OpenClaw 安全指南

玩 OpenClaw 的安全红线和避坑指南

你好，我是鱼皮。这是本教程最重要的一篇。OpenClaw 是一个能操作你电脑的 AI 工具，工信部和国家互联网应急中心都发过安全预警，翻车案例已经一堆了。在享受 AI 带来便利的同时，安全意识一定要有。

真实翻车案例

先给大家看几个真实的翻车案例，每一个都触目惊心。

案例一：Meta AI 安全总监的邮件事件

Meta 的 AI 安全总监让 OpenClaw 整理邮箱，特意叮嘱 “删除前先确认”。结果对话太长触发了上下文压缩，AI 把 “先确认” 这个指令给忘了，一口气删了 200 多封邮件。他连喊 3 次停手都没用 —— 因为 AI 正在 “专注工作”，根本没理他。

连 AI 安全专家都翻车了，可见光靠在对话里叮嘱是不够的。

案例二：整个 D 盘被删

有用户让 OpenClaw "修复 workspace"，结果 AI 理解错了，把整个 D 盘给清了。权限越大，AI 犯错的杀伤力就越大。

案例三：公司内网被入侵

有员工私自在公司电脑安装 OpenClaw，没做任何安全配置。全球有超过 22 万个 OpenClaw 实例暴露在公网上，大部分没有开启身份认证，已经有用户因为远程桌面没设密码被盗刷信用卡、公司内网被入侵。

这些案例告诉我们一个道理：AI 不会故意害你，但它犯起错来可比人狠多了。

安全红线

下面是 10 条安全建议，每条都是血泪教训换来的：

1）开二次确认

删除、发邮件这类不可逆操作，一定要在 OpenClaw 设置里把执行审批打开，别为了图省事就 /elevated on 全部放行。

2）给 Token 消耗设上限

有人一周烧了 14 亿 Token，还有人半天扣了 200 块。OpenClaw 每次对话都会自动注入系统指令和上下文，一个简单请求就要消耗上万 Token，一定要在 API 平台设好每日消费上限。

3）不要用管理员权限运行

有用户让 OpenClaw “整理发票，格式不对的删除”，结果 AI 理解错了，把整个桌面文件都给清了。建议用虚拟机或 Docker 容器隔离运行，给 OpenClaw 划定专门的工作目录。在代理的工具管理中按需开关工具，如果只是聊天，关掉 exec（执行命令）和 write（写文件）等危险工具。

4）别把实例暴露到公网

自己玩的话本地启动就行，需要远程访问就走 VPN 或 SSH 隧道。同时通过 channels.whatsapp.allowFrom 等配置限制谁能跟你的龙虾对话，防止陌生人发消息控制你的电脑。

5）不要让 OpenClaw 随便浏览来路不明的网页

安全公司发现了零点击漏洞，只要让 OpenClaw 访问一个恶意网站，攻击者就能劫持你的本地实例。官方已经紧急发了补丁，一定要保持版本更新。

6）不要乱装第三方 Skills

OpenClaw 的官方技能市场 ClawHub 上被发现超过 800 个恶意插件，有的伪造系统弹窗骗你输密码，有的直接偷浏览器密码和加密钱包。遇到要求你下载压缩包、执行脚本的，一律别碰。可以安装 Skill Vetter 技能来自动审查技能安全性。

7）密钥不要明文存放

API Key、SSH 凭证别写进 prompt 或配置文件里。安全公司测过 OpenClaw 的提示词注入成功率高达 91%，攻击者可以诱导 AI 把上下文吐出来。密钥要用环境变量或密钥管理工具存储，openclaw.json 和 auth-profiles.json 千万不要分享给别人或上传到公开仓库。

8）坚持用官方最新版本

已经有黑产团伙在搜索结果里推广假的 OpenClaw 安装包，诱导用户下载带木马的版本。OpenClaw 近期被国家信息安全漏洞库披露了 82 个漏洞，一定要从官网下载并及时更新。

9）测试环境和生产环境分开

有人让 AI 编程助手清理配置，结果 AI 误判环境直接执行了 terraform destroy，194 万行生产数据全没了。实验性操作一定要在隔离的测试环境里搞。

10）养成查看日志的习惯

用 AI 最气的就是它搞砸了你不知道它做了什么，用 openclaw logs --follow 实时查看操作记录，出事了才有迹可循。

关于安全配置的更多细节，可以参考官方文档：

• OpenClaw 沙箱模式（Docker Sandbox）：https://docs.openclaw.ai/gateway/sandboxing
• 安全相关配置：https://docs.openclaw.ai/gateway/security
• 执行审批机制：可以配置高危操作（如删除、安装）需要人工确认

快速安全配置清单

看完上面的内容，你可能会想：道理俺都懂，但具体该怎么做啊？？？

这里给你一个快速配置清单，照着做就行：

• 在虚拟机 / 备用机 / 云服务器上运行，不在主力机裸跑。哪怕 AI 把系统搞崩了，也不影响你的正常工作
• 在提示词（AGENTS.md）里明确告诉 AI：执行高危操作前必须确认。虽然不能 100% 保证 AI 听话，但能大幅降低误操作概率
• 关闭不需要的工具，特别是 EXEC（执行命令）和 WRITE（写文件）。如果只是聊天，根本不需要这些工具
• 在 API 平台设好每日消费上限。各大模型厂商的控制台都支持设置消费限额，设个你能接受的上限
• 不要让龙虾自动安装技能，人工审查后再装。关闭 clawhub 和 find-skills 这两个技能的自动使用权限
• 定期备份。参考本教程《13 记忆管理与成本控制》中的 Git 备份方法，每天自动备份一次配置
• 保持 OpenClaw 版本更新。官方会持续修复安全漏洞，用老版本就是在裸奔

写在最后

安全这根弦一定要绷紧，别让龙虾反过来把你给吃了。

如果你折腾了一圈觉得不适合自己，想把龙虾卸载干净，可以阅读下一篇《15 OpenClaw 一键卸载脚本》，一行命令搞定。想看看 OpenClaw 的实战玩法，可以阅读《OpenClaw 实战 | 用 GLM-5 打造你的 AI 伴侣》。对创始人故事感兴趣的话，可以阅读《番外 | OpenClaw 创始人的故事》。

祝你养虾愉快，安全第一！

推荐资源

1）鱼皮 AI 导航网站：AI 资源大全、最新 AI 资讯、免费 AI 教程

2）编程导航学习圈：学习路线、编程教程、实战项目、求职宝典、交流答疑

3）程序员面试八股文：实习/校招/社招高频考点、企业真题解析

4）程序员写简历神器：专业模板、丰富例句、直通面试

5）1 对 1 模拟面试：实习/校招/社招面试拿 Offer 必备