OpenClaw设置教程之安全篇

最近，一个名为 Op的enClaw 开源 AI 工具突然火了。它最早的名字是 Clawdbot（网友戏称“大龙虾”）。由于名称与 Anthropic 旗下的 Claude 相似，还曾收到警告被迫改名 Moltbot，最终定名 OpenClaw。

官网地址：https://www.openclaw.ai

它之所以引人关注，是因为其定位不再是“回答问题”，而是“完成任务”。你可以通过指令让它调用工具、操作文件、执行完整流程——就像一个真正的数字员工，把事情从头到尾做完。随之而来的技术风险日益不容小觑。

随着国家网络安全通报中心：发布了《OpenClaw安全风险预警》，分析了主要风险和防范建议，因此，我也决定深入研究一下如何在安全庇护下使用openclaw以减少使用时的焦虑。我会根据五条安全原则：

1. 防止API泄露出去

2. 防止别人黑了电脑

3. 防止我的信息写入log后被泄露出去

4. 操作权限管理，防止误删重要文件

5. 防止新安装的skills夹带后门

分别给出手动解决方法，当然你也试着直接咨询你的openclaw。

它会进行一些简单的体检。

网关安全

打开openclaw的配置文件(json文件)，通常位于linux/Macos ：~/.openclaw/config.json；Windows：

%USERPROFILE%\.openclaw\config.json（找不到可以问openclaw）

复制

"gateway": {

"auth": {

"mode": "token",

"token": "把你的密码填在这里" ← 这里一定要改！

},

"port": 18789,

"mode": "local",

"bind": "loopback",

"tailscale": {

"mode": "off"

}

}

逐行解释：

·auth 认证：要求所有请求必须携带密码（token）。mode: token 就是开启密码验证。

· token：你自己设的密码。千万别用 123456，可以用下面命令生成一个随机密码（在终端跑一下）：

---bash

openssl rand -base64 32

把输出的一长串字符粘贴到这里。

· port 端口：默认 18789，不用改。这不是常见端口，能躲过自动扫描。

· mode: local + bind: loopback：这是最关键的两行！！！！它们让 OpenClaw 只监听本机（127.0.0.1），也就是只有你这台电脑自己能访问，外网连都连不上。相当于把门焊在自家墙上，外面的人连门把手都摸不到。

· tailscale: off：关掉 VPN 自动暴露功能，防止不小心把服务共享到整个公司内网。

接着重启openclaw,进行检测。

openclaw restart

1.本地：curl http://127.0.0.1:18789

返回401 则认证生效。

2.外部curl http://你的公网IP:18789

若提示failed to connect 表示成功。

API安全

1.千万不要把 API Key 直接写在代码或配置文件里！用环境变量注入，环境变量存在于进程内存中，不会写入磁盘文件。相比硬编码在配置文件里，环境变量更难被意外读取或通过文件泄露窃取。这是业界标准的安全实践。

---bash

export OPENAI_API_KEY="sk-xxxx"

openclaw start

或在 Docker 运行时传入：

---bash

docker run -e OPENAI_API_KEY="sk-xxxx" ...

Docker 的 -e 参数将环境变量传递给容器，同样避免将密钥打包进镜像或写入容器文件系统。

2.将配置文件权限锁死，即使写在配置文件里，也要把文件权限设为只有自己能读。

---bash

chmod 600 ~/.openclaw/config.json

chmod 600 意味着文件所有者可读写，其他人没有任何权限。这样即使服务器被植入恶意软件，或有人通过漏洞读取文件，也无法访问该配置文件。

3.使用密钥管理服务

生产环境建议用 HashiCorp Vault、AWS Secrets Manager 等工具动态获取密钥，避免明文存储。

解释：密钥管理服务（KMS）可以动态生成、轮换和审计密钥，应用程序运行时临时获取，用完即销毁。即使服务器被攻破，攻击者也无法获得长期有效的密钥，极大降低泄露风险。

日志安全

说是日志安全其实真正的核心目标是让日志别把密码、Token 都打印出来。

安装 JEP Guard 插件自动过滤,这个插件会自动识别 token、key、password 等敏感字段，在日志中用 [REDACTED] 替换。

---bash

claw install jep-gua

JEP Guard 通过钩子拦截命令执行前后的日志输出，用正则匹配敏感关键词并替换。logLevel minimal 进一步减少记录的参数细节，防止敏感信息意外写入。这样即使日志文件泄露，攻击者也看不到明文密钥

如果日志必须持久化，对日志文件进行加密，并严格控制访问权限，使用 GPG 加密日志

gpg -c openclaw.log

加密日志文件后，即使文件被窃取，没有解密密钥也无法读取内容。结合严格的访问控制，可以防止内部人员或入侵者查看敏感日志。

Skills安全

官方市场有审核机制，能过滤掉大部分恶意技能。而直接从GitHub安装可能引入未经验证的代码，风险较高。就像手机App，从官方应用商店下载比从第三方网站下载安全得多，所以只从官方渠道安装ClawHub 官方市场会对技能包进行安全审查，尽量别用不明来源的 GitHub 仓库直接安装。

---bash

claw install 官方技能名 # 安全

claw install git@... # 谨慎！最好先审查代名

沙箱设置。即使技能藏有后门，它在受限的 Agent 中也无法调用高危工具。比如拒绝 exec 就无法执行系统命令，拒绝 write 就无法篡改文件。沙箱这种隔离机制将潜在危害限制在最小范围OpenClaw 支持为每个 Agent 设置独立的工作区和权限。创建新 Agent 时指定专用工作区，并限制其工具集。

---bash

openclaw agents add safe_agent --workspace ~/.openclaw/workspace-safe

然后在 TOOLS.md 中只允许必要的工具：

---json

{

"tools": {

"allow": ["read", "browser"],

"deny": ["exec", "write", "edit"]

}

}

ALL IN ONE 通用智能（AGI）服务

行业领先的AI服务供应商

探索智能边界

发现无限可能