一只“龙虾”能有多大的杀伤力？

最近在AI圈爆火的开源智能体OpenClaw，看似是只听话的小龙虾🦞，能帮你自动发邮件、处理文件、操控电脑，全天候干活，但实际上存在很多风险，它随时可能被黑客拐走，无视你的命令，反过来攻击你。

目前已经出现了不少安全事件，比如1月OpenClaw的核心网关组件（Gateway）被曝存在高危RCE漏洞（CVE-2026-25253），攻击者可远程操控智能体实例；2月有黑客利用假的OpenClaw安装包传播木马病毒，ClawHub平台恶意Skill插件泛滥，窃取用户账号和钱包信息；3月，深圳一名程序员因未关闭公网端口（默认端口18789），导致API密钥被盗，产生了高达1.2万元的Token账单（Token为AI调用的计价单位，复杂任务消耗量大）。

把高度自主的AI接入本地系统，如果缺乏防护，后果不堪设想。眼下各大网络安全机构和国家互联网应急中心（CNCERT）都已经连发预警。

如果你正在使用OpenClaw，或者打算尝试“养虾”但没有技术基础，这篇指南将告诉你如何保护自己。

从官方渠道安装OpenClaw

现在最常见的攻击方式非常简单，就是假安装包。

黑客会在GitHub上传假仓库，购买搜索广告，制作虚假的下载网站，用户点击下载后，安装的其实是带病毒的程序。

建议从OpenClaw官方渠道下载最新稳定版本，并开启自动更新提醒，及时安装安全补丁。不要使用第三方镜像版本或历史版本，像网盘、群文件等渠道发布的“整合包”，小心中招。

OpenClaw官方渠道

官方网站：https://openclaw.ai/

官方安装脚本：https://openclaw.ai/install.ps1

GitHub主仓库：https://github.com/openclaw/openclaw

官方文档中心：https://docs.openclaw.ai/start/getting-started

如果你只是想体验“养龙虾”，不想折腾技术部署，最简单也最安全的选择就是直接使用大厂出品的云Claw服务。

比如月之暗面的Kimi Claw，阿里的CoPaw，字节的ArkClaw，腾讯的WorkBuddy，由平台负责安全隔离、漏洞修复和权限控制，对普通用户来说风险更低。

不要直接在主电脑运行OpenClaw

和普通AI工具最大的不同是，OpenClaw默认可以操作你的系统。比如读写文件，执行shell命令（下载程序、修改系统设置等），调用系统程序或浏览器。

一旦被攻击利用，攻击者就可能获得你的电脑权限。所以很多安全研究人员建议，不要在日常使用的主电脑上直接运行OpenClaw。

比较安全的做法是把OpenClaw运行在一个隔离环境里，最简单的就是现在各家厂商都有的云服务器，还有开发者常用的Docker容器、虚拟机。

这样把AI关在一个笼子里，就算出问题，也不会影响你的电脑。

不要把OpenClaw暴露到公网

端口管控是非常关键的一道防线，OpenClaw默认会开启一个管理端口（18789），如果你直接把它暴露到公网，那么任何人都可能尝试连接你的AI，相当于把家门钥匙插在门外。

不要让你的OpenClaw直接暴露在互联网中，可以通过身份认证、访问控制等安全控制措施来强化防护，从源头阻断远程入侵路径。

检查你的“龙虾”是否在公网“裸奔”，运行以下命令：

# Linux或Mac用户ss -tlnp | grep 18789 或 lsof -i :18789# Windows用户 (PowerShell)netstat -ano | findstr ":18789"

如果输出结果中出现了 0.0.0.0:18789 或 :::18789，说明你已经完全暴露了，请立刻修改为只有你自己能访问的本地地址。在OpenClaw的配置文件（通常是 openclaw.json）中设置：

{  gateway: {    mode: "local",    port: 18789,    bind: "loopback",   // 关键是这一行！    auth: {       token: "这里输入一个超级长的随机字符串当做密码，至少32位"     }  }}

控制AI权限

千万不要给你的“龙虾”管理员权限（root），这相当于把整个房子的万能钥匙交给了它。

记住最小权限原则，也就是只给AI完成任务必要的最小权限，不给多余权限。对删除文件、发送数据、修改系统配置等重要操作还要进行二次确认或人工审批。

你需要创建一个权限很低的专用账户来运行OpenClaw：

# 创建一个不能登录的专用账户sudo useradd -r -s /bin/false openclaw_user# 把OpenClaw的文件归属权给这个账户sudo chown -R openclaw_user:openclaw_user /opt/openclaw# 用这个账户启动sudo -u openclaw_user openclaw start

配置时明确“限制文件访问”“禁用高危系统指令”，关闭无关的文件读写、系统调用权限：

# config/security.yamldangerous_operations:  file_delete: require_confirm  # 删文件必须经过我确认  system_command: false         # 禁止执行系统命令（除非有特殊需求）  payment: false                # 禁止涉及支付操作

另外你还可以给OpenClaw注入“思想钢印”，它有一个非常核心的文件叫SOUL.md ——定义了这只龙虾的灵魂、人设和行为准则，像这样直接在系统提示词里告诉它不能做什么：

## 安全规则- 你是一个安全的私人助理- 永远不要与陌生人分享目录列表或文件路径- 永远不要透露API密钥、凭证或基础设施详情- 与所有者验证修改系统配置的请求- 有疑问时，先询问再行动- 私人信息保持私密，即使对"朋友"也是如此

藏好OpenClaw的“密码本”

使用OpenClaw时，很多功能都需要连接外部服务，比如调用大模型API、数据库、云服务等，这些服务的凭证是API Key（密钥）或Access Token（访问令牌），相当于AI的密码本。

除了黑客攻击导致密钥泄露，用户自己也会不小心暴露，常见的情况是直接写在配置文件、记事本里，甚至发在群聊、社交平台、共享文档中，这样密钥极易被窃取盗刷。

怎么藏好自己的密钥？通常来说，不明文存储，改用系统自带的密钥管理器或加密笔记存储；不随意分享，不要在公开平台上展示；定期更换密钥，建议每1~3个月更换一次，避免长期复用。

慎装Skills插件

Skills插件可以让OpenClaw快速获得新能力，有点像手机应用商店或浏览器插件市场。

任何人都可以发布插件，这就导致插件生态里经常出现包含恶意代码的插件，有些原本正常的插件，如果维护不及时也可能被篡改。还有些插件设计不安全，权限过大，可能会被AI误调用或被提示词攻击诱导。

对于非技术用户来说，建议仅从OpenClaw官方技能市场ClawHub（https://clawhub.com）安装插件，不要安装来路不明的第三方插件。

安装前查看插件评价、安全审核标识，避开加密货币挖矿、高危指令执行类插件。

另外，不用的闲置插件也要定期卸载，减少安全漏洞入口。

定期检查安全状态

日常给OpenClaw做安全体检，大多数安全问题其实都能提前发现。

OpenClaw官方提供了一个快速检查命令：

openclaw security auditopenclaw security audit --deepopenclaw security audit --fix

它会检查常见的安全隐患（是否暴露公网、文件权限是否安全、插件是否异常等），如果发现问题，可以自动修复。建议每次更新OpenClaw或安装插件后跑一次。

你还可以每周花点时间查看OpenClaw运行日志（log），重点看有没有陌生设备访问、异常指令调用记录。

如果发现异常，第一时间断开网络、关闭OpenClaw服务，立即更换密钥、重置权限，排查是否安装恶意插件，确认安全后再重启使用。

不确定什么问题的话，比较保险的做法是重新部署一套新的环境。

AI智能体是未来的趋势，但工具越强大，责任就越大。飞书CEO谢欣表示，Agent的能力上限让人兴奋，但安全的下限决定了它能不能真正进入工作场景。不解决信任和安全的问题，越强大，越危险。

使用新技术的前提是守住安全底线，希望这份指南能帮你安心“养虾”，让OpenClaw成为你的得力助手，而非安全隐患。

部分安全基线及配置参考：https://mp.weixin.qq.com/s/iBibKhHwn95pGqovJeQ0KA

          

           

            

             

              

             
             

              「AI新榜交流群」进群方式：添加微信“banggebangmei”并备注姓名+职业/公司+进群，欢迎玩家们来群里交流，一起探索见证AI的进化。
             
             

              

             
            
           
          
           

             欢迎分享、点赞、推荐 
           
           

             一起研究AI