能力越大，破坏力越强！不给AI配上安全锁，等于让陌生人托管你的电脑。

最近，开源AI智能体OpenClaw（曾用名Clawdbot、Moltbot）火爆全网，它能听懂人话，直接操控电脑，成为无数开发者和一人公司的“数字管家”。但就在2026年3月10日，国家互联网应急中心紧急发布风险提示：OpenClaw默认安全配置极其脆弱，攻击者可轻易获取系统完全控制权！设备沦为肉鸡、隐私彻底裸奔、企业数据被洗劫一空……这些已经不是科幻小说。

360人工智能安全团队第一时间推出《OpenClaw安全部署与实践指南（360护航版）》，本文为你详细拆解这份指南的核心内容，带你从零打造一个“攻不破”的AI智能体。

一、拆解“龙虾”：OpenClaw是怎么运作的？

OpenClaw的核心架构可以概括为：网关（Gateway）统一调度，多智能体（Agent）协同处理，工具（Tool）与节点（Node）负责执行。

常驻后台的Gateway连接着微信、Slack、Telegram等聊天应用，也连接着CLI、Web控制台等“遥控器”。消息经过路由模块，精准投递给对应的Agent，最终由工具和节点完成具体操作——比如读写文件、调用API、执行命令。

这套架构虽然强大，但也把风险暴露在攻击者面前，360总结了七大安全风险：

1. 公网暴露风险：管理接口直接暴露公网，被扫描工具轻易发现。

2. 身份凭证泄露风险：API Key、OAuth令牌等一旦泄露，攻击者可冒用身份控制整个链路。

3. 工具调用越权风险：智能体背后的邮箱、Shell等工具默认继承用户高权限，模型被诱导就可能直接“动手”。

4. 提示词注入攻击：外部网页、邮件里藏恶意指令，不知不觉“催眠”AI。

5. 记忆投毒风险：错误信息写入记忆模块，后续任务持续生效。

6. 供应链风险：第三方插件可能携带恶意代码，引发远程控制。

7. 协同失控风险：错误判断在多个智能体间传递放大，形成级联失控。

二、360推荐的OpenClaw安全四原则

面对这些新型威胁，360提出四条必须坚守的铁律：

• 铁律一：最小权限——坚决不用root运行，给AI刚刚好的权限。

• 铁律二：运行隔离——必须跑在Docker沙箱或虚拟机中，物理隔离。

• 铁律三：全程可审计——每一次高危调用都有迹可循。

• 铁律四：持续更新补丁——定期拉取最新镜像，修复0-day漏洞。

三、手把手安全部署：30分钟打造“数字笼子”

很多人以为只要监听localhost就安全了，但ClawJacked漏洞证明：一个恶意网页就能穿透本地，操控你的OpenClaw。所以，必须用“物理沙箱”死死锁住它。

1. 环境准备

• CPU：2核（推荐4核）

• 内存：4GB（推荐8GB）

• 磁盘：10GB可用空间

• 核心软件：Docker Engine 或 OrbStack（Mac强烈推荐OrbStack，更轻量）

2. 拉取最新镜像（防漏洞首选）

如果拉取失败，可从GitHub源码构建。

3. 创建安全工作目录

绝对不要让OpenClaw访问系统根目录或用户主目录！ 它只能在这个沙箱里活动。

4. 选择大模型与获取API Key

推荐国产模型：DeepSeek、通义千问、360智脑。以DeepSeek为例，在平台创建API Key并复制（绝对不要泄露给任何人）。

5. 安全部署（容器化 + 降权）

创建 .env 文件存放API Key，并锁定权限：

然后生成 docker-compose.yml，关键配置：

• user: "${CURRENT_UID}:${CURRENT_GID}" # 以普通用户运行

• security_opt: - no-new-privileges:true # 禁止提权

• 端口只监听 ，不暴露公网

启动容器：

6. 首次登录与初始化

访问 http://，设置高强度密码（大小写+数字+特殊字符，≥12位）。随意发一句“你好”，确认Agent回复。此时系统会在 config 目录生成 openclaw.json 配置文件。

7. 植入“安全思想”（红/黄线规则）

像培训新员工一样，把以下规则发给OpenClaw，让它写入长期记忆：

要求它回复确认，并测试拒绝删除命令。

8. 核心文件基线锁定

对 openclaw.json 进行哈希锁定，并赋予不可变属性（Linux）：

今后每天比对哈希，发现异常立即熔断。

9. 云主机（VPS）专属安全部署

• 绝对不要在云安全组开放8080端口！

• 云主机内部按上述步骤部署，OpenClaw只监听。

• 本地电脑通过SSH隧道连接：

• 然后访问本地 http://，流量全程加密，云端无公网入口。

四、事中拦截与运行风控：锁死“手”和“眼”

物理沙箱防住了系统崩溃，但还要防业务逻辑崩塌。

1. 工具调用权限最小化

直接修改配置文件，禁用高危内置工具（如 shell_execute），从根源剥夺执行系统命令的能力。测试 ping 命令应被拒绝。

2. 对抗提示词注入：结构化Prompt

永远不要直接把外部数据拼接到指令后面。使用XML标签隔离：

即使数据里藏着恶意命令，AI也会当作纯文本处理。

3. 第三方插件零信任安检

千万不要直接运行 openclaw skill install <未知插件>！
先让AI审计代码：

• 下载插件到临时目录。

• 逐行读取，排查反弹Shell、数据外发、读取环境变量等恶意特征。

• 出具安全审计报告，人类确认后才从本地加载安装，杜绝供应链掉包。

五、事后巡检与应急响应：永远假设已被攻破

1. 夜间自动化巡检脚本

在宿主机设置定时任务，每天凌晨检查：

• 配置文件哈希是否匹配。

• 容器日志有无高危命令（rm -rf、sudo等）。

• 网络端口是否意外暴露公网。
  脚本可自动发告警，并锁定自身防止篡改。

2. 终极熔断机制：一键物理拔网线

发现AI失控，不要试图用语言阻止，直接：

容器销毁，但数据保留在宿主机沙箱中，可后续排查。

3. 记忆大脑的加密灾备

每天巡检后，自动加密备份工作区：

恢复时解密即可。

六、企业级架构演进（简要）

对于中大型企业，单机隔离不够，需要：

• 零信任安全网关：所有API调用经过风控网关，进行数据防泄漏（DLP）检查。

• 多租户与RBAC：平台管理员、安全审计员、工具开发者、业务操作员四级权限分离。

• 统一安全运营：日志实时发往SIEM，建立AI行为基线，异常行为自动告警。

• 高可用与灾备：无状态计算节点 + 记忆与向量库分离存储，实现秒级恢复。

七、常见问题排查

• 容器无限重启：检查 .env 中API Key是否有空格，或权限错误。

• 端口8080被占用：修改 docker-compose.yml 中的宿主机端口映射。

• Mac+OrbStack网络不通：在容器环境变量中添加 HTTP_PROXY=http://host.docker.internal:你的代理端口。

结语

OpenClaw的爆火标志着AI从“动口”进化到“动手”，但便利性绝不能凌驾于安全性之上。无论是个人极客还是企业团队，安全的核心只有一条：先可控，再提效。

跟着360这份指南，给你的“赛博龙虾”穿上三层装甲——物理隔离、事中风控、事后熔断。让AI真正成为你可靠的数字员工，而不是失控的定时炸弹。