中新網(wǎng)3月22日電 據(jù)“國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT”微信公眾號消息，為幫助用戶安全使用OpenClaw，國家互聯(lián)網(wǎng)應(yīng)急中心會同中國網(wǎng)絡(luò)空間安全協(xié)會組織國內(nèi)相關(guān)廠商共同研究，面向普通用戶、企業(yè)用戶、云服務(wù)商以及技術(shù)開發(fā)者/愛好者，提出以下安全防護(hù)建議。

　　其中，對于普通用戶的建議包括：使用專用設(shè)備、虛擬機(jī)或容器安裝OpenClaw，并做好環(huán)境隔離，不宜在日常辦公電腦上安裝；不使用管理員或超級用戶權(quán)限運(yùn)行OpenClaw；不在OpenClaw環(huán)境中存儲、處理隱私數(shù)據(jù)；及時更新OpenClaw最新版本等。

　　全文如下：

　　一、普通用戶

　　(一)建議使用專用設(shè)備、虛擬機(jī)或容器安裝OpenClaw，并做好環(huán)境隔離，不宜在日常辦公電腦上安裝 。

　　方案 1：用閑置舊電腦專門運(yùn)行 ，清空個人數(shù)據(jù)。

　　方案 2：用VMware、VirtualBox、 Docker創(chuàng)建獨(dú)立虛擬機(jī)或容器 ，并與宿主機(jī)隔離。

　　方案 3：在云服務(wù)器部署 ，本地僅遠(yuǎn)程訪問。

　　(二)建議不將 OpenClaw 默認(rèn)端口(18789\19890) 暴露到公網(wǎng)

　　配置為僅本地訪問(127.0.0.1)，關(guān)閉端口映射與公網(wǎng) IP 綁定。

　　如需遠(yuǎn)程，建議采用VPN訪問等方式，并啟用驗(yàn)證碼等強(qiáng)認(rèn)證措施。

　　若對接即時通訊軟件(如微信、釘釘、飛書等等)，建議僅允許本人或已授權(quán)的可信人員訪問。

　　(三)建議不使用管理員或超級用戶權(quán)限運(yùn)行 OpenClaw

　　創(chuàng)建專用低權(quán)限賬戶，僅授予最小必要目錄的讀寫權(quán)限。

　　關(guān)閉無障礙、屏幕錄制、系統(tǒng)自動化等高危權(quán)限。

　　僅開放專用工作目錄 ，禁止訪問桌面、文檔、下載、密碼管理器目錄。

　　配置白名單路徑 ，拒絕讀取配置文件、密鑰文件等隱私配置。

　　關(guān)閉系統(tǒng)命令執(zhí)行功能 ，僅在必要時臨時啟用并二次確認(rèn)。

　　限制網(wǎng)絡(luò)訪問 ，僅允許連接必要的AI服務(wù)與API。

　　(四)建議安裝可信技能插件(Skills)

　　謹(jǐn)慎安裝、使用外部社區(qū)/個人發(fā)布的Skills，預(yù)防信息泄露或服務(wù)器被攻擊等風(fēng)險

　　拒絕“自動賺錢、擼羊毛、破解”類不明技能或黑灰產(chǎn)技能。

　　(五)建議不在 OpenClaw 環(huán)境中存儲/處理隱私數(shù)據(jù)

　　不用OpenClaw處理銀行卡、密碼、身份證、密鑰等數(shù)據(jù)。

　　(六)建議及時更新 OpenClaw最新版本

　　及時安裝官方安全補(bǔ)丁 ，關(guān)注官方安全公告與漏洞通報。

　　二、企業(yè)用戶

　　(一)建議做好智能體應(yīng)用的安全管理制度與使用規(guī)范

　　明確允許與禁止的使用場景、數(shù)據(jù)范圍和操作類型，劃定智能體應(yīng)用的業(yè)務(wù)邊界。

　　建立內(nèi)部使用規(guī)范和審批流程，對引入新的智能體應(yīng)用或高權(quán)限功能需經(jīng)過安全評估和管理層批準(zhǔn)，確保使用有據(jù)可依、有章可循。

　　(二)建議做好智能體運(yùn)行環(huán)境的基礎(chǔ)網(wǎng)絡(luò)與環(huán)境安全防護(hù)

　　禁止將智能體服務(wù)直接暴露在公共網(wǎng)絡(luò)上，需通過防火墻、VPN等手段限制訪問，僅開放必要端口給可信網(wǎng)絡(luò)或IP地址。

　　對智能體所在服務(wù)器啟用主機(jī)入侵防御、惡意流量檢測等措施，抵御網(wǎng)絡(luò)攻擊威脅。

　　確保運(yùn)行環(huán)境定期更新補(bǔ)丁，消除已知系統(tǒng)漏洞，保障基礎(chǔ)環(huán)境安全可靠。

　　(三)建議做好智能體權(quán)限管理與邊界控制

　　對所有智能體服務(wù)賬號遵循最小必要權(quán)限原則進(jìn)行配置。

　　利用系統(tǒng)自帶或第三方權(quán)限控制工具，對智能體可訪問的文件目錄、網(wǎng)絡(luò)域、數(shù)據(jù)庫表等進(jìn)行邊界限定和訪問控制。

　　對具有高權(quán)限的智能體，應(yīng)實(shí)行嚴(yán)格的多因素認(rèn)證和操作審批，在關(guān)鍵資源層設(shè)置額外防線，防止權(quán)限濫用。

　　(四)建議做好智能體運(yùn)行監(jiān)控與審計(jì)追蹤

　　建立針對自主智能體的持續(xù)運(yùn)行監(jiān)控機(jī)制，監(jiān)控內(nèi)容包括智能體的行為日志、重要決策輸出、系統(tǒng)資源使用以及異常事件記錄等。

　　對關(guān)鍵操作和安全相關(guān)事件應(yīng)生成審計(jì)日志并防篡改保存。

　　配置安全信息與事件管理(SIEM)工具，實(shí)現(xiàn)對智能體日志的集中分析，及時發(fā)現(xiàn)可疑行為跡象。

　　審計(jì)追蹤能力應(yīng)保證發(fā)生事故后可以還原智能體行為路徑，為問題調(diào)查和責(zé)任認(rèn)定提供依據(jù)。

　　(五)建議做好智能體關(guān)鍵操作保護(hù)策略

　　針對自主智能體可能執(zhí)行的高危操作，企業(yè)應(yīng)制定保護(hù)策略作為治理基線。例如，對刪除大量數(shù)據(jù)、修改核心配置、資金交易等操作設(shè)置人工二次確認(rèn)或多重簽批流程；對不可逆轉(zhuǎn)的操作先行模擬演練或安全檢查；對高影響操作限定時間窗和范圍，僅允許在特定條件下執(zhí)行。

　　上述策略應(yīng)與金融系統(tǒng)、生產(chǎn)控制系統(tǒng)等高安全級別場景的管控措施看齊，確保智能體不會單點(diǎn)突破整個業(yè)務(wù)安全。

　　(六)建議做好智能體供應(yīng)鏈安全與代碼管理

　　應(yīng)建立對自主智能體所依賴第三方組件和技能插件的安全管理制度。

　　引入的新技能模塊必須經(jīng)過安全審核和測試，符合安全要求后方可投入使用。

　　對現(xiàn)有運(yùn)行的技能和依賴庫應(yīng)定期檢查版本和安全更新情況，及時應(yīng)用補(bǔ)丁或升級。

　　推薦采用企業(yè)內(nèi)部代碼倉庫存儲已審核通過的技能代碼，禁止智能體運(yùn)行時直接從外部獲取并執(zhí)行未存檔的代碼。

　　(七)建議做好智能體憑證與密鑰管理

　　所有敏感憑據(jù)不得明文寫入代碼或配置文件，應(yīng)使用安全的憑證管理系統(tǒng)按需注入。

　　智能體使用完畢后，應(yīng)及時銷毀或回收相關(guān)密鑰，防止長期駐留內(nèi)存或日志中。

　　定期更換更新關(guān)鍵憑據(jù)，以降低泄漏風(fēng)險。

　　(八)建議做好人員培訓(xùn)與應(yīng)急演練

　　對相關(guān)研發(fā)、運(yùn)維和使用人員定期開展安全培訓(xùn)，提高對自主智能體風(fēng)險的認(rèn)知。

　　避免“一句話授權(quán)”導(dǎo)致高危操作無意識執(zhí)行等情況。

　　強(qiáng)化員工在使用智能體過程中的安全責(zé)任意識，杜絕違規(guī)使用和粗心誤用。

　　制定應(yīng)急預(yù)案并定期開展模擬演練，提高團(tuán)隊(duì)對智能體安全事件的反應(yīng)速度和處置能力。

　　三、云服務(wù)商

　　(一)建議做好云主機(jī)基礎(chǔ)安全層面的安全評測與加固

　　做好認(rèn)證、隔離與訪問控制，盡可能做到內(nèi)化默認(rèn)安全

　　在基本的密碼規(guī)則基礎(chǔ)上，規(guī)避已知泄露的弱密碼，默認(rèn)條件下禁止云主機(jī)遠(yuǎn)程登錄訪問。

　　做好OpenClaw服務(wù)認(rèn)證與訪問控制，每個用戶的OpenClaw Gateway服務(wù)默認(rèn)啟用唯一且隨機(jī)token，默認(rèn)不暴露Gateway到公網(wǎng)。

　　做好安全隔離，建議在用戶自己賬號下配置獨(dú)立隔離的VPC網(wǎng)絡(luò)，部署OpenClaw。

　　做好產(chǎn)品迭代安全掃描與人工安全測試，包括鏡像、產(chǎn)品控制面、用戶運(yùn)行時實(shí)例等層面，規(guī)避云產(chǎn)品設(shè)計(jì)與實(shí)現(xiàn)層面的典型安全問題、API Key泄露等風(fēng)險。

　　(二)建議做好安全防護(hù)能力部署/接入

　　在主機(jī)層、網(wǎng)絡(luò)層等位置部署入侵監(jiān)測能力，并提供基礎(chǔ)安全防護(hù)。

　　默認(rèn)具備防DDoS攻擊等基礎(chǔ)防護(hù)能力。

　　對部署OpenClaw的云主機(jī)實(shí)例加強(qiáng)安全風(fēng)險監(jiān)測。

　　(三)建議做好供應(yīng)鏈及數(shù)據(jù)安全防護(hù)

　　做好OpenClaw安全漏洞監(jiān)測與防護(hù)，開啟例行常態(tài)化監(jiān)測，定期更新云上OpenClaw鏡像。

　　做好Skills安裝安全管控，云OpenClaw產(chǎn)品界面中默認(rèn)提供經(jīng)過安全檢測、驗(yàn)證的Skills，具備已知惡意Skills阻斷安裝的能力，防控引入惡意Skills。

　　增加新型AI場景的惡意風(fēng)險檢測能力，及時保障云平臺、用戶更加安全可控的使用AI助手。

　　做好模型調(diào)用安全防護(hù)，云OpenClaw產(chǎn)品界面僅支持調(diào)用已備案的大模型。升級大模型安全護(hù)欄的防護(hù)能力，包括提示詞注入防御，進(jìn)一步增強(qiáng)、隱私泄露防護(hù)等。

　　四、技術(shù)開發(fā)者/愛好者

　　(一)建議做好基礎(chǔ)配置加固

　　建議使用最新版本，確保已修復(fù)所有的已知漏洞，持續(xù)關(guān)注版本更新以及漏洞修復(fù)工作。

　　開啟身份認(rèn)證：

　　1)在 config.json 中配置高強(qiáng)度的密碼或 Token。

　　2)開啟DM 配對策略，將聊天軟件的配對策略設(shè)置為 pairing(需驗(yàn)證碼)或 allowlist(白名單)，絕對禁止設(shè)置為 open。

　　做好網(wǎng)絡(luò)隱身與最小化暴露：

　　1)不將 Web 管理界面(端口 18789)直接暴露在公網(wǎng)/局域網(wǎng)。

　　2)不私自使用 Tailscale、WireGuard 等安全隧道方案，將端口映射到外網(wǎng)。

　　3)不用不安全 UI，確保 gateway.controlUi.allowInsecure Auth 為 false，防止控制臺降級。

　　(二)建議做好運(yùn)行環(huán)境隔離

　　根據(jù)官方文檔，OpenClaw 提供了兩種互補(bǔ)的沙箱化策略，當(dāng)需要避免OpenClaw對系統(tǒng)增刪改破壞系統(tǒng)完整性時，建議：

　　啟用全量 Docker/虛擬機(jī)運(yùn)行

　　將整個 OpenClaw Gateway 及其所有依賴直接運(yùn)行在一個 Docker 容器/虛擬機(jī)內(nèi)。即使 Gateway 本身被攻破，攻擊者也僅被困在容器內(nèi)，難以直接危害宿主機(jī)系統(tǒng)。

　　啟用工具沙箱

　　1)Gateway 運(yùn)行在宿主機(jī)，但將 Agent 的工具執(zhí)行(如代碼運(yùn)行、文件操作)隔離在 Docker 容器中。

　　2)通過 agents.defaults.sandbox 啟用。建議保持 scope: "agent"(默認(rèn))或 scope: "session" 以防止跨 Agent 數(shù)據(jù)訪問。

　　3)通過 workspaceAccess 參數(shù)精細(xì)控制 Agent 對工作區(qū)的權(quán)限(none 禁止訪問，ro 只讀，rw 讀寫)。

　　最小權(quán)限原則

　　1)啟用工具白名單，在配置中禁用高危工具(如 shell、browser 的寫權(quán)限)，僅開放必要的工具，配置好插件白名單。

　　2)啟用文件系統(tǒng)限制，敏感目錄以 :ro(只讀)方式掛載，避免核心文件被誤刪。

　　建議使用官方提供的安全審計(jì)工具定期進(jìn)行安全審計(jì)

　　1)開啟openclaw security audit進(jìn)行常規(guī)檢查，掃描入站訪問控制、網(wǎng)絡(luò)暴露面及本地文件權(quán)限。

　　2)開啟openclaw security audit --deep進(jìn)行深度探測，執(zhí)行實(shí)時的網(wǎng)關(guān)探測，模擬攻擊者嘗試發(fā)現(xiàn)潛在的暴露點(diǎn)。

　　3)開啟openclaw security audit --fix進(jìn)行自動修復(fù)，自動實(shí)施安全加固

　　(三)建議做好供應(yīng)鏈防范

　　1)不宜盲目安裝技能商店(ClawHub)中的熱門技能以及非官方渠道的 VS Code 插件或 NPM 包，安裝前做好代碼審查。可運(yùn)用 clawhub inspect --files 命令查看是否存在可疑指令，例如誘導(dǎo)執(zhí)行 npm install、pip install、遠(yuǎn)程腳本下載等。

　　2)明確Agent禁止從事的事項(xiàng)以及需要記錄的操作，禁止執(zhí)行危險命令(例如 rm -rf /)、禁止修改認(rèn)證或權(quán)限配置、禁止將 token/私鑰/助記詞發(fā)送至外網(wǎng)、禁止盲目執(zhí)行文檔中的“一鍵安裝”命令。

　　3)安裝完成后，建議立即做好安全配置，只允許本機(jī)訪問核心配置文件，建立配置哈?；€，切勿將私鑰或助記詞交付給 Agent。