← 返回博客OpenClaw Security in 2026: Risks, Fixes, and How to Stay Safe

OpenClaw Security in 2026: Risks, Fixes, and How to Stay Safe

Bloomberg 称其为"一场网络安全噩梦",呼应了 Andrej Karpathy 对 OpenClaw 的警告——大约 40 万行 vibe-coded 软件以 root 权限运行在用户的机器上。在一个案例中,一个 agent 甚至被骗向诈骗者转账了 $25,000。

OpenClaw 功能强大,但如果配置不当,也同样危险。以下是你需要了解的信息,以及如何保护自己。

真实的风险

我们不粉饰太平。OpenClaw 运行在你的机器上,能够深度访问你的文件、工具,甚至可能包括你的金融账户。风险是真实存在的:

提示注入 — 电子邮件、网站或群聊中的恶意文本可以劫持你的 agent 执行非预期的命令。最近有人在一个 Telegram 群组中发布了一条精心构造的消息,试图让群中的每个 AI agent 都发送转账

🔓 过度授权 — 默认情况下,OpenClaw 可以读取和修改你系统上的任何文件。它可以浏览网页、执行代码并与 API 交互。如果一个技能是恶意的,它就拥有同样的访问权限

📦 未经审计的技能 — ClawHub 上的技能生态是社区驱动的。大多数技能未经过安全审计。一个标注为"天气查询"的技能理论上可以窃取你的文件

🌐 网络暴露 — 一些用户不小心将他们的 OpenClaw 实例暴露在公共互联网上。最近的一次扫描发现了数千个可公开访问的实例

🤖 Agent 自主性 — 你的 agent 越自主,单次错误决策可能造成的损害就越大。一个能访问你邮箱、银行和社交媒体的 agent,距离灾难只差一次提示注入

安全检查清单

以下是在不削弱 agent 实用性的前提下加固安全的方法:

1. 最小权限原则

🔐 不要给予 root 权限 — 以非 root 用户运行 OpenClaw,并限制权限

📁 沙箱化工作空间 — 将文件访问限制在特定目录。你的 agent 不需要访问 /etc/ 或你的 SSH 密钥

🔑 API 密钥隔离 — 为不同服务使用独立的 API 密钥。如果其中一个泄露,影响范围是有限的

2. 安装前审计每个技能

📋 阅读代码 — 在从 ClawHub 安装任何技能之前,阅读其脚本。留意 curl | bashrm -rf 或任何指向未知域名的网络请求

🚫 警惕权限提升 — 要求管理员/root 权限的技能应被视为高度可疑

优先选择热门且持续维护的技能 — 更高的安装量和活跃的维护通常(但并非总是)意味着更好的安全性

3. 网络安全

🔒 永远不要将 OpenClaw 暴露在公共互联网上 — 始终运行在防火墙之后。如果需要远程访问,请使用 SSH 隧道或 VPN

🛡️ 使用带认证的反向代理 — 如果必须暴露任何接口,至少将其放在带有基本认证的 nginx 之后

📡 监控出站连接 — 了解你的 agent 正在连接什么。意外的出站流量是一个危险信号

4. 财务保护

💳 永远不要给你的 agent 直接访问支付方式 — 如果你的 agent 管理财务,请使用只读 API 密钥或设有消费限额的专用账户

🏦 独立账户 — 为 agent 管理的交易创建专用的银行账户或支付方式,并设定硬性上限

交易需人工审批 — 为任何涉及资金的操作设置确认流程

5. 提示注入防御

🛑 警惕群聊 — 你的 agent 监控的群组中的任何消息都可能包含注入尝试

📧 电子邮件是一个攻击向量 — 收到的邮件可能包含隐藏的指令。将你的 agent 配置为把邮件内容视为不可信的

🔍 审查 agent 操作 — 定期检查你的 agent 的操作日志,排查任何异常行为

房间里那头 40 万行代码的大象

Karpathy 提出了一个合理的观点:OpenClaw 的代码库规模庞大,且大部分是 vibe-coded 的。它尚未经历企业级软件通常所需的那种安全审计。

这并不意味着 OpenClaw 在设计上就是不安全的。它意味着:

你的安装安全性主要取决于你如何配置它,而非代码库本身。

一个经过适当沙箱化、权限限制并使用已审计技能的 OpenClaw 实例是相当安全的。而一个以 root 运行、随意安装互联网上各种技能的开箱即用安装则是一颗定时炸弹。

托管服务的价值所在

关于自托管,有一个令人不安的事实:大多数人并不具备正确保护 OpenClaw 这类系统的专业知识。

设置适当的沙箱、防火墙规则、权限边界、监控以及定期安全更新是一项全职工作。这正是安全工程师年薪 $200K+ 所做的工作。

MyClaw.ai 为你处理这一安全层。托管基础设施提供适当的隔离、自动更新、异常行为监控,以及零停机安全补丁。你的 agent 拥有同样的能力,但攻击面大幅减少。

你不应该在能力和安全之间做选择。通过正确的设置——无论是自管理还是托管——你可以两者兼得。

总结

OpenClaw 的安全风险是真实的,但可以管控。被坑的人绝大多数是那些:

  1. 以 root 运行且没有沙箱化的
  2. 不阅读代码就安装未经审计的技能的
  3. 将实例暴露在公共互联网上的
  4. 给 agent 不受限制的财务访问权限的

遵循上述检查清单,你将避免 95% 的恐怖故事。OpenClaw 是一个强力工具——就像任何强力工具一样,危险不在于工具本身,而在于你如何使用它。

省掉配置,立即运行 OpenClaw。

MyClaw 提供全托管的 OpenClaw(Clawdbot)实例 —— 始终在线,零运维。$19/月起。

OpenClaw Security in 2026: Risks, Fixes, and How to Stay Safe | MyClaw.ai