边界限定。对高权限智能体实行严格的多因素认证和操作审批,在关键资源层设置额外防线。
4. 监控与审计机制
建立持续运行监控机制,记录智能体的行为日志、决策输出、资源使用及异常事件。对关键操作和安全事件生成防篡改的审计日志。配置 SIEM 工具实现日志集中分析,及时发现可疑行为。审计追踪能力应能还原智能体行为路径,为事后调查提供依据。
5. 高危操作保护策略
针对可能执行的高危操作制定保护基线:对删除大量数据、修改核心配置、资金交易等操作设置人工二次确认或多重签批;对不可逆操作先行模拟演练;高影响操作限定时间窗和范围。这些策略应与金融系统、生产控制系统等高安全场景的管控措施看齐。
6. 供应链安全管理
建立第三方组件和技能插件的安全管理制度。新技能模块必须经过安全审核和测试方可使用。对现有技能和依赖库定期检查版本和安全更新。推荐使用企业内部代码仓库存储已审核的技能代码,禁止智能体直接从外部获取并执行未存档代码。
7. 凭证与密钥管理
敏感凭据不得明文写入代码或配置文件,应使用安全的凭证管理系统按需注入。使用完毕后及时销毁或回收密钥,防止长期驻留内存或日志。定期更换关键凭据,降低泄漏风险。
8. 培训与应急演练
定期开展安全培训,提高人员对自主智能体风险的认知。避免"一句话授权"导致高危操作无意识执行。制定应急预案并定期开展模拟演练,提高团队的响应速度和处置能力。
-------------------------------------------
三、云服务商:平台层面的安全保障
作为基础设施提供者,云服务商需要在产品设计和运行时提供全方位的安全防护。
1. 基础安全评测与加固
- 认证隔离:在密码规则基础上规避弱密码,默认禁止云主机远程登录访问
- 服务认证:每个用户的 OpenClaw Gateway 服务启用唯一随机 token,默认不暴露 Gateway 到公网
- 网络隔离:在用户账号下配置独立隔离的 VPC 网络
- 安全测试:对镜像、控制面、运行时实例等进行安全扫描和人工测试
2. 安全防护能力部署
- 在主机层、网络层部署入侵监测能力
- 默认具备防 DDoS 攻击等基础防护
- 对部署 OpenClaw 的云主机实例加强安全风险监测
3. 供应链与数据安全
- 做好 OpenClaw 安全漏洞监测与防护,定期更新云上镜像
- 提供经过安全检测的 Skills,默认具备已知恶意 Skills 阻断安装能力
- 增强大模型安全护栏,包括提示词注入防御、隐私泄露防护等
四、技术开发者:专业级的安全实践
对于具备技术背景的用户,以下建议帮助你构建更安全的使用环境:
1. 配置加固要点
版本管理:始终使用最新版本,持续关注版本更新和安全修复。
身份认证:
- 在 config.json 中配置高强度密码或 Token
- 将 DM 配对策略设置为 pairing(需验证码)或 allowlist(白名单),绝对禁止设置为 open
网络隐身:
- 不将 Web 管理界面(端口 18789)暴露在公网或局域网
- 不使用 Tailscale、WireGuard 等隧道方案将端口映射到外网
- 确保 gateway.controlUi.allowInsecureAuth 为 false
2. 运行环境隔离策略
OpenClaw 提供两种互补的沙箱化策略:
全量 Docker/虚拟机运行:将整个 Gateway 及其依赖运行在 Docker 容器或虚拟机内,即使 Gateway 被攻破,攻击者也难以危害宿主机。
工具沙箱:
- Gateway 运行在宿主机,将 Agent 的工具执行隔离在 Docker 容器中
- 通过 agents.defaults.sandbox 启用,建议保持 scope 为 "agent" 或 "session"
- 通过 workspaceAccess 参数精细控制工作区权限(none 禁止、ro 只读、rw 读写)
最小权限原则:
- 启用工具白名单,禁用高危工具(如 shell、browser 写权限)
- 启用文件系统限制,敏感目录以只读方式挂载
- 使用官方安全审计工具定期检查:openclaw security audit
3. 供应链安全防范
安装前审查:安装技能商店(ClawHub)或非官方渠道的插件前,使用 clawhub inspect --files 命令检查是否存在可疑指令。
明确禁区:禁止执行危险命令(如 rm -rf /)、禁止修改认证配置、禁止将 token/私钥/助记词发送至外网、禁止盲目执行"一键安装"命令。
配置基线:安装完成后立即配置安全设置,只允许本机访问核心配置文件,建立配置哈希基线,切勿将私钥或助记词交付给 Agent。
-------------------------------------------
结语
安全从来不是一个人的事,也不是某一方的责任。从个人用户到企业机构,从云服务商到技术开发者,每个环节都需要绷紧安全这根弦。
希望本指南能够帮助你在使用 OpenClaw 的过程中,既发挥其强大能力,又有效规避潜在风险。如有安全事件报告,请及时联系相关部门。
关于作者:本文由国家互联网应急中心(CNCERT)与中国网络空间安全协会联合发布,旨在提升公众对 OpenClaw 安全使用的认知与实践能力。
