OpenClaw的风险究竟在哪?——为什么你不需要恐慌

如果你看到这个公众号，说明我们可能已经在某个时间点相遇过。

既然来了，就先坐下吧。

最近关于OpenClaw的讨论很多，而且大部分声音都在往吓人的方向走。什么"盗取银行卡密码"、"设备被远程接管"、"国家级风险提示"，听着就很让人不安。

我理解这种不安。但今天想跟你聊聊，这些风险到底是什么，对像你我这样的普通用户来说，真正需要在意的是什么。

OpenClaw到底是什么

先花30秒说清楚这个东西。

OpenClaw是一个开源的AI Agent运行平台。你可以把它理解成一个框架，让AI模型不只是跟你聊天，还能帮你执行任务、管理文件、调用各种工具。

它是本地运行的，开源的，这意味着代码是公开的，任何人都可以查看和修改。

正因为它是开源的，所以有一个生态——开发者可以编写Skill（技能插件）来扩展它的功能。这个生态既是OpenClaw最大的优势，也是目前争议最多的地方。

真正需要担心的第一件事：Skill投毒

这是目前OpenClaw生态里最实际的风险，也是最值得你注意的。

ClawHub是OpenClaw的官方插件市场，理论上你在上面找到的Skill都可以直接安装使用。但问题在于，这个平台目前缺乏严格的审核机制。

有安全研究者发现，ClawHub上存在大量伪装成合法工具的恶意Skill，数量据说超过300个。有些甚至会传播macOS木马，专门窃取API密钥和其他凭证。

这意味着什么？如果你随手装了一个来路不明的Skill，它可能在后台做你不知道的事情。它可能读取你的文件，可能把你的API密钥发到某个服务器上，也可能在你的系统上留下后门。

这个风险是真实的，不需要夸大，它本身就够严重了。

但这里有一个关键前提：你得先安装它。Skill不会凭空出现，不会自己跑到你的系统里。它需要你主动去装。

所以如果你没有乱装Skill的习惯，这个风险对你来说基本不存在。

真正需要担心的第二件事：公网暴露

这是另一个被反复提到的风险点，而且确实有实际案例。

OpenClaw的Gateway默认监听18789端口，而且在早期版本中，这个端口没有认证机制。如果你的机器直接暴露在公网上，任何人都可以通过这个端口连接到你的实例。

有数据显示，全球有超过3万个OpenClaw实例直接暴露在公网上，其中已经有上万设备被接管的案例。

这个数字听着很大，但需要理解它的前提：你的机器得直接连公网。如果你在家里用，路由器后面有NAT，外面的人扫不到你的18789端口，这个风险就不存在。

如果你用的是云服务器，那确实需要检查一下防火墙规则，确保这个端口不对公网开放。这是基本的安全常识，不只是OpenClaw的问题。

其他被讨论的风险

除了上面两个，还有一些话题在社区里被反复提起。

比如CVE-2026-25253，一个关于跨站WebSocket劫持的高危漏洞。这个漏洞确实存在，但它的利用条件比较苛刻，需要你访问攻击者控制的恶意网页，同时你的本地Gateway正在运行。

比如国家互联网应急中心发布的风险提示，提到了提示词注入、AI误操作等风险。这些是AI系统普遍面临的问题，不是OpenClaw独有的。任何让AI执行操作的系统，理论上都有这些风险。

还有一个很有意思的现象：中文社区的安全审计显示OpenClaw整体安全通过率只有58.9%。这个数字被很多人拿来吓人。但如果你仔细看那些讨论，会发现相当一部分"不通过"的项目，是因为审计模型对开源软件有偏见，用的是"不安全假设"来打分。

也就是说，有些扣分不是因为真的有漏洞，而是因为"理论上可能有风险"。这跟"已经发现严重漏洞"是两回事。

普通用户怎么判断自己安不安全

说了这么多，回到最实际的问题：你到底安不安全？

几个简单的判断标准：

你在哪里运行？ 如果是在自己电脑上、家里的服务器上，或者在有防火墙的云服务器上，公网暴露的风险基本不存在。

你装了哪些Skill？ 如果只装了官方推荐的、来源明确的Skill，投毒风险也基本不存在。如果你装了一堆来路不明的插件，那确实需要审查一下。

你的Gateway端口对外吗？ 如果不确定，可以检查一下防火墙规则，或者直接把Gateway绑定到localhost而不是0.0.0.0。

你有没有用最新版本？ 已知的漏洞通常会在新版本中修复，保持更新是基本操作。

如果你以上几点都没问题，那OpenClaw对你来说并不比你手机上装的任何一个App更危险。

关于恐慌本身

最后说一个我一直想说的事。

中文社区里有一些声音，把OpenClaw描述成一个极其危险的东西，好像装了它你的银行卡密码就会被盗走。这种叙事对谁有好处？对卖课的人有好处。

当恐慌被制造出来，就有人开始卖"安全课程"、卖"防护方案"。这些东西的价值很难评价，但制造恐慌本身不是为了保护你，而是为了生意。

OpenClaw的风险是真实的，需要认真对待。但"认真对待"不等于"恐慌"。它意味着了解风险在哪，采取对应的措施，然后继续用。

好了，就到这里。如果你感兴趣，欢迎留下来。