报告行业投资评级 * 报告未对特定行业给出明确的“推荐”、“中性”或“回避”评级 [1][4][5][46] 报告的核心观点 * 核心观点：OpenClaw的安全性并非简单的“是”或“否”，而是一个取决于安全运维水平的变量 [2][46] * 风险现状：OpenClaw在默认安装状态下存在较高的安全风险，其核心设计赋予AI执行代码、访问文件系统等强大能力，同时也构成了潜在的攻击面 [2][8][46] * 解决方案：通过系统性的安全配置，可以将OpenClaw的风险降至可控范围，报告提出的九项安全实践（权限最小化、输入验证、网络控制等）构成了一个有效的纵深防御体系 [2][46] * 事件定性：国家互联网应急中心（CNCERT）的预警并非禁止新技术应用，而是为快速发展的AI应用踩下必要的刹车，旨在引导安全落地 [2][50] * 最终结论：安全是AI真正落地应用的基石，在将强大权限赋予AI之前，必须为其配置完善的安全措施 [2][50] 根据相关目录分别进行总结 一、OpenClaw安全问题为什么突然被关注 * 2026年3月10日，国家互联网应急中心（CNCERT）及多家官方媒体集体报道了OpenClaw的安全风险 [1][8] * OpenClaw并非普通聊天机器人，它具备执行系统命令（exec）、访问网页（web_fetch）、读写文件系统等强大工具，其AI Agent拥有的权限可能超过公司许多正式员工 [1][8] * 在默认或不当配置下，OpenClaw存在较高安全风险，可能引发命令注入攻击、敏感信息泄露、服务器端请求伪造（SSRF）和权限滥用等严重后果 [8][9] 二、OpenClaw安全配置“十诫” * 权限最小化原则：使用低权限账号运行OpenClaw，限制其文件访问范围，对可执行命令设置白名单 [8][10] * 严格的输入验证与过滤：设计交互时让用户选择动作而非直接输入命令，对所有用户输入进行过滤，清除可能用于破坏的特殊符号，安装Skills前需检查VirusTotal与OpenClaw的评级 [11] * 网络访问控制：通过防火墙规则限制OpenClaw的网络访问，严禁其访问内网地址，可配置网址白名单 [12] * 身份认证与访问控制：在群聊等场景中识别指令发起者身份，并根据不同身份分配差异化的AI工具使用权限 [13] * 安全审计与日志记录：详细记录所有用户交互和AI操作，设置监控告警，并对日志中的敏感信息进行脱敏处理 [14] * 资源限制：限制单位时间内的工具调用次数、设置工具调用超时时间，并限制单次文件读写的大小 [15] * 沙箱与隔离技术：建议使用Docker等容器技术运行OpenClaw以实现严格隔离，并建议每次对话后销毁容器以保证环境干净 [16] * 敏感信息脱敏：通过环境变量注入API密钥等敏感信息，并确保AI无法读取，在返回结果前自动屏蔽可能泄露的敏感信息 [17] * 定期安全评估：将OpenClaw服务纳入公司定期漏洞扫描计划，并在上线前或重大更新后进行渗透测试 [18][19] * 用户教育与透明化：在交互界面明确提示AI的能力与风险，并制定使用规则和免责声明 [20] 三、OpenClaw安全落地实战 * 基线基础安全配置：修改配置文件以实现基础安全设置，包括限制访问、强制认证、会话隔离、禁用高危工具、限制文件操作、命令执行需确认、群聊仅响应被@等 [22][31] * 网络暴露防护：根据使用场景选择配置，仅本地使用最安全；远程访问推荐通过Tailscale安全隧道；绝对禁止将服务直接暴露在公网，若必须公网访问需进行额外加固（如修改默认端口、配置防火墙白名单） [25][26][28][29][32][35] * 沙箱配置（核心防护）：启用沙箱将AI工具执行进程放入Docker容器运行，防止直接影响宿主机；并可进一步配置网络隔离，防止AI通过内部网络进行攻击 [32][34][36] * 利用安全工具进行恶意Skills防护：可使用Skill Vetter或命令行工具ClawSec在安装前扫描Skills安全；选择和安装Skills需核查三层内容：VirusTotal安全报告（优先选择无标记且每日重新扫描的）、GitHub仓库真实性（拒绝无仓库或仅提供网盘下载的）、精读SKILL.md关键章节（对要求下载外部文件、强制安装辅助工具等高风险特征直接拒绝） [37][38][39][41] * 多Agent隔离：核心原则是为不同用户创建独立的Agent和独立工作区，为公开访问的Agent禁用所有危险工具，最佳实践是为每个人运行独立的Gateway实例 [39][42] * 应急响应：发现可疑行为需立即执行三步：遏制（停止服务、切断网络、冻结访问）、轮换凭证（更换Gateway令牌和所有相关API密钥）、审计（查看日志、会话记录、配置变更并重新进行安全审计） [43] * 保持更新：关注官方渠道，定期更新OpenClaw至最新版本以获取安全补丁 [44][45] 四、总结 * 对企业用户的额外建议： * 基础设施隔离：建议在独立的VPS或物理服务器上部署OpenClaw，并与办公网络隔离；将其部署在特定安全子网中，通过防火墙策略限制其网络通信 [47] * 审计与监控体系：开启完整审计日志；配置日志输出，通过Webhook将实时日志发送至企业安全信息与事件管理平台（SIEM）实现集中监控 [48] * 安全测试与风险管理：将OpenClaw纳入定期渗透测试范围；上线前委托专业团队进行安全评估；考虑购买覆盖AI系统特定风险的网络安全保险 [49][50]