OpenClaw(俗称 “龙虾”)的爆火,让很多人第一次体验到 “AI 从聊天到做事” 的跨越 —— 它能编排开发流程、实现本地自动化,一个人就能管理一支 AI 工具队伍。但随之而来的,是越来越多的安全提醒:工信部发布风险提示、网信系统发文预警、安全研究者曝光漏洞…… 原因很简单:能自主执行文件管理、邮件收发、命令调用的 AI Agent,风险等级早已远超普通聊天模型。
很多用户仍用 “聊天工具” 的心态对待它,误以为 “本地部署就安全”“技能越多越好”,殊不知这些日常误判,正是安全事故的重灾区。这篇指南将拆解 OpenClaw 的核心风险、常见误区,再结合官方建议与实操技巧,帮你安全 “养龙虾”。
一、为什么最近 OpenClaw 的安全提醒扎堆出现?
OpenClaw 的安全风险并非空穴来风,而是官方、安全圈、监管层的共同预警,背后是对 AI Agent 风险的集体认知升级:
-
官方早有提示:OpenClaw 官方安全文档明确标注,它是 “个人助理安全模型”,不支持多租户隔离 —— 若多个不信任用户共享网关 / 代理,会导致权限泄露;同时强调不可信输入需谨慎、高风险工具要限流、敏感操作需审批。
-
安全圈集中发声:Simon Willison、1Password、The Verge 等机构和专家,重点预警四大风险:prompt injection(提示词注入)、恶意 skills(插件投毒)、过高权限滥用、旧版本漏洞,以及工具链连带破坏。
-
监管层正式预警:中国信息通信研究院、工信部网络安全威胁和漏洞信息共享平台、江苏网信等部门,先后发布风险提示,甚至推出 “六要六不要” 规范,要求谨慎使用 “龙虾” 类智能体。
本质上,大家终于意识到:能 “动手做事” 的 AI Agent,和只 “动口回答” 的聊天模型,完全不是一个风险量级 —— 前者的每一个漏洞,都可能直接触及本地文件、系统权限、敏感数据。
二、4 大常见误区,90% 的人都会踩
对普通用户来说,OpenClaw 的安全风险不是复杂的技术漏洞,而是日常使用中的认知偏差,这四个坑最容易中招:
误区 1:本地部署 = 绝对安全
很多人觉得 “AI 跑在自己电脑上,就没风险”,但事实恰恰相反:如果本地 Agent 能执行命令、读取不可信网页、调用第三方插件、接触隐私数据,这些风险不会因 “本地运行” 而消失,反而可能因为缺乏防护,直接威胁主机安全。
误区 2:技能(Skills)越多越强大
ClawHub 等技能市场里,各类插件让人眼花缭乱,但每多装一个第三方 skill,就多一层风险:可能藏着来路不明的代码、不透明的系统命令、不必要的权限申请,甚至是窃取数据的恶意程序 —— 安全研究者已在 ClawHub 发现数百个恶意插件,专门窃取设备信息或植入脚本。
误区 3:自动执行 = 效率更高
OpenClaw 的核心价值是 “自动化”,但很多人把所有功能都设为 “自动执行”,忽略了风险闸门:没有审批流程、没有日志记录、没有范围限制的自动化,短期提效,长期就是 “定时炸弹”—— 一旦 AI 出错或被劫持,可能自动删除文件、泄露数据、发送恶意邮件。
误区 4:测试环境 = 生产环境
不少用户用 OpenClaw 对接真实邮件、代码库、业务数据时,却不区分测试和生产环境 —— 随意修改 prompt、切换 skill、调整执行逻辑,本质上是拿真实业务 “试错”。AI 越智能,出错时的破坏面就越大,且无迹可寻。
三、核心风险汇总:4 大安全隐患需重点防范
结合官方文档和安全预警,OpenClaw 的风险可归纳为四类,需针对性防护:
-
过高权限:给 Agent 开放管理员权限、无限制访问本地文件 / 系统配置,一旦被劫持,可直接操控主机;
-
提示词注入(Prompt Injection):通过恶意输入篡改 Agent 指令,让它执行违规操作(如读取敏感文件、执行恶意命令);
-
插件供应链攻击:第三方 skill 暗藏恶意代码,或被篡改植入后门,安装后窃取数据、劫持权限;
-
公网暴露 + 旧版本漏洞:直接将 Agent 实例暴露在公网,或长期使用未修复漏洞的旧版本,给攻击者可乘之机 —— 此前 OpenClaw 已累积 9 个 CVE 漏洞,最严重的 CVSS 评分 8.8,可通过恶意链接实现远程代码执行。
四、8 条安全使用技巧 + 官方 “六要六不要”,双重防护
想要安全使用 OpenClaw,核心原则是 “最小权限、最小暴露、可追溯”,这 8 条实操技巧 + 工信部 “六要六不要”,能覆盖 90% 的使用场景:
个人用户必看:8 条实操技巧
-
只装官方最新稳定版:从官方渠道下载,开启自动更新提醒;升级前备份数据,升级后重启验证;坚决不用第三方镜像或旧版本 —— 旧版本的漏洞可能已被黑客利用。
-
禁止公网直接暴露:个人使用时,将网关绑定 127.0.0.1,仅本地访问;确需远程操作,用 VPN 等加密通道,限制访问 IP,搭配强密码或证书认证,不要裸露开放 18789 等默认端口。
-
恪守最小权限原则:不给 Agent 管理员权限,能只读就不开放读写,能隔离就不直连系统;优先用 Docker / 虚拟机隔离运行,形成独立权限区域,限制磁盘挂载和网络访问。
-
高风险功能默认关闭:exec(命令执行)、browser(浏览器自动化)、web_fetch(网络请求)、web_search(网页搜索)等功能,默认关闭;仅在可信场景开启,且给真实主机操作加审批或沙箱。
-
拒绝第三方可疑技能:只从官方或绝对可信来源安装 skills;遇到要求 “下载 ZIP 压缩包”“执行 shell 脚本”“手工输入 API 密钥 / 密码” 的插件,直接拉黑。
-
敏感凭证加密存储:不要把 API key、SSH 密钥、token 等写进 prompt、普通 Markdown 文件或明文配置里,优先存放在加密环境变量中,避免 Agent 误读或被窃取。
-
开启日志审计:保留关键执行日志、skill 安装记录、权限变更记录、异常行为线索 —— 万一出问题,能快速追溯 AI 的操作轨迹,定位风险源头。
-
分离测试与生产环境:若对接真实邮件、业务数据、代码库,务必分开测试和生产环境:测试环境用模拟数据,生产环境严格限流,避免测试中的误操作影响真实业务。
官方规范:工信部 “六要六不要”
-
要更最新版本,不要用第三方镜像 / 旧版本:官方渠道下载,开启更新提醒,升级前备份、升级后验证。
-
要控制暴露面,不要公网裸露实例:定期自查公网暴露情况,确需远程用加密通道,限制 IP + 强认证。
-
要最小权限,不要用管理员账号:按业务授予必需权限,重要操作二次确认 / 人工审批,优先容器 / 虚拟机隔离。
-
要审慎用技能市场,不要装可疑插件:安装前审查 skill 代码,拒绝要求下载压缩包、执行脚本、输入密码的插件。
-
要防范社会工程攻击,不要点陌生链接:用浏览器沙箱、网页过滤器,开启日志审计,可疑行为立即断网关、改密码。
-
要建防护机制,不要禁用日志:定期补漏洞、关注安全预警,搭配杀毒软件实时防护,保留详细审计日志。
五、总结:安全边界,才是使用 OpenClaw 的分水岭
OpenClaw 的价值毋庸置疑 —— 它让普通人也能享受 AI 自动化的便利,但这份便利的前提,是建立清晰的安全边界。
如果你把它当成 “聊天工具”,看到的只是 “功能强大”;但如果你把它当成 “运行系统”,就会重视权限分层、工具收口、环境隔离、执行闸门、风险追溯。
安全不是 “限速带”,而是 “护城河”—— 短期看,开启防护会多几个步骤;长期看,这是让 OpenClaw 真正为你所用、避免踩坑的关键。毕竟,能安全用下去的 AI 工具,才是好工具。