OpenClaw 是开源 AI 智能体执行框架,默认面向单用户可信环境,存在网关暴露、权限失控、沙箱关闭等安全风险。基于官方威胁模型,梳理配置错误、权限隔离缺失及插件投毒等核心风险点,并提供部署加固、权限隔离、沙箱开启、插件管控及审计监控等落地规范,强调坚守网关不暴露、单用户隔离、沙箱必开启等原则以确保安全。
OpenClaw 作为当下热门的开源 AI 智能体执行框架,能让大模型直接操控文件、浏览器、系统命令,成为真正能'落地干活'的数字助手。但便捷的背后,它的安全模型与传统应用完全不同——默认面向单用户可信环境、非多租户隔离、沙箱默认关闭,一旦配置不当,极易引发权限失控、数据泄露、系统被接管等风险。
本文结合 OpenClaw 官方安全策略(SECURITY.md)与威胁模型,梳理核心风险点,并给出可直接落地的安全使用规范,让你在享受 AI 效率的同时,守住安全底线。
OpenClaw 的所有安全规则,都基于「单用户可信操作员」核心设计,这是安全使用的前提:
非多租户设计 网关不做用户间权限隔离,通过网关认证的用户,默认是完全可信操作员,session 仅做路由,不做权限校验。
网关与节点同信任域 网关是控制平面,节点是执行平面,配对后节点拥有网关级别的系统权限。
插件 = 可信代码 安装 / 启用插件,等同于授予插件网关宿主同级系统权限,插件读写文件、执行命令均为预期行为。
沙箱默认关闭 命令执行优先在宿主系统运行,而非沙箱,降低安全门槛但提升风险。
网关仅允许本地访问
默认绑定 127.0.0.1 本地回环,严禁直接暴露公网。
违背这个模型(如多用户共用网关、公网暴露),所有安全防护都会失效。
结合官方安全文档与公开威胁情报,OpenClaw 的风险集中在配置错误、权限失控、生态风险三大类:
0.0.0.0 公网 IP,会被 Shodan、网络扫描工具批量发现,成为攻击目标。agents.defaults.sandbox.mode 默认 off,AI 可直接执行宿主系统命令。
按照 OpenClaw 官方安全指导,结合行业加固方案,按以下步骤配置,可规避 90% 以上风险:
openclaw gateway run --bind loopback
远程访问禁用公网暴露: 用SSH 隧道或Tailscale内网穿透,保持网关本地监听,杜绝公网扫描。
开启网关强认证:
配置密码/Token 认证,禁用 dangerouslyDisableDeviceAuth 危险选项。
agents.defaults.sandbox.mode="all"
限制文件操作范围:
开启 tools.exec.applyPatch.workspaceOnly=true、tools.fs.workspaceOnly=true,仅允许操作工作区目录。
禁用子代理越权:
关闭 sessions_spawn 权限,避免权限委托扩散。
白名单机制:
用 plugins.allow 指定仅信任的插件 ID,拒绝未知插件。
来源校验: 仅安装官方认证插件,禁用第三方未审核插件/技能。
最小权限: 不授予插件超出需求的系统权限,定期清理无用插件。
升级 Node.js: 必须使用v22.12.0 及以上版本,修复已知 DoS、权限绕过漏洞。
Docker 安全部署:
用非 root 用户运行,添加 --read-only、--cap-drop=ALL 限制容器权限。
临时目录隔离:
仅使用 /tmp/openclaw 官方临时目录,禁止随意读写系统临时文件。
定期安全扫描:
执行 openclaw security audit --deep 检测风险配置,用 --fix 自动修复。
操作留痕: 开启全量操作日志,记录 AI 执行的命令、文件操作,便于溯源。
敏感信息加密: 配置文件中的 API 密钥、认证信息加密存储,禁止明文暴露。
在漏洞上报、风险排查时,以下情况 OpenClaw 官方不认定为漏洞,避免无效排查:
/export-session 写入路径);dangerous* 配置项导致的安全弱化。
OpenClaw 的强大,建立在「单用户可信环境」的安全假设之上。它不是'开箱即用零风险'的工具,而是需要合规部署、严格配置的专业 AI 框架。
需要坚守网关不暴露、单用户隔离、沙箱必开启、插件可信、权限最小化五大原则,安全使用 OpenClaw,让 AI 助手成为效率工具,而非安全隐患。
参考资料:
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
生成新的随机RSA私钥和公钥pem证书。 在线工具,RSA密钥对生成器在线工具,online
基于 Mermaid.js 实时预览流程图、时序图等图表,支持源码编辑与即时渲染。 在线工具,Mermaid 预览与可视化编辑在线工具,online
查找任何按下的键的javascript键代码、代码、位置和修饰符。 在线工具,Keycode 信息在线工具,online
JavaScript 字符串转义/反转义;Java 风格 \uXXXX(Native2Ascii)编码与解码。 在线工具,Escape 与 Native 编解码在线工具,online
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。 在线工具,JavaScript / HTML 格式化在线工具,online
Terser 压缩、变量名混淆,或 javascript-obfuscator 高强度混淆(体积会增大)。 在线工具,JavaScript 压缩与混淆在线工具,online