OpenClaw 权限与安全治理

OpenClaw 能执行 Shell、操作浏览器、收发邮件、接入聊天平台——能力极强,风险也极高。本章是全教程最重要的一章,请务必认真对待。


为什么安全在 OpenClaw 中尤为关键

能力                      潜在风险
────                      ────────
Shell 命令                误删/破坏系统、执行恶意脚本
浏览器自动化              登录账户、误提交表单、泄露隐私
邮件 / 日程               冒名发送、删除重要信息
控制平面端口 :18789       被远程劫持 → 远程代码执行
社区技能(不沙箱)        恶意技能直接在你机器上运行

OpenClaw 的安全治理围绕审批、隔离、收紧暴露面、保持更新四条主线。


1)工具策略与审批闸门

第一道防线是工具策略(tool policies):规定读操作自动放行、发送/删除/写入等高风险动作必须人工审批

高风险动作 → 审批闸门 → 你确认后才执行
  • 默认收到最紧,按需逐步放开
  • 一切发送、删除、支付、登录、Shell 写操作保持人工确认
  • openclaw.json 中集中配置策略

2)已知高危漏洞:务必更新

OpenClaw 曾出现严重漏洞,这是必须知道的事实

编号描述严重度修复版本
CVE-2026-25253跨站 WebSocket 劫持,可经恶意链接触发远程代码执行CVSS 8.8(高危)2026.1.29

行动项:

  • 立即更新到 2026.1.29 或更高版本
  • 不要把控制平面端口 :18789 暴露到公网,仅绑定 127.0.0.1
  • 对来历不明的链接保持警惕

3)社区技能风险:默认不沙箱

技能能力强,但默认不沙箱化,且生态中确有恶意内容:

  • 2026 年 2 月初,ClawHub 被上传 230+ 恶意技能
  • 安全分析发现约 26% 的社区技能存在至少一个漏洞
  • 技能里的代码会直接在你机器上运行

行动项:

  • 安装任何第三方技能前逐行审阅,重点看 Shell / 网络 / 密钥相关部分
  • 优先使用可信来源;对"功能强大但来历不明"的技能保持怀疑
  • 用 Git 跟踪 skills/ 变更,便于审计与回滚

4)网络与凭据安全

  • 绑定本地:控制平面只听 127.0.0.1:18789,需要远程时走 SSH 隧道而非公网暴露
  • 凭据隔离:API Key、平台 Token 放环境变量/独立配置,绝不进公共仓库
  • 目录权限:收紧 ~/.openclaw/ 权限,仅本人可读写
  • 通道白名单:限定允许交互的用户/群

安全配置清单(Checklist)

[ ] 已更新到 2026.1.29+(修复 CVE-2026-25253)
[ ] 控制平面端口仅绑定 127.0.0.1,未暴露公网
[ ] 工具策略收紧:读放行、发送/删除/写入需审批
[ ] 所有第三方技能安装前已逐行审阅
[ ] API Key / Token 在环境变量,不进 Git
[ ] ~/.openclaw 权限收紧;用 Git 私有备份(不含密钥)
[ ] 聊天通道启用用户/群白名单
[ ] Heartbeat 频率与模型成本已设消费告警
[ ] 高风险任务先在隔离环境/测试账户演练

纵深防御示意

┌─────────────────────────────────────────────┐
│ 网络层:仅 127.0.0.1 + SSH 隧道 + 保持更新   │
├─────────────────────────────────────────────┤
│ 通道层:用户/群白名单                        │
├─────────────────────────────────────────────┤
│ 决策层:工具策略 + 审批闸门                  │
├─────────────────────────────────────────────┤
│ 技能层:安装前审阅 + Git 审计(默认不沙箱)  │
├─────────────────────────────────────────────┤
│ 数据层:凭据隔离 + 目录权限 + 私有备份        │
└─────────────────────────────────────────────┘

没有任何单层万能。OpenClaw 给了你强大的执行力,对应的安全责任也在你这边


下一步