OpenClaw 作为当下热门的开源 AI 智能体执行框架,能让大模型直接操控文件、浏览器、系统命令,成为真正能'落地干活'的数字助手。但便捷的背后,它的安全模型与传统应用完全不同——默认面向单用户可信环境、非多租户隔离、沙箱默认关闭,一旦配置不当,极易引发权限失控、数据泄露、系统被接管等风险。
本文结合 OpenClaw 官方安全策略(SECURITY.md)与威胁模型,梳理核心风险点,并给出可直接落地的安全使用规范,让你在享受 AI 效率的同时,守住安全底线。
一、先搞懂:OpenClaw 官方安全信任模型
OpenClaw 的所有安全规则,都基于「单用户可信操作员」核心设计,这是安全使用的前提:
-
非多租户设计 网关不做用户间权限隔离,通过网关认证的用户,默认是完全可信操作员,session 仅做路由,不做权限校验。
-
网关与节点同信任域 网关是控制平面,节点是执行平面,配对后节点拥有网关级别的系统权限。
-
插件 = 可信代码 安装 / 启用插件,等同于授予插件网关宿主同级系统权限,插件读写文件、执行命令均为预期行为。
-
沙箱默认关闭 命令执行优先在宿主系统运行,而非沙箱,降低安全门槛但提升风险。
-
网关仅允许本地访问 默认绑定
127.0.0.1本地回环,严禁直接暴露公网。
违背这个模型(如多用户共用网关、公网暴露),所有安全防护都会失效。
二、OpenClaw 核心安全风险(官方 + 实战威胁)
结合官方安全文档与公开威胁情报,OpenClaw 的风险集中在配置错误、权限失控、生态风险三大类:
1. 网关公网暴露(高危)
- 风险:将网关绑定
0.0.0.0公网 IP,会被 Shodan、网络扫描工具批量发现,成为攻击目标。 - 危害:未授权访问者可直接操控 AI 执行命令、窃取数据,甚至接管服务器。
- 官方认定:公网暴露属于违规部署,不在安全保障范围。
2. 权限隔离缺失(高危)
- 风险:多用户共用同一网关/宿主,普通用户可越权查看他人会话、操作敏感数据。
- 危害:垂直/水平越权,打破'仅管理员可操作'的权限规则。
- 官方规则:不支持多租户隔离,共用网关导致的权限问题不属于漏洞。
3. 沙箱默认关闭,命令执行无限制(高危)
- 风险:
agents.defaults.sandbox.mode默认off,AI 可直接执行宿主系统命令。 - 危害:AI 被诱导或误操作时,可删改核心数据、泄露敏感文件。
4. 插件/技能生态投毒(中高危)
- 风险:ClawHub 插件市场存在恶意插件,伪装成工具窃取 API 密钥、系统权限。
- 危害:插件获得系统权限后,可后台窃取数据、植入后门。
5. 敏感配置信息泄露(中危)
- 风险:大模型 API 密钥、网关认证信息明文存储在配置文件中。
- 危害:配置文件被读取后,攻击者可控制 AI、盗用模型额度。
6. 提示词注入与 AI 误操作(中危)
- 风险:纯提示注入无权限边界绕过,官方不计入漏洞,AI 易被诱导执行违规操作。
- 危害:AI'幻觉'导致误删文件、泄露隐私、执行高危指令。





