← 返回博客2026年OpenClaw安全性:风险、修复方案及如何保持安全

2026年OpenClaw安全性:风险、修复方案及如何保持安全

彭博社称其为"网络安全噩梦",呼应了 Andrej Karpathy 对 OpenClaw 的警告——大约 40 万行"氛围编码"软件以 root 权限运行在用户机器上。其中一个案例中,一个智能体甚至被骗向诈骗者转账 $25,000。

OpenClaw 很强大,但如果配置不当,也很危险。以下是你需要了解的内容,以及如何保护自己。

真实风险

不绕弯子了。OpenClaw 在你的机器上运行,可深度访问你的文件、工具,乃至你的金融账户。风险是真实存在的:

提示注入 —— 电子邮件、网站或群聊中的恶意文本可以劫持你的智能体,使其执行非预期的命令。最近有人在一个 Telegram 群组中发布了一条精心构造的消息,试图让群内所有 AI 智能体转账

🔓 过度权限 —— 默认情况下,OpenClaw 可以读取和修改你系统上的任何文件,可以浏览网页、执行代码并与 API 交互。如果某个技能是恶意的,它拥有同等的访问权限

📦 未经审计的技能 —— ClawHub 上的技能生态系统由社区驱动,大多数技能未经过安全审计。一个标注为"天气查询"的技能,理论上可能会窃取你的文件

🌐 网络暴露 —— 部分用户不小心将 OpenClaw 实例暴露在公网上。最近一次扫描发现了数千个可公开访问的实例

🤖 智能体自主性 —— 智能体越自主,一次错误决策造成的损害就越大。一个能访问你的邮件、银行和社交媒体的智能体,只需一次提示注入就可能酿成灾难

安全检查清单

以下是在不削弱智能体实用性的前提下加固安全的方法:

1. 最小权限原则

🔐 不要授予 root 权限 —— 以非 root 用户身份运行 OpenClaw,并限制其权限

📁 沙箱化工作区 —— 将文件访问限制在特定目录。你的智能体不需要访问 /etc/ 或你的 SSH 密钥

🔑 API 密钥隔离 —— 为不同服务使用独立的 API 密钥。一旦某个密钥泄露,影响范围也会被控制在最小

2. 安装前审计每个技能

📋 阅读代码 —— 在从 ClawHub 安装任何技能之前,先阅读脚本。留意 curl | bashrm -rf 或任何向未知域名发起的网络请求

🚫 警惕权限提升 —— 要求管理员或 root 权限的技能应被高度怀疑

优先选择热门且持续维护的技能 —— 较高的安装量和活跃的维护通常(但不总是)意味着更好的安全性

3. 网络安全

🔒 永远不要将 OpenClaw 暴露在公网 —— 始终在防火墙后运行。如需远程访问,请使用 SSH 隧道或 VPN

🛡️ 使用带身份验证的反向代理 —— 如果必须暴露任何接口,至少在 nginx 后面加上基本认证

📡 监控出站连接 —— 了解你的智能体正在连接什么。意外的出站流量是危险信号

4. 财务保护

💳 永远不要让智能体直接访问支付方式 —— 如果智能体管理财务,请使用只读 API 密钥或设有消费限额的专用账户

🏦 账户隔离 —— 为智能体管理的交易创建专用银行账户或支付方式,并设置硬性上限

要求人工审批交易 —— 为任何涉及资金的操作设置确认流程

5. 提示注入防御

🛑 谨慎对待群聊 —— 智能体监控的群组中,任何消息都可能包含注入尝试

📧 电子邮件是攻击向量 —— 收到的邮件可能包含隐藏指令。将你的智能体配置为将邮件内容视为不可信

🔍 审查智能体操作 —— 定期检查智能体的操作日志,留意任何异常

房间里那头 40 万行代码的大象

Karpathy 提出了一个有效的观点:OpenClaw 的代码库体量庞大,且大部分是"氛围编码"完成的,尚未经历企业级软件通常所需的安全审计。

这并不意味着 OpenClaw 在设计上不安全,而是说:

你的配置安全性,主要取决于你如何配置它,而非代码库本身。

一个经过适当沙箱化、权限受限、使用经审计技能的 OpenClaw 实例是相当安全的。而一个以 root 身份运行、随意安装来自互联网的技能的开箱即用安装,则是一颗定时炸弹。

托管服务的价值所在

关于自托管,有一个令人不安的事实:大多数人并不具备妥善保护 OpenClaw 这类系统所需的专业知识。

搭建适当的沙箱、防火墙规则、权限边界、监控体系以及定期安全更新,是一项全职工作。这正是安全工程师年薪 $200K+ 所做的事情。

MyClaw.ai 为你处理这一安全层。托管基础设施具备适当的隔离、自动更新、异常行为监控,以及零停机安全补丁应用。你的智能体拥有同等能力,但攻击面大幅缩小。

你不必在能力与安全之间二选一。无论是自托管还是托管服务,只要配置得当,两者可以兼得。

结语

OpenClaw 的安全风险是真实存在的,但可以管控。那些踩坑的人,绝大多数都犯了以下错误:

  1. 以 root 身份运行且没有沙箱
  2. 不读代码就安装未经审计的技能
  3. 将实例暴露在公网
  4. 给智能体不受限制的财务访问权限

遵循上述检查清单,你就能避开 95% 的惨痛案例。OpenClaw 是一把强力工具——就像任何强力工具一样,危险不在于工具本身,而在于你如何使用它。

省掉配置,立即运行 OpenClaw。

MyClaw 提供全托管的 OpenClaw(Clawdbot)实例 —— 始终在线,零运维。$19/月起。