你的 OpenClaw 可能正在「裸奔」:5 大安全风险自查清单

前几天看到一条新闻：台湾数发部发布 OpenClaw 安全风险警示，提醒用户落实 5 大防护措施。

说实话，我一开始没太在意。

毕竟 OpenClaw 是跑在自己电脑上的 AI 助手，又不联网，感觉挺安全的。

直到我深入研究了一下，才发现——

OpenClaw 的安全风险，可能比你想象的大得多。

为什么 OpenClaw 会有安全风险？

先科普一下 OpenClaw 能做什么：

✦ 读写你的文件 ✦ 执行 Shell 命令 ✦ 发送邮件、管理日程 ✦ 控制浏览器自动化操作 ✦ 接入飞书、钉钉、企业微信

发现问题了吗？

OpenClaw 的能力太强大了——它几乎可以控制你电脑的一切。

而这种「全能型」AI 助手，恰恰是黑客最喜欢的攻击目标。

🔴 五大高发安全风险

风险一：恶意 Skills 攻击

OpenClaw 的 Skills（技能扩展包）是它的核心优势，但也可能是最大的安全隐患。

真实案例：

2025 年，安全研究人员对 ClawHub 市场的 2,857 个 Skills 进行了全面扫描，发现了341 个恶意 Skills，恶意占比高达12%。

这些恶意 Skills 可能：

📁 悄悄窃取你的文件

🔑 收集你的账号密码

🌐 将数据传输到外部服务器

⚠️ 你上周安装的那个「一键翻译」Skill，安全吗？

风险二：权限边界模糊

很多人把 OpenClaw 装在自己日常使用的电脑上，用的也是自己的管理员账号。

这就导致了一个问题：

AI 助手拥有了和你一样的最高权限。

一个指令失误，可能删除了重要文件；一次 Prompt 注入，可能让你的电脑被远程控制。

风险三：输入源不设防

OpenClaw 支持接入飞书、钉钉、企业微信。

这意味着——任何给你发消息的人，都可以通过 AI 执行命令。

如果有人在群里发送恶意构造的内容，AI 可能被诱导执行：

删除文件

修改系统设置

访问敏感数据

风险四：Gateway 暴露在公网

OpenClaw 的 Gateway（网关）默认监听 18789 端口。

如果你没有正确配置，任何人知道了你的 IP 和端口，都能访问你的 OpenClaw。

2025 年，就有多起因 Gateway 配置不当导致的数据泄露事件。

风险五：审计溯源机制缺位

很多用户在使用 OpenClaw 时，没有开启日志记录。

这导致：

🔍 出问题后无法追溯原因

⚠️ 被攻击了还不知道

📋 无法满足合规审计要求

✅ 五步安全配置指南

好消息是：以上风险都可以通过正确配置来规避。

下面是「龙虾管家」安全方案总结的 5 大防护措施，建议收藏！

第一步：环境隔离

核心原则：不要在存放敏感资料的环境中使用 OpenClaw。

推荐做法：

在虚拟机或 Docker 容器中运行 OpenClaw

使用专用的低权限账号，不要用管理员账号

安装在独立的测试设备上

Docker 部署命令：

docker run -d \

--name openclaw \

-p 18789:18789 \

--user 1000:1000 \

openclaw/openclaw:latest

⚠️ 使用 --user 参数指定非 root 用户，可以大幅降低风险扩散。

第二步：Gateway 安全配置

核心原则：Gateway 只允许本地访问，绝对不要暴露到公网。

打开配置文件：

notepad $env:USERPROFILE\.openclaw\openclaw.json

添加/修改以下配置：

{

"gateway": {

"bind": "loopback",

"auth": {

"enabled": true,

"password": "这里填至少32位的强密码"

}

关键点：

bind: "loopback" 表示只监听本机访问

必须设置强密码（建议 32 位以上，包含大小写字母、数字、特殊字符）

定期更换密码（建议每月一次）

第三步：Skills 审核机制

核心原则：不要安装来路不明的 Skills。

安装前必做三件事：

1️⃣ 检查来源

优先选择官方认证的 Skills

查看作者的 GitHub 主页和评价

2️⃣ 代码审查

下载 Skills 后，先查看源代码

警惕网络请求、文件操作等敏感代码

3️⃣ VirusTotal 扫描

把 Skills 的代码或文件上传到 VirusTotal 检测

🔗

安全安装命令：

只从官方市场安装

openclaw clawhub install summarize

安装后验证签名

openclaw skills verify summarize

第四步：权限最小化

核心原则：默认禁用高危操作，需要时按需开启。

在配置文件中禁用危险工具：

{

"tools": {

"shell": { "enabled": false },

"filesystem": { "enabled": false, "allowedPaths": ["~/documents"] },

"browser": { "enabled": true },

"email": { "enabled": false }

}

高风险操作强制人工确认：

{

"confirmations": {

"shell": true,

"delete": true,

"sendEmail": true,

"modifySystem": true

}

💡 这样设置后，OpenClaw 执行敏感操作前会弹窗确认。

第五步：完整行为审计

核心原则：开启日志记录，方便问题追溯。

开启审计日志：

openclaw config set logging.level "debug"

openclaw config set logging.audit.enabled true

openclaw config set logging.audit.retention "30d"

定期运行安全扫描：

安全审计命令

openclaw security audit

深度扫描（自动修复问题）

openclaw security audit --deep --fix

📊 安全配置检查清单

检查项	状态
☐ Gateway 绑定到 localhost	[ ]
☐ Gateway 设置了强密码	[ ]
☐ 运行在 Docker 容器中	[ ]
☐ 使用非 root 用户运行	[ ]
☐ Skills 来源可信	[ ]
☐ 高危操作需要确认	[ ]
☐ 开启了审计日志	[ ]
☐ 定期运行安全扫描	[ ]

🎯 总结

OpenClaw 是一个强大的 AI 助手，但它也是一把「双刃剑」。

用得好，它是提升效率的神器；用不好，它可能成为攻击你的入口。

记住这 5 点：

隔离部署— 不要在核心环境裸奔

Gateway 锁好— 本地访问 + 强密码

Skills 先审核— 来源不明的不要装

权限最小化— 默认禁用高危操作

开启审计— 出了问题能追溯

后台回复「openclaw」获取官方文档和 GitHub 链接。

往期推荐：