运行 OpenClaw 就像把你的数字房子钥匙交给别人。这个人恰好是一个拥有系统级访问权限的人工智能代理,而且并非所有敲门的人都是友好的。.
如果您自行托管 OpenClaw(前身为 Moltbot,更早之前名为 Clawdbot),您可能已经注意到安全方面的讨论日益增多。这并非没有道理。2026 年初,OpenClaw 出现了多个已记录的 CVE 漏洞,其中包括一些远程代码执行漏洞,这些漏洞甚至可以在本地主机实例上生效。社区讨论也揭示了人们对暴露的 OpenClaw 实例的担忧,研究人员也记录了在实际环境中传播的恶意代码。.
但关键在于:OpenClaw 本身并不危险。它只是功能强大。而强大的工具需要适当的防护措施。.
真实威胁模型
我们来谈谈你实际要防范的是什么。OpenClaw 作为一个自主代理运行,能够执行命令、读取文件并与你的系统交互。这是有意为之的设计——也正是这一点让这个工具如此实用。.
安全风险可分为三类:
- 直接妥协: 攻击者通过暴露的网关、薄弱的身份验证或已知漏洞获得访问权限
- 立即注射: 恶意指令嵌入在代理处理的内容中,导致其执行非预期操作。
- 供应链攻击: 包含恶意代码的受损技能、插件或扩展程序
根据2026年2月发表在arXiv上的研究,在社交环境中运行的人工智能代理面临着独特的安全挑战,这些挑战主要围绕社交错觉和多代理交互展开。OpenClaw的持续运行特性加剧了这些担忧。.
社区成员的反馈证实了安全研究人员的说法:“你需要在不关心的系统上使用它”,或者“在隔离的机器上使用它,并访问与你的常规帐户隔离的帐户”。”
部署隔离:你的第一道防线
不要在你的主力系统上运行 OpenClaw。千万别。.
一位Reddit用户直言不讳地说:“直接在你的主力机上运行openClaw可能有点危险。除非是你的备用电脑,否则我建议你避免这样做。”
您有三种可靠的隔离方法:
虚拟机路由
虚拟机可以提供完全隔离。下载 QEMU 或使用 Windows Hyper-V(Windows 10/11 专业版内置)。安装一个最小化的 Linux 发行版,并在其中设置 OpenClaw,这样就创建了一个安全边界。.
一位用户分享了他的 Mac 设置:“我用一个单独的用户帐户运行它,并设置规则禁止访问私有网络上的某些主机。” 在 Ubuntu 系统上,他们使用 iptables 过滤规则,只允许特定端口访问 OpenClaw 实例。.
VPS部署
从 DigitalOcean 或 Hetzner 等服务商处购买的 VPS 会将 OpenClaw 安装在其他人的硬件上。将其绑定到本地主机,禁用密码验证,配置 UFW 防火墙,然后通过 Tailscale 或 SSH 隧道访问它。.
多位社区成员反映云服务提供商的部署运行稳定可靠。与个人数据隔离带来的便利远超其带来的复杂性。.
专用硬件
一台专用于 OpenClaw 的旧笔记本电脑或 Mac Mini 可以实现物理隔离。将其与 Tailscale 结合使用,即可实现安全的远程访问,这样你就拥有了一个不会触及你主系统的本地 AI 助手。.
OpenClaw部署的三种隔离方法,按安全有效性和用例进行排名
工具限制和沙盒
OpenClaw 内置了强大的“技能”——本质上是智能体可以调用的工具。有些技能是无害的,但有些如果落入不法分子(或受到不当引导)手中则可能造成危险。.
节点执行工具(system.run)允许 OpenClaw 执行任意系统命令。文件访问工具可以读取敏感数据。浏览器控制可以与已认证的会话进行交互。网络工具可以窃取数据。.
您需要配置以下内容:
禁用危险的默认工具
在 OpenClaw 配置中,明确禁用或限制:
- Shell 执行(system.run、exec、shell)
- 无限制文件访问(仅限特定目录)
- 没有特定用途的网络工具
- 已认证环境下的浏览器自动化
AI代理部署的安全最佳实践建议采用基于允许列表的工具访问权限控制,而不是基于阻止列表的控制。仅启用特定用例所需的工具。.
配置工具级权限
OpenClaw 支持命令授权模型。您可以将其理解为 AI 代理的 sudo 权限。关键操作应需要明确授权,否则应完全禁用。.
社区反馈表明工作区隔离效果良好:一个用户运行 ClamAV 扫描代理接触到的任何东西,从而创建第二层保护。.
身份验证和访问控制
社区讨论表明,许多 OpenClaw 实例缺乏足够的身份验证。不要成为其中之一。.
网关认证
如果你要通过网页界面公开 OpenClaw,那就必须在它前面加上身份验证。就这么简单。.
选项包括:
- 使用 HTTP 基本身份验证的反向代理(nginx、Caddy)
- 用于 SSO 集成的 OAuth2 代理
- Tailscale 认证用于网状 VPN 访问
切勿在未进行身份验证的情况下通过 HTTP 公开 OpenClaw 控制界面。安全指南明确警告不要使用禁用身份验证的不安全配置。.
会话隔离
如果多个用户与您的 OpenClaw 实例交互,请启用会话隔离。否则,一个用户的提示信息可以访问另一个用户的上下文、凭据和数据。.
DM 访问模型支持配对、允许列表、开放或禁用模式。对于多用户部署,请使用配对或允许列表模式。切勿在面向互联网的实例上使用开放模式。.
即时注射问题
事情就变得棘手了。提示注入攻击会将恶意指令嵌入到你的代理处理的内容中——例如电子邮件、网页、文件和消息。.
说实话,没有完美的防御。但你可以增加防御难度。.
输入验证
安全测试发现,输入验证可以检测到基本的注入攻击。虽然并非万无一失,但它提高了安全门槛。.
配置内容过滤器,在可疑模式到达语言模型之前将其移除或转义。速率限制还可以减少暴力注入尝试。.
权限最小化
代理程序的功能越少,注入攻击造成的损害就越小。这又回到了工具限制的问题上——如果代理程序无法执行 shell 命令,那么针对该功能的注入尝试就会失败。.
一位社区成员提倡“先进行访问控制,再考虑情报”。首先限制权限,然后在这些权限范围内添加情报。.
| 攻击向量 | 风险等级 | 有效缓解 | 实施难度 |
|---|---|---|---|
| 暴露的网关(无需身份验证) | 批判的 | 反向代理 + 身份验证 | 低的 |
| 立即注射 | 高的 | 工具限制 + 输入验证 | 中等的 |
| 远程代码执行漏洞 | 批判的 | 更新至最新版本 | 低的 |
| 恶意技能 | 高的 | 审核所有技能,仅限允许列表 | 中等的 |
| 证书曝光 | 高的 | 独立账户,秘密管理 | 中等的 |
| 数据泄露 | 高的 | 网络限制、审计日志 | 高的 |
私有模型配置
这里有一个令人不安的事实:如果您将 Groq、GPT、Claude 或 Gemini 的 API 与 OpenClaw 结合使用,那么您的数据并没有保存在本地。这些服务提供商可以看到您的代理发送的每一个提示。.
要真正保护隐私,请使用 Ollama 运行本地模型。虽然速度较慢,功能也较弱,但它确实能保护隐私。.
安全强化型设置结合了以下要素:
- Ollama 可以在本地或您的 VPS 上运行
- 像 Llama 2、Mistral 或 CodeLlama 这样的型号
- 没有外部 API 调用
社区用户注意到,更大的模型会带来性能上的权衡,但对于许多使用场景来说,本地 7B 或 13B 模型无需向外部发送数据即可很好地处理任务。.
审计日志记录和监控
你无法保护你看不见的东西。启用全面日志记录。.
OpenClaw 默认将会话日志存储在磁盘上。会话以 JSON 和 JSONL 文件的形式保存在 ~/.openclaw/agents/ 目录中。默认路径为 /sessions/。.
配置部署以:
- 记录所有工具调用及其时间戳
- 记录命令执行尝试(成功和失败)
- 跟踪文件访问模式
- 监控网络连接
安全策略手册中的结构化日志记录和遥测组件可提供全面的审计跟踪。将日志路由到单独的系统,以防止 OpenClaw 实例遭到入侵而影响您的审计跟踪。.
根据风险承受能力和用例,推荐用于 OpenClaw 部署的安全级别
60 秒内完成强化基线
如果您已经在运行 OpenClaw 并且需要立即加强其安全性,以下是最低限度的要求:
- 停止 OpenClaw 服务
- 编辑配置文件以禁用 system.run 和 shell 工具
- 设置带身份验证的反向代理(nginx + 基本身份验证)
- 重启 OpenClaw,仅绑定到本地主机
- 通过已认证代理进行访问
这虽然不完美,但可以堵住最明显的漏洞。在此基础上,你还可以添加额外的安全措施。.
及时了解 CVE 的最新信息
CISA 发布了 2026 年 1 月 26 日和 2 月 2 日当周的漏洞摘要。.
及时了解安全漏洞需要:
- 在 GitHub 上订阅 OpenClaw 安全公告
- 监控 CISA 漏洞数据库
- 加入社区安全讨论
- 定期更新(先在测试环境中测试)
已记录的漏洞代表已发现的安全问题。请将更新视为至关重要的事项,而非可选项。.
真正阻止攻击的是什么?
安全测试表明,分层控制比单一机制更有效。速率限制可以减少暴力破解尝试。输入验证可以捕获基本的注入攻击。但没有任何单一的控制措施能够解决所有问题。.
有效的策略是采用多层控制。攻击者需要绕过隔离、工具限制、身份验证和输入验证。每一层都会增加攻击难度。.
一条安全原则指出:“在完全随机编程的环境中,你永远无法阻止攻击。” 这或许没错。但你可以让攻击成本足够高,迫使攻击者转向更容易的目标。.
凭证存储和密钥管理
OpenClaw 需要凭据才能代表您与服务进行交互。请勿将凭据硬编码到配置文件中。.
使用环境变量或完善的密钥管理系统。如果您的 OpenClaw 实例遭到入侵,您肯定不希望您的 AWS 密钥、数据库密码和 API 令牌也随之泄露。.
为 OpenClaw 创建权限最低的独立账户。如果代理需要发送电子邮件,请专门为此创建一个电子邮件账户。切勿提供您的个人 Gmail 凭据。.
Docker 注意事项
在 Docker 中运行 OpenClaw 会增加容器级别的安全边界。但不要以为 Docker 本身就能提供足够的保护。.
使用以下命令配置 Docker 部署:
- 容器内的非root用户
- 尽可能使用只读文件系统
- 已删除的功能(–cap-drop=ALL,仅添加所需功能)
- 网络隔离(自定义桥接网络,而非主机模式)
GitHub 上的安全策略手册包含 Docker 特有的加固配置。请使用它们。.
社区安全资源
OpenClaw 生态系统包含多个专注于安全的项目:
- openclaw-security-playbook: 生产就绪的安全配置
- openclaw-detect: 威胁检测工具
- 开爪盾: 输入验证和过滤
- 爪护罩: 运行时监控和保护
这些代表了社区为解决安全问题所做的努力。请评估它们是否适合您的部署。.
FlyPix AI 实现自动化视觉监控
虽然确保像 OpenClaw 这样的本地自主代理的安全需要大量的技术投入,但我们的团队认为,高风险的自动化应该既强大又具有内在的沙盒特性。在通过卫星和无人机图像分析物理世界方面,我们已经开发出…… 飞像素 AI 作为一款专业代理,它能够自动执行目标检测和变更监控,同时不会损害本地系统的完整性。通过将地理空间分析的“智能”转移到我们安全可靠的云平台,您可以在几秒钟内检测数千个目标,节省高达 99.7% 的时间(通常用于手动标注),同时确保您的主要基础设施与处理负载完全隔离。.
我们的平台为建筑、农业和政府等行业的专业人士提供至关重要的安全保障,帮助他们获取真实世界的洞察,同时避免自行托管人工智能脚本带来的风险。无论您是追踪基础设施变化,还是识别广袤区域内的异常情况,我们无需编写代码的界面都能让您训练自定义模型,并通过直观的仪表盘可视化结果。您无需担心本地代理的“致命三重威胁”,只需点击几下,即可利用我们预置的工具从空中获取精准、可操作的数据。.
展望
OpenClaw代表着一种强大的能力——拥有现实世界访问权限的自主AI代理。这种能力理应受到尊重。.
安全不是一劳永逸的检查清单,而是一个持续的过程。新的漏洞会不断涌现,攻击手段也会不断演变,因此您的安全态势也需要随之调整。.
首先从基础做起:隔离部署环境、限制危险工具的使用、实施身份验证并启用日志记录。然后根据您具体的风险状况逐步完善。.
社区正在积极开发安全工具和文档。欢迎参与其中,分享哪些方法有效(哪些无效)。我们都在共同探索解决方案。.
记住:如果某件事感觉过于宽松,那它很可能就是如此。相信你的直觉。做任何事的灵活性也包括造成损害的灵活性。因此,要据此进行设计。.
常问问题
不。OpenClaw 拥有系统级访问权限,因此应该运行在隔离的硬件上——例如虚拟机、虚拟专用服务器或专用设备。社区一致强烈建议不要将其运行在您的日常主力机上。.
多层防御:限制工具访问、实施输入验证、使用速率限制并最小化代理权限。虽然没有绝对完美的防御,但这些控制措施能显著提高攻击难度。.
如果隐私至关重要,请使用 Ollama 提供的本地模型。云 API(GPT、Claude、Gemini)可以看到您的所有提示。本地模型速度较慢、功能较弱,但可以将数据保留在您的基础设施上。.
首先从第二层级开始:隔离部署、网关认证、禁用 shell 执行、基于白名单的工具访问、防火墙规则以及单独的凭据。这样既能保证安全性,又能兼顾合理的实施成本。.
每周检查更新。在非生产环境中测试后,立即应用安全补丁。新的漏洞层出不穷,保持更新至关重要。.
只有通过强大的身份验证、HTTPS、速率限制和全面的监控才能确保安全。社区报告显示,许多实例在保护不足的情况下暴露在外。如果必须暴露,请将其视为重大安全风险。.
立即停止服务。检查审计日志,查找可疑活动。更改代理访问过的所有帐户的凭据。在具有适当安全控制的隔离环境中重建,然后再重新启动。.