OpenClaw到底安不安全？三层防护+六个原则，让Agent跑得稳又安全

摘要： OpenClaw默认高权限运行，能读写文件、执行命令、控制浏览器——能力越强，风险越大。CNCERT在2026年3月首次为单个开源项目发布安全指引。360安全团队也给出了完整部署方案。核心就三件事：最小权限、环境隔离、全程审计。本文把最关键的安全实践一次讲清。

一、OpenClaw的三大安全风险

2026年3月，国家互联网应急中心（CNCERT）联合中国网络空间安全协会，首次为单个开源项目发布专项安全指引——《OpenClaw安全使用实践指南》。这不是小题大做，而是因为OpenClaw的权限确实大得惊人：

1. Shell命令执行：默认可执行任意Bash命令，能读取~/.ssh、~/.aws等敏感凭证，能用curl/wget外传数据
2. Prompt Injection：处理外部内容时，攻击者可植入恶意指令劫持Agent行为
3. 数据泄露：MEMORY.md可能包含隐私信息，工具输出可能暴露密钥密码

二、第一道防线：环境隔离

绝对不要在主力电脑上裸跑OpenClaw。 这不是建议，是原则。

• 虚拟机隔离（新手首选）：VMware/VirtualBox创建独立虚拟机，仅分配最小资源，不共享宿主机目录
• Docker容器隔离（最安全）：创建专属沙箱目录，环境变量注入密钥，降权运行，绑定本地端口
• 铠盒方案（最省心）：专用硬件物理隔离，ARM架构低功耗，Web界面管理，7×24小时稳定运行

三、第二道防线：最小权限

在config.yaml中精细化控制工具可用性：

tools:
  allowlist:
    - "web_search"
    - "code_executor"
sandbox: "docker"

关键规则： - 不给管理员/root权限运行 - 网络默认仅本地访问，远程必须强认证 - API Key、配置、缓存全加密 - 混淆命令执行前需明确批准

四、第三道防线：全程审计

OpenClaw 2026.2.23版本开始加强审计能力： - 配置快照中对env.*等敏感动态密钥脱敏处理 - OTEL诊断工具日志导出前自动脱敏API密钥 - 技能打包环节拒绝符号链接逃逸和XSS漏洞 - openclaw sessions cleanup强化会话维护，引入磁盘配额控制

金句： 安全不是限制Agent的能力，而是让能力在可控范围内释放。OpenClaw的安全实践，本质是"给龙虾画一个安全的鱼缸"。

铠盒智能 | 让AI 7×24小时替你干活的智能体计算机 · openclaw专区