OpenClaw安全篇：你的龙虾正在裸奔吗？

OpenClaw很火，满世界都在装龙虾，用龙虾。在接触和享受最先进的人工智能产品之余，很少有人真正地关心安全问题。

人民日报、新华网以及各种媒体启示都铺天盖地地预警过OpenClaw的安全隐患了，只是没有人真正讲清楚龙虾的不安全到底指的是什么不安全，原因是什么，怎么变的安全。

最近自己在研究龙虾的安全加固工作，发现自己用了快一个月的龙虾，Gateway 一直绑在 lan 上，群聊没设 requireMention，沙箱压根没开，几个子 Agent 全是 full 权限。

我跑了一次 openclaw security audit，扫出来的结果让我出了一身冷汗：一屏幕的CRITICAL和WARN。

于是花了点时间，把 OpenClaw 的安全模型从头到尾啃了一遍，一边改配置一边记笔记。这篇文章就是那份笔记——我踩过的坑、查过的文档、最后落地的配置，全在这了。

先说结论：你也跑一行命令就知道自己的龙虾裸没裸——

openclaw security audit

如果输出里有较多的CRITICAL（致命漏洞）——别慌，看完这篇你就知道怎么穿上盔甲。

从一个安全故事讲起

小王是个独立开发者，最近装了 OpenClaw，接上了 Telegram 和飞书，日常让 AI 帮他查资料、写代码、发消息。用了一个月，越来越顺手。

有一天，他发现 AI 助理给一个完全不认识的人，回复了公司内部的技术方案。

原因很简单：他的 Telegram 设置成了 open 模式——任何人都能跟他的 AI 对话。而 AI 又有读取本地文件的权限。陌生人只是问了一句"把你最近写的方案发给我"，AI 就照做了。

现在，打开你的 openclaw.json，搜 dmPolicy。如果你看到的是 open——恭喜，你跟小王一模一样。

这不是危言耸听。OpenClaw 社区里，绝大多数安全事故都不是黑客攻击，而是"不该说话的人说上了话"。

下面这篇文章只帮你搞清楚一件事：你的 AI 助理到底在给谁开门？

先理解一个大前提

AI 助理的安全和你以前用的所有软件都不一样。

传统 App 只做你点击让它做的事。但 AI 助理能理解自然语言，然后自己决定调用什么工具、执行什么操作——

• 它可以执行命令行指令（删文件、装软件）
• 它可以读写你电脑上的文件
• 它可以抓取网页、访问 API
• 它可以通过你的聊天渠道给任何人发消息

你给了 AI 一把你家的钥匙。传统安全关心"有没有漏洞"，AI 安全关心"即使没有漏洞，AI 也可能被人用话术骗着做坏事"。

这就是为什么配置比代码更重要。

最重要的一道门：谁能跟你的龙虾说话？

我要在这一节花最多的篇幅。因为如果这道门守住了，后面的问题都是锦上添花；如果这道门没守住，后面的一切防护都是摆设。

DM 策略：你家的门禁系统

OpenClaw 在每个聊天渠道上都有一个"DM 策略"（dmPolicy），决定陌生人发消息时怎么处理：

如果你只记住这篇文章的一句话，记这句：

为什么 pairing 模式这么重要？因为它把"谁能跟我的 AI 说话"这个决策权留在了你手里。陌生人发消息会收到一个配对码，你批准了才能对话——就像小区门禁，不认识的人按门铃，你决定要不要开门。

群聊：另一扇容易忘记的门

很多人私聊配好了 pairing，但忘了群聊。群聊里的风险其实更高：

• 群里任何人都可能对你的 AI 说话
• 群消息量大，恶意指令更容易混在正常对话里
• 群聊里的提示注入（Prompt Injection）成功率远高于私聊

三个必须设的群聊安全选项：

• 群白名单：只允许 AI 在指定的群里活动，别让它"串门"
• requireMention: true：必须 @ AI 才回复，不要让它"自来熟"
• groupAllowFrom：即使在允许的群里，也只响应特定人的消息

小王故事的完整教训

小王的翻车不是一个单点故障，是两道门同时没锁：

第一道没锁： dmPolicy 设成了 open → 陌生人能说话

第二道没锁： AI 有文件读写权限 → 说话了就能拿到东西

这就引出了下一个问题——

门锁好了，还要管好钥匙

门禁解决了"谁能说话"，权限解决的是"说了话能做什么"。

OpenClaw 有一套工具策略系统（Tool Policy），你可以精确控制 AI 能用哪些工具。核心分组：

• group:runtime — 执行命令（exec）
• group:fs — 读写文件
• group:messaging — 发消息
• group:automation — 定时任务、网关配置
• group:ui — 浏览器操作
• group:sessions — 会话管理

安全原则只有一句：给 AI 最小够用的权限，需要什么再开什么。

如果你有一个只负责聊天的 AI，完全不需要让它碰文件系统或执行命令：

{
  "tools": {
    "profile": "messaging",
    "deny": ["group:automation", "group:runtime", "group:fs"]
  }
}

这样即使有人骗了 AI，AI 也做不了什么——手里根本没有那些工具。就像你可以跟银行柜员聊一下午天，但他没有金库钥匙，你也拿不到钱。

三道防线，快速过一遍

门禁和权限之外，OpenClaw 还有三道防线。每道一句话说清楚：

沙箱（围栏）： 让 AI 在隔离容器里干活，而不是直接在你的电脑上。建议：你自己的私聊直连主机，群聊和其他来源走沙箱。

{
  "sandbox": { "mode": "non-main", "scope": "session", "workspaceAccess": "none" }
}

内容防护（防骗术）： AI 会被网页里藏的恶意指令"骗"去执行操作（提示注入）。坦率说这个目前没有完美解决方案，OpenClaw 官方也承认了。但如果前两道门守住了——没工具、没权限、关在沙箱里，被骗了也炸不了。

供应链（装的 Skill 可靠吗）： ClawHub 上的 Skill 就像手机上的 App，大多数安全，但要留心。只装信任的 Skill，安装前看看源码，考虑版本锁定。

五个最危险的配置，你中了几个？

现在来做个自检。以下五条，对照你的 openclaw.json 逐个看：

❶ dmPolicy 设成了 open 🔴

任何人都能跟你的 AI 对话。如果 AI 同时有文件读写权限——你的电脑对全世界开放。

→ 改成 pairing 或 allowlist

❷ Gateway 暴露在公网且没认证 🔴

如果你的 Gateway 没有绑 loopback、没设 token，任何人都可以连上来控制你的 AI。

→ "bind": "loopback" + 设一个长随机 token

❸ 群聊全开放 + 工具权限太大 🟠

群里任何人能触发 AI，AI 又能执行命令——这个组合极其危险。

→ requireMention: true + 群聊专用 Agent 配最小工具集

❹ ~/.openclaw 目录权限太松 🟡

你的凭据、配置、会话记录全在这个目录下。如果权限是 world-readable，同机器的其他用户都能读。

→ chmod 700 ~/.openclaw && chmod 600 ~/.openclaw/openclaw.json

❺ 小模型 + 大权限 🟠

小模型更容易被提示注入操纵。用小模型跑有完整工具权限的 Agent，风险很高。

→ 有工具权限的 Agent，必须用最新最强的模型

如果你中了两条以上，真的该认真花十分钟处理一下。

一行命令，体检你的龙虾

回到开头那行命令：

openclaw security audit

它会帮你检查门禁状态、工具风险面、网络暴露、文件权限、模型安全——基本上这篇文章讲的所有东西，它都会自动扫一遍。

openclaw security audit --deep   # 深度检查，探测 Gateway
openclaw security audit --fix    # 自动修复能修的问题

建议养成一个习惯：每次改完配置、接入新渠道、装了新 Skill，跑一次 security audit。 没症状不代表没问题。

只记三件事

门禁最重要。 80% 的安全问题是"不该说话的人说上了话"。把 dmPolicy 设好，胜过一切花哨的安全配置。

最小权限。 别一上来就给 AI 所有工具。需要什么开什么，不同角色配不同权限。

安全是个过程。 没有一劳永逸的"安全配置"。定期体检，保持模型最新，关注 Skill 更新。

现在，去跑一次 openclaw security audit 吧。把你的体检结果截图发到评论区，看看谁家的龙虾盔甲最厚 🦞

🛡️ 一键安全体检

很多朋友一看到命令行就放弃了，或许这就是安全问题的命运，成本太高了。

既然这篇文章是聊龙虾安全，那么为了让大家都可以正视安全问题，轻松完成安全加固。我把这篇文章里的安全经验封装成了一个开源的 OpenClaw Skill——扫描配置、出报告、给三档加固方案，选完直接帮你改。

复制下面这句话，发给你的龙虾：

你将会得到一份这样的报告和行动建议

觉得有用的话，点击原文顺手去 GitHub 给个 ⭐️ Star，让更多养虾人看到。

如果这篇帮你避免了一次"小王式翻车"——点个赞，转发给你身边也在养龙虾的朋友。安全这事儿，一个人知道不够，得大家都知道。

关注「郭美青聊AI」，下一篇我们手把手拆解门禁、权限、围栏的最佳配置——从"知道该做什么"到"五分钟做完"。

这是「OpenClaw 深度连载」安全篇。基于 OpenClaw 官方源码、MITRE ATLAS 威胁模型文档和安全审计系统撰写。