OpenClaw 安全完全指南:从 60 秒基线到纵深防御

大家好，我是iClaw养虾匠，今天给大家带来OpenClaw的安全指南。

为什么这篇必须读？

OpenClaw 不是聊天机器人。它能做这些事：

能力	意味着什么
执行 Shell 命令	能在你的电脑上跑任意命令
通过 WhatsApp/Telegram/Discord 发消息	能以你的名义对外沟通
在工作区读写文件	能访问你的数据
从互联网抓取任意 URL	可能触发间接提示注入
调度自动化任务	能在无人值守时执行操作
访问已连接的服务和 API	能操作你授权的第三方平台

每一条能力都是攻击入口。大多数安全问题不是什么高深的漏洞利用，而是"有人给 Bot 发了条消息，Bot 就照做了"。

这篇指南帮你搞清楚三件事：

1. 你面临的威胁是什么
2. 60 秒内怎么把安全拉到合格线
3. 更进一步的加固怎么做

先搞清楚：AI Agent 的信任模型

OpenClaw 的安全设计有一个基本前提：个人助理模型。

一个 Gateway 对应一个可信操作者。不是多人对抗性环境——如果你需要让互不信任的多个人共用一个 Agent，请拆分成不同的 Gateway（最好连操作系统用户都隔离）。

在这个模型下：

组件	角色
Gateway	控制面（认证、工具策略、路由）
Node	远程执行面（命令、设备操作）
`sessionKey`	路由选择器，不是认证令牌

很多人把 sessionKey 当成"用户认证"来用——这是错的。它只是选择哪个会话上下文，不提供任何安全隔离。

威胁全景：攻击者能做什么？

威胁类型	具体场景	严重程度
提示注入	攻击者构造消息，诱骗 Agent 执行非预期操作	高
间接注入	Agent 抓取的网页、邮件中嵌入恶意指令	高
工具滥用	配置不当导致 Agent 权限过大	中-高
身份风险	Agent 以你的名义发消息，损害人际关系	中
供应链攻击	恶意 Skill 窃取信息、执行未授权命令	高
基础设施暴露	Gateway 绑定公网、文件权限过松	严重

OpenClaw 的安全哲学很朴素：

第一道防线：供应链安全（ClawHub + VirusTotal）

你给手机装 App，有应用商店帮你把关。你给 AI Agent 装 Skill，谁来审查？

OpenClaw 联手 VirusTotal 解决了这个问题。

扫描流程

VirusTotal 扫描维度

VirusTotal 汇集全球 70+ 杀毒引擎对 Skill 包进行多维度检测：

扫描维度	检测内容	关注点
静态代码分析	源码中的恶意模式、危险函数调用	`eval()` 、反序列化、加密挖矿代码
二进制检测	嵌入式可执行文件、编译产物	可疑 ELF/PE 文件、打包的二进制
依赖扫描	第三方依赖是否包含已知漏洞	被篡改的 npm/pip 包、供应链投毒
行为特征	代码行为是否匹配已知恶意软件家族	木马、窃密器、后门的行为签名
Code Insight（AI 分析）	LLM 驱动的代码意图分析	超越签名的语义层面可疑行为
社区评分	安全研究人员的投票和评论	社区对文件安全性的集体判断

每个 Skill 包都有独立的 VirusTotal 报告页（通过 SHA-256 哈希关联），你可以点击 View report → 查看 70+ 引擎的逐个检测结果。

ClawHub 技能详情页：双引擎扫描已上线

现在打开 ClawHub 任意技能详情页，你可以直接看到 Security Scan 区域，包含两套独立扫描结果：

扫描引擎	检测内容	结果示例
VirusTotal	已知恶意软件、可疑代码行为	Benign
OpenClaw 自有评估	5 维度深度分析（见下表）	Benign, high confidence

OpenClaw 自有评估覆盖 5 个维度：

评估维度	检查内容
Purpose & Capability	技能声明的能力是否与实际行为匹配
Instruction Scope	技能指令是否越权操作
Install Mechanism	安装过程是否安全
Credentials	是否不当索取或泄露凭据
Persistence & Privilege	是否尝试持久化或提权

能检测 vs 检测不到

能检测到	检测不到
已知恶意软件（木马、窃密器、后门）	自然语言层面的 prompt 注入
可疑代码行为模式	精心构造的社工攻击
被篡改的依赖和嵌入式可执行文件	需要运行时才能暴露的逻辑
技能越权操作、不当凭据索取	零日漏洞利用

安全是纵深防御——双引擎扫描是其中一层，不是全部。安装前看一眼 Security Scan 结果，是最低成本的安全习惯。

第二道防线：组织安全体系（4 阶段安全计划）

OpenClaw 搞了一套四阶段安全计划，覆盖威胁建模到漏洞响应：

阶段	目标	状态
1. 透明度	公开威胁模型，社区可协作	已完成 — 基于 MITRE ATLAS 框架发布 37 条威胁
2. 产品安全路线图	防御工程目标用 GitHub Issues 跟踪	进行中 — 标签 `security` 的 Issue 持续活跃处理
3. 代码审查	全代码库人工安全审查 + 安全审计工具	进行中 — `openclaw security audit --deep` 已覆盖 100+ 检查项
4. 安全分诊	正式漏洞报告流程 + SLA	已上线 — security@openclaw.ai^[1] + GitHub Security Advisories

威胁模型：MITRE ATLAS 框架，37 条威胁

OpenClaw 的威胁模型基于 MITRE ATLAS（AI 系统对抗威胁框架），覆盖 8 个攻击阶段：

攻击阶段	威胁数	典型威胁
侦察	3	Agent 端点发现、渠道集成探测、技能能力侦察
初始访问	6	配对码拦截、AllowFrom 欺骗、令牌窃取、恶意技能入口（严重）
执行	6	直接提示注入（严重）、间接注入、工具参数注入、恶意技能代码执行（严重）
持久化	5	技能持久化（严重）、配置篡改、记忆投毒
逃避	4	审查模式绕过、内容包装逃逸、分阶段载荷投放
发现	4	工具枚举、会话数据提取、系统提示提取
外泄	4	web_fetch 数据窃取、凭据收割（严重）、Transcript 外泄
影响	5	未授权命令执行（严重）、资源耗尽、数据销毁、金融欺诈

总计：6 严重 / 16 高 / 12 中 / 3 低

6 条关键攻击链

攻击链	路径
恶意技能全杀伤链	侦察 ClawHub → 制作规避审查的技能 → 用户安装 → 代码执行 → 持久化 → 收割凭据
技能供应链攻击	劫持发布者 → 推送分阶段载荷 → 更新时执行 → 维持持久化 → 窃取 Transcript
提示注入到 RCE	渠道入口 → 注入提示 → 操纵审批 → 绕过检查 → 执行命令
间接注入数据窃取	投毒抓取内容 → 枚举环境 → 通过 web_fetch 外泄
令牌窃取持久访问	窃取令牌 → 维持访问 → 提取会话数据 → 通过消息外泄
金融欺诈链	渠道入口 → 注入提示 → 枚举金融工具 → 执行欺诈

漏洞响应 SLA

严重性	定义	首次响应	分诊	修复目标
严重	RCE、认证绕过、大规模数据泄露	24h	48h	7 天
高	重大影响、单用户范围	48h	5 天	30 天
中	有限影响、需特定条件	5 天	14 天	90 天
低	轻微问题、纵深防御	14 天	30 天	尽力而为

报告渠道：核心 CLI/Gateway → GitHub Security Advisories，通用问题 → security@openclaw.ai^[1]

第三道防线：你的配置（实战操作）

第一步：自检（30 秒）

先在终端跑一下：

openclaw security audit --deep

看到红色 critical 和黄色 warn？继续往下读。

第二步：60 秒安全基线

把这段配置粘到你的 openclaw.json 里：

{  gateway: {    mode: "local",    bind: "loopback",    auth: { mode: "token", token: "换成长随机字符串" },  },  session: {    dmScope: "per-channel-peer",  },  tools: {    profile: "messaging",    deny: ["group:automation", "group:runtime", "group:fs",           "sessions_spawn", "sessions_send"],    fs: { workspaceOnly: true },    exec: { security: "deny", ask: "always" },    elevated: { enabled: false },  },  channels: {    whatsapp: { dmPolicy: "pairing",      groups: { "*": { requireMention: true } } },  },}

这段配置做了什么：

配置项	效果
`bind: "loopback"`	Gateway 只监听本地回环，不对外暴露
`auth: "token"`	用长随机字符串认证，防止未授权连接
`dmScope: "per-channel-peer"`	每个渠道+发送者一对独立会话
`tools.profile: "messaging"`	只保留消息能力
`tools.deny`	禁止自动化、运行时、文件系统工具
`exec.security: "deny"`	命令执行默认拒绝，需手动批准
`dmPolicy: "pairing"`	陌生人必须通过配对流程
`requireMention: true`	群组必须 @提及才响应

跑一下 openclaw security audit 确认绿色通过。

第三步：逐层加固

1. 文件权限

ls -la ~/.openclaw/

文件	目标权限	问题权限
`~/.openclaw/`	`700`	`777` → 所有人可进
`~/.openclaw/openclaw.json`	`600`	`644` → 所有人可读

看到 777 或 644？跑 openclaw doctor 自动收紧。

2. Gateway 认证

模式	适用场景	注意事项
`token` （推荐）	大多数场景	长随机字符串，定期轮换
`password`	需要人记密码时	通过环境变量设置更安全
`trusted-proxy`	信任反向代理时	代理本身成为认证边界

绝对不能做：Gateway 绑定到非回环地址却不配认证。这是 critical 级别问题。

3. DM 策略

模式	行为	适用场景
`pairing` （默认）	陌生人收到配对码，需手动批准	个人使用
`allowlist`	陌生人直接被拦，无配对流程	严格管控
`open`	谁都能 DM	公开 Bot 场景
`disabled`	完全忽略 DM	纯群组 Bot

除非你在做公开 Bot，否则不要用 open。

4. 群组安全

配置	推荐值
`requireMention`	`true`
工具 profile	`messaging`
禁用工具	`exec` 、`browser`、`web_fetch`

永远不要在公开群组里放一个带工具的 Bot。

5. 命令执行控制

级别	行为	适用场景
`deny`	禁止所有命令执行	有暴露面时
`ask`	每次执行需要确认	个人使用（推荐）
`full`	全部放行	完全信任的操作者

还有一组 dangerously* 配置项——OpenClaw 用这个名字是有意的，让你看到就知道"我正在降低安全性"。

6. 沙箱隔离（最强手段）

{  agents: {    defaults: {      sandbox: {        mode: "all",        scope: "agent",        workspaceAccess: "ro"  // 只读工作区      }    }  }}

沙箱是 opt-in 的。如果你没开启，Agent 的操作直接作用在你的电脑上。

7. 浏览器控制

Agent 能控制浏览器 = Agent 能用你的登录态做任何事。

建议	原因
用专用浏览器配置文件	别用你的日常配置
关闭同步和密码管理器	防止凭据泄露
不暴露控制端口到公网	远程场景 = 操作员访问权限

8. 多 Agent 权限隔离

Agent 类型	权限
个人 Agent	全部权限，无沙箱
家人/同事 Agent	沙箱 + 只读工具
公开 Agent	沙箱 + 无文件系统/Shell 工具

{  agents: {    list: [      {        id: "personal",        sandbox: { mode: "off" }      },      {        id: "family",        sandbox: { mode: "all", workspaceAccess: "ro" },        tools: {          allow: ["read"],          deny: ["write", "edit", "exec", "browser"]        }      }    ]  }}

容易忽略的几个问题

问题	说明	应对
模型选择 = 安全决策	小模型/旧模型对提示注入抵抗力更弱	有工具权限的 Agent 用最新强模型
间接注入不需要公开 DM	Agent 读取的任何不受信内容都可能触发	用只读 reader Agent 先总结再传给主 Agent
会话日志在磁盘上	`~/.openclaw/agents//sessions/.jsonl` 可能含 API Key、密码	确保文件权限正确
Hook 载荷是不受信内容	邮件/文档内容可能携带提示注入	用强模型 + messaging profile + 开沙箱

出事了怎么办？应急响应

安全检查优先级

按紧急程度排序：

优先级	问题	行动
P0	"open" + 工具已启用	先锁 DM/群组，再调工具策略
P0	公网暴露（LAN 绑定、Funnel、缺认证）	立刻修
P1	浏览器控制远程暴露	当成操作员访问权限对待
P1	文件权限过松	确保 state/config/credentials 不可被其他用户读取
P2	插件/扩展不可信	只装你明确信任的
P2	模型选择不当	有工具的 Agent 用最新强模型

总结：三层防御，缺一不可

安全不是一次配完就永远安全的。OpenClaw 给了你工具（security audit）和文档，但最终要靠你定期检查、持续收紧。

能执行真实操作的 AI Agent，值得你花 30 分钟认真对待它的安全。

配了不一定安全，但不配一定危险。AI Agent 安全是一个持续对抗的过程——攻击手法在进化，防御也要跟着迭代。这篇文章是你的起点，不是终点。
如果觉得有用，请点击下方关注支持下吧～～

相关链接：

• OpenClaw 安全文档^[2]
• OpenClaw 信任中心^[3]

引用链接

[1] security@openclaw.ai: mailto:security@openclaw.ai[2] OpenClaw 安全文档: https://docs.openclaw.ai/gateway/security[3] OpenClaw 信任中心: https://trust.openclaw.ai/trust/zh-cn