安全指南

OpenClaw 的安全问题是当前社区最热门的讨论话题之一。本页汇总来自 CrowdStrike、Cisco、Palo Alto Networks、Trend Micro 等安全厂商的分析，以及社区最佳实践。

架构性风险："致命三合一"

Palo Alto Networks 将 OpenClaw 描述为 "lethal trifecta"（致命三合一）：

1. 访问私有数据 — 完整文件系统访问、Shell 命令执行
2. 接触不可信内容 — 浏览网页、读取邮件、处理文件
3. 外部通信能力 — 发送消息、邮件、执行网络请求

这三者结合意味着：一旦 Agent 被 Prompt Injection 攻击，攻击者可以读取敏感数据并通过 Agent 的外部通信能力将其外泄。

已知漏洞

Prompt Injection

• 未保护实例注入成功率: 91.3%（clawctl.com 评估）
• 攻击向量: 网页 HTML 注释、恶意文档、邮件内容、GitHub Issue/PR 中嵌入的指令
• 后果: Agent 执行恶意命令、数据泄露、权限提升

Prompt injection 仍然是行业级未解问题，使用强模型可提高抵抗力。 — Peter Steinberger

One-Click RCE

发现恶意链接可触发远程代码执行的漏洞，安全防御（sandbox、safety guardrails）被绕过。

来源：The Hacker News

恶意 ClawHub Skills

• 研究者发现 341 个恶意 Skills 窃取用户数据
• 排名第一的 Twitter 技能实际是分阶段恶意软件投放链
• Skills 中嵌入 base64 编码的恶意代码

来源：The Hacker News, Reddit

API 密钥泄露

OpenClaw has already been reported to have leaked plaintext API keys and credentials, which can be stolen by threat actors via prompt injection or unsecured endpoints. — Cisco Security Blog

安全最佳实践

部署隔离

推荐部署方式（安全优先级从高到低）：

1. 专用 VPS/VM（与主机完全隔离）
2. Docker 容器（限制权限）
3. 虚拟机（如 VMware Fusion + Ubuntu）
4. ⚠️ 不推荐：直接在主力电脑上部署

官方安全建议

来自 docs.openclaw.ai/gateway/security：

1. 启用 Sandbox: 非主会话使用 per-session 容器
2. Strict Tool Allowlist: 仅允许必要工具
3. 密钥管理: 通过 env/config 传递，绝不放进 prompt
4. 使用强模型: Prompt injection 抵抗力随模型能力提升
5. 审计所有 Skills: 安装前检查代码，避免恶意 Skills
6. 限制 Workspace 访问: 默认不允许访问工作区

实战建议

1. API Key 用量限额: 从第一天起设置，防止失控进程
2. 网络防火墙: 限制入站连接
3. 不使用真实账号测试: 先用一次性邮箱/日历测试
4. 验证每个自动操作: Agent 有时报告成功但实际未完成
5. 定期检查进程: 监控 API 调用量和成本

安全改进进展

已完成

• ✅ 34 个安全相关 commit（OpenClaw v1 发布时）
• ✅ VirusTotal 扫描集成 ClawHub Skills
• ✅ 发布机器可验证安全模型
• ✅ MAESTRO 框架威胁分析已发布

第三方安全工具

• clawctl.com — 提供 Prompt Injection 防护
• Giskard — AI 安全评估
• Auth0 — Securing OpenClaw 开发者指南

中国工信部警告

中国工信部已发布关于 OpenClaw 错误配置实例的安全警报，敦促用户实施防护措施以防范网络攻击和数据泄露。

"When agent platforms go viral faster than security practices mature, misconfiguration becomes the primary attack surface." — Ensar Seker, CISO, SOCRadar