中新網(wǎng)3月22日電 據(jù)“國家互聯(lián)網(wǎng)應急中心CNCERT”微信公眾號消息，為幫助用戶安全使用OpenClaw，國家互聯(lián)網(wǎng)應急中心會同中國網(wǎng)絡空間安全協(xié)會組織國內相關廠商共同研究，面向普通用戶、企業(yè)用戶、云服務商以及技術開發(fā)者/愛好者，提出以下安全防護建議。

　　其中，對于普通用戶的建議包括：使用專用設備、虛擬機或容器安裝OpenClaw，并做好環(huán)境隔離，不宜在日常辦公電腦上安裝；不使用管理員或超級用戶權限運行OpenClaw；不在OpenClaw環(huán)境中存儲、處理隱私數(shù)據(jù)；及時更新OpenClaw最新版本等。

　　全文如下：

　　一、普通用戶

　　(一)建議使用專用設備、虛擬機或容器安裝OpenClaw，并做好環(huán)境隔離，不宜在日常辦公電腦上安裝 。

　　方案 1：用閑置舊電腦專門運行 ，清空個人數(shù)據(jù)。

　　方案 2：用VMware、VirtualBox、 Docker創(chuàng)建獨立虛擬機或容器 ，并與宿主機隔離。

　　方案 3：在云服務器部署 ，本地僅遠程訪問。

　　(二)建議不將 OpenClaw 默認端口(18789\19890) 暴露到公網(wǎng)

　　配置為僅本地訪問(127.0.0.1)，關閉端口映射與公網(wǎng) IP 綁定。

　　如需遠程，建議采用VPN訪問等方式，并啟用驗證碼等強認證措施。

　　若對接即時通訊軟件(如微信、釘釘、飛書等等)，建議僅允許本人或已授權的可信人員訪問。

　　(三)建議不使用管理員或超級用戶權限運行 OpenClaw

　　創(chuàng)建專用低權限賬戶，僅授予最小必要目錄的讀寫權限。

　　關閉無障礙、屏幕錄制、系統(tǒng)自動化等高危權限。

　　僅開放專用工作目錄 ，禁止訪問桌面、文檔、下載、密碼管理器目錄。

　　配置白名單路徑 ，拒絕讀取配置文件、密鑰文件等隱私配置。

　　關閉系統(tǒng)命令執(zhí)行功能 ，僅在必要時臨時啟用并二次確認。

　　限制網(wǎng)絡訪問 ，僅允許連接必要的AI服務與API。

　　(四)建議安裝可信技能插件(Skills)

　　謹慎安裝、使用外部社區(qū)/個人發(fā)布的Skills，預防信息泄露或服務器被攻擊等風險

　　拒絕“自動賺錢、擼羊毛、破解”類不明技能或黑灰產(chǎn)技能。

　　(五)建議不在 OpenClaw 環(huán)境中存儲/處理隱私數(shù)據(jù)

　　不用OpenClaw處理銀行卡、密碼、身份證、密鑰等數(shù)據(jù)。

　　(六)建議及時更新 OpenClaw最新版本

　　及時安裝官方安全補丁 ，關注官方安全公告與漏洞通報。

　　二、企業(yè)用戶

　　(一)建議做好智能體應用的安全管理制度與使用規(guī)范

　　明確允許與禁止的使用場景、數(shù)據(jù)范圍和操作類型，劃定智能體應用的業(yè)務邊界。

　　建立內部使用規(guī)范和審批流程，對引入新的智能體應用或高權限功能需經(jīng)過安全評估和管理層批準，確保使用有據(jù)可依、有章可循。

　　(二)建議做好智能體運行環(huán)境的基礎網(wǎng)絡與環(huán)境安全防護

　　禁止將智能體服務直接暴露在公共網(wǎng)絡上，需通過防火墻、VPN等手段限制訪問，僅開放必要端口給可信網(wǎng)絡或IP地址。

　　對智能體所在服務器啟用主機入侵防御、惡意流量檢測等措施，抵御網(wǎng)絡攻擊威脅。

　　確保運行環(huán)境定期更新補丁，消除已知系統(tǒng)漏洞，保障基礎環(huán)境安全可靠。

　　(三)建議做好智能體權限管理與邊界控制

　　對所有智能體服務賬號遵循最小必要權限原則進行配置。

　　利用系統(tǒng)自帶或第三方權限控制工具，對智能體可訪問的文件目錄、網(wǎng)絡域、數(shù)據(jù)庫表等進行邊界限定和訪問控制。

　　對具有高權限的智能體，應實行嚴格的多因素認證和操作審批，在關鍵資源層設置額外防線，防止權限濫用。

　　(四)建議做好智能體運行監(jiān)控與審計追蹤

　　建立針對自主智能體的持續(xù)運行監(jiān)控機制，監(jiān)控內容包括智能體的行為日志、重要決策輸出、系統(tǒng)資源使用以及異常事件記錄等。

　　對關鍵操作和安全相關事件應生成審計日志并防篡改保存。

　　配置安全信息與事件管理(SIEM)工具，實現(xiàn)對智能體日志的集中分析，及時發(fā)現(xiàn)可疑行為跡象。

　　審計追蹤能力應保證發(fā)生事故后可以還原智能體行為路徑，為問題調查和責任認定提供依據(jù)。

　　(五)建議做好智能體關鍵操作保護策略

　　針對自主智能體可能執(zhí)行的高危操作，企業(yè)應制定保護策略作為治理基線。例如，對刪除大量數(shù)據(jù)、修改核心配置、資金交易等操作設置人工二次確認或多重簽批流程；對不可逆轉的操作先行模擬演練或安全檢查；對高影響操作限定時間窗和范圍，僅允許在特定條件下執(zhí)行。

　　上述策略應與金融系統(tǒng)、生產(chǎn)控制系統(tǒng)等高安全級別場景的管控措施看齊，確保智能體不會單點突破整個業(yè)務安全。

　　(六)建議做好智能體供應鏈安全與代碼管理

　　應建立對自主智能體所依賴第三方組件和技能插件的安全管理制度。

　　引入的新技能模塊必須經(jīng)過安全審核和測試，符合安全要求后方可投入使用。

　　對現(xiàn)有運行的技能和依賴庫應定期檢查版本和安全更新情況，及時應用補丁或升級。

　　推薦采用企業(yè)內部代碼倉庫存儲已審核通過的技能代碼，禁止智能體運行時直接從外部獲取并執(zhí)行未存檔的代碼。

　　(七)建議做好智能體憑證與密鑰管理

　　所有敏感憑據(jù)不得明文寫入代碼或配置文件，應使用安全的憑證管理系統(tǒng)按需注入。

　　智能體使用完畢后，應及時銷毀或回收相關密鑰，防止長期駐留內存或日志中。

　　定期更換更新關鍵憑據(jù)，以降低泄漏風險。

　　(八)建議做好人員培訓與應急演練

　　對相關研發(fā)、運維和使用人員定期開展安全培訓，提高對自主智能體風險的認知。

　　避免“一句話授權”導致高危操作無意識執(zhí)行等情況。

　　強化員工在使用智能體過程中的安全責任意識，杜絕違規(guī)使用和粗心誤用。

　　制定應急預案并定期開展模擬演練，提高團隊對智能體安全事件的反應速度和處置能力。

　　三、云服務商

　　(一)建議做好云主機基礎安全層面的安全評測與加固

　　做好認證、隔離與訪問控制，盡可能做到內化默認安全

　　在基本的密碼規(guī)則基礎上，規(guī)避已知泄露的弱密碼，默認條件下禁止云主機遠程登錄訪問。

　　做好OpenClaw服務認證與訪問控制，每個用戶的OpenClaw Gateway服務默認啟用唯一且隨機token，默認不暴露Gateway到公網(wǎng)。

　　做好安全隔離，建議在用戶自己賬號下配置獨立隔離的VPC網(wǎng)絡，部署OpenClaw。

　　做好產(chǎn)品迭代安全掃描與人工安全測試，包括鏡像、產(chǎn)品控制面、用戶運行時實例等層面，規(guī)避云產(chǎn)品設計與實現(xiàn)層面的典型安全問題、API Key泄露等風險。

　　(二)建議做好安全防護能力部署/接入

　　在主機層、網(wǎng)絡層等位置部署入侵監(jiān)測能力，并提供基礎安全防護。

　　默認具備防DDoS攻擊等基礎防護能力。

　　對部署OpenClaw的云主機實例加強安全風險監(jiān)測。

　　(三)建議做好供應鏈及數(shù)據(jù)安全防護

　　做好OpenClaw安全漏洞監(jiān)測與防護，開啟例行常態(tài)化監(jiān)測，定期更新云上OpenClaw鏡像。

　　做好Skills安裝安全管控，云OpenClaw產(chǎn)品界面中默認提供經(jīng)過安全檢測、驗證的Skills，具備已知惡意Skills阻斷安裝的能力，防控引入惡意Skills。

　　增加新型AI場景的惡意風險檢測能力，及時保障云平臺、用戶更加安全可控的使用AI助手。

　　做好模型調用安全防護，云OpenClaw產(chǎn)品界面僅支持調用已備案的大模型。升級大模型安全護欄的防護能力，包括提示詞注入防御，進一步增強、隱私泄露防護等。

　　四、技術開發(fā)者/愛好者

　　(一)建議做好基礎配置加固

　　建議使用最新版本，確保已修復所有的已知漏洞，持續(xù)關注版本更新以及漏洞修復工作。

　　開啟身份認證：

　　1)在 config.json 中配置高強度的密碼或 Token。

　　2)開啟DM 配對策略，將聊天軟件的配對策略設置為 pairing(需驗證碼)或 allowlist(白名單)，絕對禁止設置為 open。

　　做好網(wǎng)絡隱身與最小化暴露：

　　1)不將 Web 管理界面(端口 18789)直接暴露在公網(wǎng)/局域網(wǎng)。

　　2)不私自使用 Tailscale、WireGuard 等安全隧道方案，將端口映射到外網(wǎng)。

　　3)不用不安全 UI，確保 gateway.controlUi.allowInsecure Auth 為 false，防止控制臺降級。

　　(二)建議做好運行環(huán)境隔離

　　根據(jù)官方文檔，OpenClaw 提供了兩種互補的沙箱化策略，當需要避免OpenClaw對系統(tǒng)增刪改破壞系統(tǒng)完整性時，建議：

　　啟用全量 Docker/虛擬機運行

　　將整個 OpenClaw Gateway 及其所有依賴直接運行在一個 Docker 容器/虛擬機內。即使 Gateway 本身被攻破，攻擊者也僅被困在容器內，難以直接危害宿主機系統(tǒng)。

　　啟用工具沙箱

　　1)Gateway 運行在宿主機，但將 Agent 的工具執(zhí)行(如代碼運行、文件操作)隔離在 Docker 容器中。

　　2)通過 agents.defaults.sandbox 啟用。建議保持 scope: "agent"(默認)或 scope: "session" 以防止跨 Agent 數(shù)據(jù)訪問。

　　3)通過 workspaceAccess 參數(shù)精細控制 Agent 對工作區(qū)的權限(none 禁止訪問，ro 只讀，rw 讀寫)。

　　最小權限原則

　　1)啟用工具白名單，在配置中禁用高危工具(如 shell、browser 的寫權限)，僅開放必要的工具，配置好插件白名單。

　　2)啟用文件系統(tǒng)限制，敏感目錄以 :ro(只讀)方式掛載，避免核心文件被誤刪。

　　建議使用官方提供的安全審計工具定期進行安全審計

　　1)開啟openclaw security audit進行常規(guī)檢查，掃描入站訪問控制、網(wǎng)絡暴露面及本地文件權限。

　　2)開啟openclaw security audit --deep進行深度探測，執(zhí)行實時的網(wǎng)關探測，模擬攻擊者嘗試發(fā)現(xiàn)潛在的暴露點。

　　3)開啟openclaw security audit --fix進行自動修復，自動實施安全加固

　　(三)建議做好供應鏈防范

　　1)不宜盲目安裝技能商店(ClawHub)中的熱門技能以及非官方渠道的 VS Code 插件或 NPM 包，安裝前做好代碼審查。可運用 clawhub inspect --files 命令查看是否存在可疑指令，例如誘導執(zhí)行 npm install、pip install、遠程腳本下載等。

　　2)明確Agent禁止從事的事項以及需要記錄的操作，禁止執(zhí)行危險命令(例如 rm -rf /)、禁止修改認證或權限配置、禁止將 token/私鑰/助記詞發(fā)送至外網(wǎng)、禁止盲目執(zhí)行文檔中的“一鍵安裝”命令。

　　3)安裝完成后，建議立即做好安全配置，只允許本機訪問核心配置文件，建立配置哈希基線，切勿將私鑰或助記詞交付給 Agent。