最近 OpenClaw(前身 Moltbot/Clawdbot)火得一塌糊涂,GitHub Star 数飙升到了 10 万+。作为一名早期的龙虾养殖户,我看着它从一个简单的玩具变成现在的庞然大物,心里既欣慰又有点慌。

为什么慌?因为安全。

这几天安全圈简直炸锅了。先是 CVE-2026-25253 这个核弹级漏洞,点个链接就能被 RCE(远程代码执行);然后是 Moltbook 平台被曝出数据库裸奔,150 万 API Key 泄露;还有 ClawHub 上那 300 多个带着恶意代码的 Skill……

说实话,现在的 OpenClaw 就像一把上了膛还没关保险的枪,威力巨大,但走火的风险也极高。

今天这篇,不聊虚的,直接上干货。手把手教你把你的 OpenClaw 武装到牙齿,别让这只为你打工的龙虾,变成了黑客攻入你电脑的后门。

1. 也是最重要的:更新!更新!更新!

如果你还在用 1 月份的版本,赶紧去升级。CVE-2026-25253 这个漏洞太低级也太致命了。简单说,就是 Web 界面没有验证 WebSocket 请求的来源,黑客做一个网页,你点进去,你的 OpenClaw 就归他了。

官方在 2026.1.29 版本修了这个洞。检查一下你的版本:

1
openclaw --version

如果是旧版本,马上升级:

1
npm install -g openclaw@latest

2. 别让它裸奔在公网上

我知道有些同学为了方便,直接把 OpenClaw 的端口映射到公网,方便在外面用手机连。

千万别这么干!

OpenClaw 的设计初衷是本地运行,它的 Web 界面并没有经过严格的安全加固。暴露在公网上,就算修了已知的漏洞,天知道还有没有未知的 0-day 等着你。

如果你需要在外网访问,请用 VPN 或者 Tailscale 这种组网工具。把端口关在家里,只对自己人开放。

3. 限制它的权力

OpenClaw 默认能力很强:能执行 Shell 命令、能读写文件、能控制浏览器。这很爽,但也很危险。

你可以通过配置文件 ~/.openclaw/openclaw.json 来给它戴上紧箍咒。

开启 exec 审批

这是最后一道防线。当 AI 想要执行 Shell 命令时,必须经过你确认。

1
2
3
4
5
{
  "approvals": {
    "exec": { "enabled": true }
  }
}

虽然有时候会觉得烦,但这一下确认,可能就救了你的 rm -rf /

锁定关键文件

有些文件,AI 永远不应该去碰。比如 SSH 密钥、Shell 配置文件。

我们可以用 Linux 的文件属性锁死它们:

1
2
sudo chattr +i ~/.ssh/id_rsa
sudo chattr +i ~/.bashrc

这样,就算 OpenClaw 发疯想改这些文件,系统也会直接拒绝,root 来了都不好使(除非先解锁)。

4. 谨慎安装 Skill

ClawHub 上的 Skill 现在也是鱼龙混杂。前几天爆出来的 malicious skills,有的会偷偷把你的 SSH Key 传到黑客服务器,有的会挖矿。

安装 Skill 前,多留个心眼:

  1. 看作者:是不是知名开发者?
  2. 看代码:安装前去 GitHub 看看源码,特别是 install.sh 或者 index.js 这种入口文件。有没有奇怪的网络请求?有没有加密混淆的代码?
  3. 用官方的:优先用官方 bundled 的 Skill,或者经过社区验证的。

如果你不会看代码,就把源码扔给 Claude 或者 GPT,让它们帮你审一审:”这段代码有安全风险吗?”

5. Token 隔离与监控

别把你的主力 GitHub Token、AWS Key 直接给 OpenClaw。

去申请一个 细粒度权限(Fine-grained) 的 Token,只给它必要的权限。比如只读代码,不能删库。

还有,给 API Key 设置额度上限。万一 AI 陷入死循环(别笑,真的发生过),一晚上刷掉你几百刀,那可真是欲哭无泪。

结语

AI Agent 是未来,这毫无疑问。OpenClaw 的出现让这个未来提前到了我们面前。但现在的它,还处于野蛮生长的阶段。

作为使用者,我们要享受它带来的便利,也要时刻保持警惕。

毕竟,我们要的是一个得力的助手,而不是一个潜伏的间谍。

保护好你的龙虾,也保护好你自己。

OpenClaw
2026-02-11