上海陈先生花了40块钱找人远程装 OpenClaw安装配置 。装完没几分钟，反诈中心电话打进来了——对方失联，系统权限全交出去了。

这不是段子。Meta安全专家Summer Yue更惨，给OpenClaw接入工作邮箱，设置了指令限制，它还是失控删了大量邮件。最后怎么解决的？拔网线。

马斯克在X上发了张图：一个士兵把AK递给猴子。配文没写别的，意思谁都懂——把系统最高权限交给一个还没调教好的AI，跟把枪给猴子有什么区别。

红线一：别让它裸奔在公网上

CNCERT（国家互联网应急中心）的 OpenClaw安全 指南里第一条就写了：严禁将OpenClaw默认端口（18789、19890）暴露到公网。

为啥？你把它挂公网上，等于把家门钥匙插在门外。全网扫端口的机器人24小时在跑，几分钟就能找到你，然后暴力破解、漏洞利用、权限接管，一条龙。

正确做法：配置成仅本地访问（127.0.0.1），关闭端口映射。如果非要远程访问，用VPN，别嫌麻烦。

有个用户在论坛上发帖说，他把18789端口开了公网，第二天发现日志里一堆陌生的IP在尝试连接。评论区的回复很一致：没被黑算你命大。

红线二：别用管理员权限跑

CNCERT明确要求：禁止以管理员或超级用户权限运行OpenClaw。

你给它管理员权限，就等于给它整栋楼的钥匙。它想删哪删哪，想改哪改哪。有人让AI清理磁盘，结果整个目录被误删；有人看它试图删“对它不利的文件”，给了管理员权限后，它直接开始疯狂删除系统文件。

CNCERT的指南里列得很细：

创建专用低权限账户，只给最小必要目录的读写权限。关闭无障碍、屏幕录制、系统自动化这些高危权限。配置白名单路径，禁止它访问桌面、文档、下载、密码管理器这些敏感目录。关闭系统命令执行功能，真要开也得二次确认。

在阿里云开发者社区的 OpenClaw部署教程 里，有个更精细的玩法：通过tools配置控制每个Agent的工具权限，deny优先级比allow高——先把你不想给的权限全部禁掉，再开必要的。

tools: {
  allow: ["read"],
  deny: ["exec", "write", "edit", "apply_patch"]
}

红线三：别在OpenClaw环境里存隐私数据

CNCERT的指南明确写了：不要在OpenClaw环境中存储或处理银行卡、密码、身份证、密钥等数据。

有人API Key泄露，一夜之间损失数万美元。有人在环境变量里明文存密钥，被攻击者拿到，服务器直接变肉鸡。

绿盟科技的研究报告显示，OpenClaw在34个标准安全测试案例中，整体通过率只有58.9%。一半以上的测试都挂了，你敢把银行密码交给它？

黄线一：安装技能前先审查

ClawHub上有近4000个技能，研究显示其中36.8%存在安全问题，13.4%含严重漏洞。

CNCERT指南的建议是：谨慎安装外部技能，拒绝“自动赚钱、撸羊毛、破解”这类黑灰产技能。安全审计工具可以用clawhub inspect –files命令检查技能包里有没有可疑指令。

有人装了“加密钱包追踪器”技能，结果API密钥被偷，一天被刷掉800多美元。这技能在ClawHub上评分还挺高。

黄线二：做沙箱隔离，给它画个圈

CNCERT建议使用专用设备、虚拟机或Docker安装OpenClaw，做好环境隔离。

最简单的方案：找台旧电脑专门跑，清空个人数据。或者用Docker跑，把它圈在容器里，就算被攻破，攻击者也出不来。

阿里云的配置指南里给的方案更细致：

• 全量Docker运行：把整个OpenClaw塞进容器
• 工具沙箱：Gateway跑在宿主机，但工具执行隔离在容器里
• 通过workspaceAccess控制工作区权限：none禁止访问，ro只读，rw读写

有人用Docker跑OpenClaw，结果它试图删系统文件，Docker报“权限不足”。不是它变乖了，是根本出不去。

黄线三：控制Token消耗，别让它烧钱

OpenClaw占openrouter平台总消耗的95%以上，每周2.05T Token。多智能体系统的消耗是普通对话的4-15倍。

有用户四个定时任务同时触发，一夜间Token被清空。有人API密钥被盗，3天损失1.2万元。

CNCERT指南建议：启用日志审计，定期检查异常行为。配置Token预算、调用频率限制，超限自动熔断。别等收到账单才发现。

检查清单

在你正式把OpenClaw跑起来之前，过一遍这个清单：

• 端口没暴露公网（18789、19890已关闭或仅本地）
• 没用管理员权限运行，创建了专用账户
• 敏感目录加了白名单，禁止访问
• 没有明文存储API Key或密码
• Skills安装前做了代码审查
• 运行环境做了隔离（Docker/虚拟机/旧电脑）
• 高危命令执行需要二次确认
• 设置了Token消耗监控和预算上限
• 更新到了最新版本

全打勾，再养虾。少一个，风险翻一倍。完整的 OpenClaw权限设置 清单和配置文件示例，在专题页里都有人整理好了，照着配就行。

有人问：“那我还能不能玩了？”答案是：能，但得穿着防弹衣玩。OpenClaw确实强，但它不是玩具，是一个权限极高的数字员工。你怎么对待公司新来的实习生，就怎么对待它。给它划地盘、定规矩、设权限。别一上来就把公司大门钥匙给它。