夜雨聆风彻底卸载 OpenClaw:四步走,不留隐患(2026实操版)
作者: AI科技前沿 | 阅读时间: 约8分钟 | 发布日期: 2026年5月3日
⚠️ 先警告,再卸载: OX Security 安全研究员发出警告——常见的卸载方法会留下凭证和配置文件,即使你以为已经删干净了,API密钥、OAuth令牌、聊天记录仍然暴露在风险中。卸载≠安全,今天这篇文章,手把手教你做对。
📋 目录
第一章:为什么卸载≠安全? 第二章:四步完整卸载流程(图解) 第三章:三平台实操命令(macOS / Windows / Linux) 第四章:OAuth 授权必须手动撤销 第五章:API 密钥轮换清单 第六章:常见问题 Q&A
第一章:为什么卸载≠安全?
很多人以为,敲一行 npm uninstall -g openclaw 就能跟 OpenClaw 说再见。但现实远比想象中复杂。
2026年3月,OpenClaw 经历了史上最大规模的「卸载潮」——不是因为用户不爱用了,而是因为连续爆出的两起安全事件,彻底击穿了用户信任:
🚨 事件一:ClawHavoc 恶意插件事件(2026年1月)
攻击者在官方技能市场 ClawHub 上传了 1184 个恶意技能,伪装成 PDF 转换器、加密货币助手等常用工具。这些插件能够窃取用户存储在本地的 OAuth 令牌和 API 密钥。即使用户已卸载 OpenClaw,只要令牌未被撤销,攻击者仍可访问你的 Google、GitHub、Telegram 等账号。
🔓 事件二:CVSS 8.8 远程代码执行漏洞(2026年2月)
OpenClaw 被曝出高危远程代码执行漏洞,全球超过 13.5 万个 OpenClaw 实例直接暴露在公网。即便卸载了软件,历史配置文件中残留的凭证仍然面临极高被盗风险。
紫金山实验室安全专家指出:「0残留」并不现实——已运行过程中产生的数据、已泄露的信息,卸载是追不回来的。如果真有安全漏洞被黑客利用,卸载软件也解决不了持续泄密的问题。关键在于:卸载后必须立即轮换密钥、撤销授权。
第二章:四步完整卸载流程
正确的卸载姿势,必须按顺序执行以下四步,缺一不可:
第一步:停止并卸载 Gateway 网关服务
Gateway 是 OpenClaw 的后台守护进程,即使你删除了 CLI,它仍可能在后台持续运行。必须先停止并卸载该服务,否则残留进程会在你不知情的情况下继续访问你的账号。
# 方式一:使用内置卸载命令(推荐)
openclaw gateway stop
openclaw gateway uninstall
# 方式二:非交互式自动化卸载
openclaw uninstall --all --yes --non-interactive
第二步:删除状态和配置文件
OpenClaw 将所有配置存储在用户目录,默认路径为 ~/.openclaw/(Linux/macOS)或 %USERPROFILE%\.openclaw\(Windows)。删除前建议先备份重要数据。
# macOS / Linux
rm -rf ~/.openclaw
# Windows (PowerShell)
Remove-Item -Recurse -Force "$env:USERPROFILE\.openclaw"
# 如使用多 Profile,还需删除对应目录
ls -la ~ | grep .openclaw # 检查所有相关目录
📌 若你设置了
OPENCLAW_CONFIG_PATH自定义配置路径,也需一并删除。
第三步:撤销 OAuth 第三方授权
这是最容易被忽略、也最危险的一步。 OpenClaw 使用长期有效的 OAuth 令牌连接 Google、GitHub、Slack 等平台。这些令牌由第三方平台签发,存储在平台服务器端——删除本地文件完全无法让令牌失效。
✅ 必须在各平台手动撤销授权:
Google → Google账号授权管理 GitHub → Settings → Applications → Authorized OAuth Apps Slack → 应用管理 → OpenClaw → 移除授权 Discord → 用户设置 → 授权的应用 → 取消授权
第四步:轮换所有 API 密钥
90% 的用户会忽略这一步,也是安全专家最担忧的环节。 你曾输入 OpenClaw 的所有 API 密钥——OpenAI、Anthropic、DeepSeek、阿里云、腾讯云——卸载后仍然有效。必须登录各平台控制台,废弃旧密钥并重新生成新密钥。
需要轮换的密钥类型:
🤖 AI大模型: OpenAI / Anthropic Claude / DeepSeek / 通义千问 / 智谱 ☁️ 云服务平台: 阿里云 / 腾讯云 / AWS Access Key 📱 第三方服务: 飞书 / 钉钉 / Notion / Telegram Bot Token
第三章:三平台实操命令详解
下面按 macOS、Windows、Linux 三个平台,分别给出「一键卸载 + 手动清理」两套方案,供不同情况选用。
🍎 macOS 卸载方案
⚠️ 请使用 终端 执行,权限报错时加
sudo
方案一:CLI 正常时的快速卸载
# ① 核心卸载命令(一条搞定)
openclaw uninstall --all --yes --non-interactive
# ② 移除 CLI(按你安装时用的包管理器选择)
npm uninstall -g openclaw
# 或 pnpm remove -g openclaw
# 或 bun remove -g openclaw
# ③ 删除工作区(可选)
rm -rf ~/.openclaw/workspace
# ④ 重启电脑确保进程完全退出
sudo reboot
方案二:CLI 已失效时的强制清理
# ① 停止 LaunchAgent 服务
launchctl bootout gui/$UID/bot.molt.gateway
launchctl bootout gui/$UID/ai.openclaw.gateway
# ② 删除 LaunchAgent 配置文件
rm -f ~/Library/LaunchAgents/bot.molt.gateway.plist
rm -f ~/Library/LaunchAgents/ai.openclaw.gateway.plist
# ③ 杀掉所有残留进程
pkill -f openclaw || true
# ④ 删除所有 OpenClaw 相关目录
rm -rf ~/.openclaw
rm -rf ~/.openclaw-*
# ⑤ 清理 npm 缓存
npm cache clean --force
# ⑥ 重启
sudo reboot
🪟 Windows 卸载方案
⚠️ 请使用 PowerShell(管理员) 执行,勿使用 CMD
方案一:快速卸载
# ① 核心卸载命令
openclaw uninstall --all --yes --non-interactive
# ② 移除 CLI
npm uninstall -g openclaw
# ③ 删除工作区
Remove-Item -Recurse -Force "$env:USERPROFILE\.openclaw\workspace"
# ④ 重启
Restart-Computer
方案二:手动强制清理
# ① 删除计划任务
schtasks /Delete /F /TN "OpenClaw Gateway"
# ② 删除主配置目录
Remove-Item -Recurse -Force "$env:USERPROFILE\.openclaw"
# ③ 检查并删除所有多 Profile 目录
Get-ChildItem $env:USERPROFILE -Filter ".openclaw-*" | Remove-Item -Recurse -Force
# ④ 重启
Restart-Computer
🐧 Linux 卸载方案
方案一:快速卸载
# ① 核心卸载命令
openclaw uninstall --all --yes --non-interactive
# ② 移除 CLI
npm uninstall -g openclaw
# ③ 删除主目录
rm -rf ~/.openclaw
# ④ 重启
reboot
方案二:手动强制清理(systemd)
# ① 停止并禁用 systemd 服务
systemctl --user disable --now openclaw-gateway.service
systemctl --user disable --now openclaw-gateway-*.service
# ② 删除服务配置文件
rm -f ~/.config/systemd/user/openclaw-gateway.service
rm -f ~/.config/systemd/user/openclaw-gateway-*.service
# ③ 重载 systemd
systemctl --user daemon-reload
# ④ 删除所有 OpenClaw 目录
rm -rf ~/.openclaw
rm -rf ~/.openclaw-*
# ⑤ 重启
reboot
第四章:OAuth 授权必须手动撤销
这一步是整个卸载流程中最容易被忽视、却最致命的环节。以下是各平台的撤销操作路径,对照检查你曾授权过的所有服务:
| GitHub | ||
| Slack | ||
| Discord | ||
| Microsoft | ||
| Notion |
💡 小技巧: 在撤销授权前,你可以先查看
~/.openclaw/openclaw.json(如已删除则跳过),确认所有曾绑定过的平台,然后逐一登录对应平台撤销,防止遗漏。
第五章:API 密钥轮换完整清单
完成物理卸载后,接下来需要对所有曾暴露在 OpenClaw 环境中的密钥进行轮换。以下是按服务类型整理的完整清单:
🤖 AI 大模型平台(必须轮换)
☁️ 云服务平台(必须轮换 Access Key)
⚠️ 重要提醒: 如果你的密钥曾经泄露并被用于盗刷(最常见的表现是突然收到账单异常通知),除了轮换密钥,还应该:① 检查用量日志确认被调用的 API 范围;② 联系平台客服说明情况;③ 如有财产损失,及时报警并联系平台申诉。
第六章:常见问题 Q&A
Q1:卸载后 OpenClaw 的对话记录还在吗?
如果只删除了 npm 包,对话记录仍在 ~/.openclaw/memory/ 目录的 SQLite 数据库中。彻底删除请用 rm -rf ~/.openclaw(Linux/macOS)或 Remove-Item -Recurse(Windows)。
Q2:用了多 Profile 功能,需要删除多个目录吗?
是的。每个 --profile 会创建一个独立目录(如 ~/.openclaw-work、~/.openclaw-test),需要逐个删除。用 ls -la ~ | grep .openclaw(macOS/Linux)或 Get-ChildItem $env:USERPROFILE -Filter ".openclaw-*"(Windows)检查所有目录。
Q3:我是源码安装(git clone),怎么卸载?
顺序不能乱! 必须先在仓库目录内执行
openclaw gateway uninstall卸载服务,再删除仓库目录。如果颠倒顺序,Gateway 服务会在系统上留下残余。
Q4:使用远程模式连接别人机器,卸载要在哪边执行?
状态目录在远程主机上,必须登录远程机器执行步骤①-④(停止服务、清理配置)。本地机器只需删除 OpenClaw CLI 即可。
Q5:卸载后想重新安装,有什么建议?
等待 48 小时再安装(给平台足够时间处理令牌撤销) 优先使用本地模型(DeepSeek、Qwen 等国产模型对国内用户更友好) 安装前阅读 ClawHub 上技能的代码,避免再次安装恶意插件
✅ 总结:卸载 OpenClaw 安全清单
[!IMPORTANT] ① 停止 Gateway 服务 →
openclaw gateway uninstall② 删除配置目录 →rm -rf ~/.openclaw③ 撤销所有 OAuth 授权(Google / GitHub / Slack / Discord 等) ④ 轮换所有 API 密钥(OpenAI / Anthropic / 阿里云 / 腾讯云) ⑤ 重启电脑,验证清理彻底
💬 互动话题
你在使用 OpenClaw 的过程中,有没有遇到过来历不明的插件、异常的费用账单、或者账号被限制的情况?卸载后你的安全顾虑消除了吗?
欢迎在评论区分享你的经历,点赞最高的 5 条留言,将获得 AI 科技前沿整理的《AI 工具安全使用手册》PDF 一份。
📌 延伸阅读:
《「龙虾退潮」:OpenClaw 热度断崖下跌,有人开始花钱卸载》 《爱马仕 vs 小龙虾:OpenClaw 与 Hermes Agent 深度对比》 《AI 数据安全:本地部署 vs 云端服务的取舍》
AI科技前沿 · 原创内容 · 欢迎转发请注明出处 · AI 智能体 · 安全指南
