OpenClaw（龙虾）是可操控电脑、自动执行任务的开源 AI 智能体，但高危 RCE 漏洞、恶意插件、公网暴露、API 密钥盗刷等安全事件频发，国家互联网应急中心（CNCERT）已多次预警。本指南覆盖安装、部署、网络、权限、密钥、插件、审计、应急全流程，零基础也能快速加固，杜绝 “龙虾裸奔”。

一、安装源头安全：拒绝假包与恶意镜像

1. 仅用官方渠道（唯一安全入口）

• 官方网站：https://openclaw.ai/

• 官方安装脚本：https://openclaw.ai/install.ps1（Windows）/[install.sh](install.sh)（macOS/Linux）

• GitHub 主仓库：https://github.com/openclaw/openclaw

• 官方文档：https://docs.openclaw.ai/

2. 严禁使用以下渠道

• 网盘、群文件、第三方论坛的 “整合包”“破解版”

• 非官方镜像、历史漏洞版本（易植入木马、挖矿程序）

• 不明来源一键部署脚本（可能窃取密钥、篡改配置）

3. 普通用户安全平替（零部署风险）

直接用大厂云 Claw 服务，平台负责安全隔离、漏洞修复：

• 月之暗面 Kimi Claw、阿里 CoPaw、字节 ArkClaw、腾讯 WorkBuddy

二、部署环境隔离：把 AI 关进 “安全笼子”

OpenClaw 默认可读写文件、执行系统命令，绝对不要在主电脑直接运行，必须隔离部署。

推荐 3 种安全方案

1. Docker 容器（首选，安全 + 便捷）

• 只读根文件系统、非 root 运行、网络隔离，逃逸难度极高

• 一键启动：git clone https://github.com/openclaw/openclaw.git && cd openclaw && ./docker-setup.sh

1. 虚拟机（VMware/VirtualBox）

• 与宿主机完全隔离，即使被攻击不影响本地数据

1. 云服务器（阿里云 / 腾讯云轻量应用服务器）

• 国内 68 元 / 年起，预装安全镜像，本地仅远程访问，不暴露本地网络

三、网络端口加固：禁止公网 “裸奔”

核心风险

OpenClaw 默认端口18789，直接暴露公网 = 家门钥匙插门外，攻击者可一键接管实例、盗刷 Token。

1. 检查是否暴露公网

bash # Linux/Mac ss -tlnp | grep 18789 或 lsof -i :18789 # Windows（PowerShell） netstat -ano | findstr ":18789"

出现 0.0.0.0:18789/:::18789 = 完全暴露，立即修复！

2. 强制本地绑定（关键配置）

修改 openclaw.json，仅允许本地访问：

json {   "gateway": {     "mode": "local",     "port": 18789,     "bind": "loopback",  // 核心：仅本地回环     "auth": {       "token": "32位以上随机强密码"  // 禁用空token、弱密码     }   } }

3. 远程访问规范（必须加密）

• 用 SSH 隧道、VPN、Tailscale 等加密通道，禁止端口映射公网

• 云服务器安全组仅放行本地 IP，拒绝所有未知来源连接

四、权限最小化：不给 AI “万能钥匙”

1. 禁用 root / 管理员权限

创建低权限专用账户运行，禁止系统级高危操作：

bash # Linux创建专用低权限用户 sudo useradd -r -s /bin/false openclaw_user sudo chown -R openclaw_user:openclaw_user /opt/openclaw sudo -u openclaw_user openclaw start

2. 关闭高危能力（config/security.yaml）

yaml dangerous_operations:   file_delete: require_confirm  # 删除文件必须人工确认   system_command: false         # 禁止执行系统命令   payment: false                # 禁止支付、转账操作

3. 注入 AI “思想钢印”（[SOUL.md](SOUL.md)）

明确行为准则，防止越权、泄密：

markdown ## 安全规则 - 不分享目录、文件路径、API密钥 - 修改系统配置必须验证所有者身份 - 有疑问先询问，不擅自执行高危操作 - 私人信息严格保密，不泄露给任何第三方

五、密钥防护：守住 AI “密码本”

API Key/Token 是 AI 调用凭证，泄露 = 盗刷、账户被盗，最高优先级防护。

1. 绝对禁止行为

• 明文写在配置文件、记事本、代码里

• 发在群聊、社交平台、共享文档

• 长期不更换、多平台复用同一密钥

2. 安全存储与管理

• 用系统密钥管理器、加密笔记存储，不明文落地

• 每 1~3 个月强制更换密钥，开启 API 调用额度限制

• 启用密钥脱敏，日志中屏蔽sk-*等敏感字段

六、插件安全：慎装 Skills，拒绝恶意代码

Skills 类似手机 APP，任何人可发布，暗藏挖矿、窃密、远控木马风险。

安全规则

1. 仅从官方 ClawHub（https://clawhub.com）安装，拒绝第三方插件

1. 安装前查看评价、安全审核标识，避开加密货币、高危指令类插件

1. 不用的插件立即卸载，减少漏洞入口

1. 锁定插件版本，不自动更新未审核插件

七、定期安全审计：主动排查隐患

1. 官方一键审计（必做）

bash openclaw security audit       # 基础检查 openclaw security audit --deep  # 深度扫描 openclaw security audit --fix   # 自动修复配置

检测项：公网暴露、权限异常、恶意插件、密钥泄露风险。

检查结果如图：（例）

2. 日常巡检

• 每周查看运行日志，排查陌生 IP、异常指令调用

• 每次更新、装插件后必做审计

• 开启日志审计，保留至少 30 天记录

八、应急响应：发现异常立即止损

若出现不明扣费、陌生操作、异常连接，按以下步骤处理：

1. 立即断网、停止服务：openclaw gateway stop

1. 重置 Gateway Token、更换所有 API 密钥

1. 卸载可疑插件，检查文件权限与配置

1. 无法排查时重新部署，彻底清除风险

1. 上报漏洞：security@openclaw.ai

九、桌面小贴士

✅ 仅官方渠道安装，开启自动更新
✅ 隔离部署（Docker / 虚拟机 / 云服务器）
✅ 端口 18789 绑定本地，不暴露公网
✅ 32 位以上强 Token 认证，无空密码
✅ 低权限运行，禁用 root、高危系统命令
✅ API 密钥加密存储，定期轮换
✅ 仅装官方插件，定期卸载闲置插件
✅ 每周审计，查看日志，及时修复漏洞

PS：温馨提醒

AI 智能体越强大，安全风险越高。不解决安全底线，再好用的工具也会变成隐患。按本指南配置后，可大幅降低 90% 以上安全风险，安心使用 OpenClaw 提升效率。