大家好，我是讯享网，很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



文章总结： 本文针对热门开源AI执行网关OpenClaw提出7项安全注意事项。核心风险包括高危漏洞、公网暴露、权限过高及供应链安全。建议用户遵循最小权限原则、绑定本地地址避免公网暴露、环境变量存储API密钥、仅从官方安装插件、及时更新版本、警惕指令诱导攻击、定期备份数据。开发者应在隔离环境运行并启用多因素认证。工信部已发布预警要求排查风险。 综合评分： 70 文章分类： AI安全,安全意识,安全建设,解决方案

---

原创

小王 小王

好靶场

2026年3月9日 20:15 四川

.5

💡 好靶场

团队宗旨：我们立志于为所有的网络安全同伴制作出好的靶场，让所有初学者都可以用最低的成本入门网络安全。所以我们团队名称就叫“好靶场”。

我们承诺每天至少更新1-2个新靶场。2026年冲刺1000个。

• • 全球第一家以SRC报告为蓝图制作靶场的网络安全靶场平台。
• • 全球第一家引入AI靶场助教的网络安全靶场平台。
• • 14个不同方向靶场供你选择。
• • 代码审计+漏洞修复靶场全新上架。
• • 无门槛费，每次开启不扣除积分，不扣除金币，超级会员每天不限次数开启靶场。
• • 靶场独立，每个靶场环境完全隔离。

725

靶场数量

200个

漏洞报告数量

最近，OpenClaw（俗称“小龙虾”）彻底火了——作为2026年现象级开源AI执行网关，它能通过自然语言指令操控电脑、处理文件、自动化工作流，短短4个月GitHub星标突破27万，全球独立部署实例超100万，成为很多人解放双手的“数字管家”。

但热度背后，安全风险也随之而来。近期工信部已正式预警，OpenClaw在默认或不当配置下存在较高安全风险，易引发网络攻击、信息泄露等问题，甚至可能导致电脑被恶意接管。

不管你是刚上手的小白，还是已经熟练使用的开发者，这篇OpenClaw安全注意事项都请收藏好——避开这些坑，才能安心享受AI带来的便利。

需要PPT的话，可以联系小王。

OpenClaw的核心定位是“连接AI大脑与本地设备的桥梁”，能直接操控你的设备执行任务，这种高权限特性也让它成为恶意攻击者的重点目标。目前已发现的高危风险主要有这几类：

这是最关键的一点！OpenClaw默认拥有较高的文件访问和系统执行权限，很多人图方便用管理员/root身份运行，相当于给了它“操控整个电脑”的权力。

正确做法：以普通用户权限运行即可，日常使用完全足够；在设置中限制文件访问范围，只允许访问工作目录，禁止它访问桌面、文档、银行账单等隐私文件夹，从源头避免隐私泄露。

很多用户部署后，会默认开放公网访问，方便远程操控，但这相当于把电脑大门敞开给黑客。数据显示，约8.78万例暴露实例存在数据泄露，4.3万例暴露个人身份信息。

正确做法：将OpenClaw服务绑定到127.0.0.1本地地址，关闭不必要的公网访问端口；若需远程使用，通过VPN或SSH隧道访问，同时配置防火墙规则，限制仅自己的设备能连接。

OpenClaw需要对接ChatGPT、Claude等大模型，配置文件中会包含API密钥——一旦泄露，不仅可能被恶意调用产生巨额费用，还可能导致关联账号被封禁。

正确做法：用环境变量存储API密钥，不要直接写在代码或配置文件中；禁止将包含密钥的配置文件（如.env）上传到GitHub等公开仓库；一旦发现密钥泄露，立即轮换密钥，并设置API账户消费告警，及时发现异常使用。

OpenClaw支持插件扩展，但第三方技能市场缺乏严格审核，36%的技能存在安全缺陷，甚至有1467个插件含恶意载荷，伪装成实用工具窃取隐私（如钱包私钥、密码）。

正确做法：仅从OpenClaw官方渠道安装插件，安装前仔细查看权限说明，避免安装需要过高权限的插件；尽量不使用第三方技能市场，若必须使用，先核查插件源码，确认无恶意代码后再安装。

OpenClaw仍处于快速迭代阶段，安全漏洞修复频繁，比如近期披露的ClawJacked漏洞，已在2026.2.25版本修复，若不及时更新，会持续暴露在高危风险中。

正确做法：关闭自动更新的用户，定期查看OpenClaw官方公告，及时下载安装最新版本；同时警惕假冒安装包，仅从官方GitHub仓库下载，避免安装被篡改的恶意版本（曾有黑客伪造仓库，植入木马）。

OpenClaw会严格执行自然语言指令，若被攻击者诱导输入恶意指令，或接收含隐蔽指令的邮件、网页链接，可能导致系统**控、数据被窃取。

正确做法：不随意复制陌生指令输入OpenClaw；不点击来源不明的链接、邮件附件，避免被注入恶意指令；敏感信息（密码、身份证、银行卡号）绝不输入，即使是“本地存储”，也可能被恶意调用窃取。

OpenClaw会保存对话历史和任务日志，一方面方便后续调用，另一方面也可能留存隐私数据；同时，若被攻击，重要数据可能被删除、篡改，备份至关重要。

正确做法：定期备份电脑中的重要文件，尤其是通过OpenClaw处理的文档；定期清理OpenClaw的记忆文件，删除包含隐私信息的对话记录；若电脑被他人使用，及时退出OpenClaw账号，避免隐私泄露。

1. 1. 优先选择一键部署工具，避免手动配置出错；
2. 2. 不随意修改默认设置，尤其是权限相关选项；
3. 3. 若不熟悉技术，尽量不开启远程访问功能。

1. 1. 在虚拟机或容器中运行OpenClaw，实现网络隔离，即使被攻击也不会影响整个系统；
2. 2. 启用强密码+多因素认证（MFA），开启安全审计日志，实时监控异常操作；
3. 3. 部署在内网环境，通过堡垒机访问，禁止直接暴露于公网；
4. 4. 定期核查部署实例的安全配置，及时排查风险。

1. 1. 一定一定要在VM中使用，不要在本地跑，也不要通过OpenClaw去直接攻击网站。

OpenClaw的强大之处在于“能动手干活”，但这份便利的前提是做好安全防护——它就像一把“双刃剑”，用对了是高效助手，用错了可能成为泄露隐私、攻击系统的“突破口”。

工信部已明确建议，相关单位和用户需充分核查公网暴露情况、权限配置及凭证管理情况，完善安全机制，持续关注官方安全公告。

转发这篇文章，提醒身边正在使用OpenClaw的朋友，一起规避风险、安全用AI～ 若你在使用中遇到安全相关问题，欢迎在评论区留言交流！

零基础入门不迷茫！专属网络安全从零到一体系化训练——配套完整靶场+精选学习资料，帮你快速搭建网安知识框架，迈出入门关键一步！

全场景实战全覆盖！聚焦Web渗透工程师核心能力，深度拆解TOP10逻辑漏洞，精通PHP代码审计、Java代码审计等核心技能，从基础原理到实战攻防，覆盖行业高频应用场景！

真实漏洞场景沉浸式体验！src训练专题重磅上线——1:1还原真实漏洞报告，让你亲身感受实战挖洞流程，积累符合企业需求的实战经验！

有宝子就问了，主播主播，这么好的靶场怎么用：

首先关注好靶场

然后发送bug，可以点击链接直接登录

福利1：

找到个人中心，邀请码输入0482d6dc，白嫖14天高级会员。

福利2：

关注好靶场bilibili。拿着关注截图找到客服，领取5积分或者7天高级会员。

为了能让更多的宝子可以免费的开启会员靶场，我们会在工作日随机开放一些靶场的限免，还请加群关注。我们会以如下的方式在群里通知。

加群不收费哈！！！交流群里会每天更新限免靶场，以及免费学习资料。

进一个群就可以，所有的通知都会通知到位

进交流群，请加我好友

喜欢玩的宝子们可以加这个

~

AI客服内测ing

可以完成简单的客服能力，以及靶场推荐

首先点击会员订阅

有什么好的建议可以在留言区评论哦

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：好靶场 小王

 小王《【注意啦】OpenClaw虽好用，这7个安全注意事项必看》