Ollama 0.17 原生集成 OpenClaw：本地 AI 代理的便利与隐藏风险

就在前几天，Ollama 发布了0.17 版本，带来了一个重磅更新：原生集成 OpenClaw，并支持开箱即用的网页搜索功能。现在，你只需两条命令，就能在本地跑起一个 AI 代理，让本地模型替你发邮件、管日历、读文件，甚至操作 Shell。

这种“完全本地、无需云端 API Key”的体验，确实让本地 AI 的普及又向前迈了一大步。但便利的背后，也藏着不少容易被忽略的安全隐患。

🚀 Ollama 0.17 能做什么？

新版本允许你将 OpenClaw 与开源模型（如 Llama、Mistral、DeepSeek 等）无缝结合，并且所有操作都在本地机器上运行，数据不会离开你的设备。

简单运行：

bash

ollama launch openclaw

你就能获得一个能力强大的 AI 代理，它可以：

• ✉️ 代表你发送邮件

• 📅 管理日历日程

• 📂 读取和写入本地文件

• ⌨️ 执行 Shell 命令

• 🌐 搜索网页

• 💬 连接 QQ、Telegram、iMessage、微信……几乎一切

听起来是不是很酷？但问题也正出在这里——本地运行 ≠ 安全运行。

⚠️ 为什么说这很危险？

Ollama + OpenClaw 的组合，继承的是 OpenClaw 自身的所有安全漏洞。本地模型无法解决主机级别的安全问题，反而可能让你产生“反正数据不出去就很安全”的错觉。

1. 完整文件系统暴露

代理运行在你的用户权限下，这意味着它可以访问你所有能访问的东西：~/.ssh、~/.aws、浏览器 Cookie、加密货币钱包、税务文件……一旦代理被恶意利用，这些敏感数据就相当于“裸奔”。

2. WebSocket 劫持（CVE-2026-25253）

OpenClaw 的网关监听在本地 WebSocket 上。Oasis Security 的研究人员已经证明：任何网页都可以通过暴力破解端口，完全控制你的代理。即便你用的是本地模型，因为网关架构没变，这个漏洞依然存在。

3. 网页搜索引入的 Prompt 注入

新版增加了网页搜索功能，意味着代理会主动抓取网页内容并处理。如果某个网页里嵌入了恶意 Prompt 指令，代理就可能执行攻击者的命令——你的“本地代理”就这样被远程控制了。

4. 技能供应链风险

OpenClaw 的技能本质上是 npm 包或 GitHub 仓库。目前已有341+ 个恶意技能被记录。一旦你安装了一个被篡改的技能，它将以你的完整系统权限运行，后果可想而知。

5. 缺乏权限边界

OpenClaw 没有细粒度的权限控制——没有“只读文件，不可执行命令”或“只能访问日历，不能碰 SSH 密钥”这种概念。要么全给，要么全不给，而这显然不符合最小权限原则。

📦 一键部署的陷阱

Ollama 的主要用户是开发者和 AI 爱好者，大家追求的是“快速跑起来”，很少有人会第一时间想到安全隔离。

执行一行ollama launch openclaw，连接上各种服务，可能就再也没去管过它。但微软官方早已明确警告：

“OpenClaw 应被视为不受信任的代码执行环境，且拥有持久凭证。在标准个人或企业工作站上运行是不合适的。”

而 Ollama 的一键部署，恰恰让无数人轻松触碰了这条红线。

🛡️ 如何安全地使用 Ollama + OpenClaw？

好在已经有人为这个问题提供了解决方案：ClawMoat。它是一个专为 OpenClaw 设计的安全层，可以帮你隔离风险、监控行为。

安装

bash

npm install -g clawmoat

关键防护能力

• 设置权限等级：限制代理能访问的目录和资源

js

const { HostGuardian } = require('clawmoat'); const guardian = new HostGuardian({ mode: 'standard', // observer → worker → standard → full workspace: '~/openclaw-workspace', forbiddenZones: ['~/.ssh', '~/.aws', '~/.gnupg'], });

• 监控网络外发：阻止访问敏感内网地址或恶意域名

js

const { NetworkEgressLogger } = require('clawmoat'); const logger = new NetworkEgressLogger();

• 安装前扫描技能：检查本地技能包是否包含恶意代码

bash

npx clawmoat skill-audit ~/.openclaw/skills/

• 检测 WebSocket 劫持：及时发现端口扫描或异常连接

js

const { GatewayMonitor } = require('clawmoat'); const monitor = new GatewayMonitor();

• 保护财务数据：自动屏蔽代理对钱包文件、税务文档的访问

js

const { FinanceGuard } = require('clawmoat'); const guard = new FinanceGuard();

💡 总结

Ollama 0.17 让 OpenClaw 能轻松跑在成千上万台机器上，但绝大多数机器都缺少必要的安全隔离。如果你打算尝试这个强大的本地 AI 代理——无论是否通过 Ollama——都强烈建议你加上 ClawMoat 这道“护城河”。

ClawMoat 是开源（MIT）、零依赖、经过 277 项测试的工具，兼容所有 OpenClaw 部署方式（云端、本地或 Ollama）。在享受技术便利的同时，别忘了给自己的数据上一把锁。

你有在用 Ollama 跑 OpenClaw 吗？欢迎在留言区分享你的经验或顾虑。