普通人如何安全使用OpenClaw？

AI工具导航站
同名“AI工具导航站”，跟上时代的脚步
1 人赞同了该回答
安全专家总结了几类主要隐患：网关配置不当容易在公网暴露。
它无法识别恶意邮件中的提示词注入，容易被诱导泄露敏感数据；
API密钥以明文存储，容易引发账号资产损失；
指令执行一旦偏离，核心文件可能被不可逆删除；
而且没有操作审计日志，出了问题根本无法溯源。
Cisco的安全研究团队测试发现，有第三方技能包在用户毫不知情的情况下执行了数据窃取和提示词注入，而技能仓库本身缺乏足够的审核机制来拦截恶意提交。
Meta的AI安全总监都翻了车：她个人邮箱中200多封邮件被OpenClaw删除。
她自己形容”没有什么比命令它确认后再操作，然后眼睁睁看着它以极快速度删除收件箱更让人崩溃”。
怎么用才相对安全？几个实用建议：
权限给到刚刚好，不要多给 不要把所有账号一股脑接进去。
先只接一个低风险的场景（比如整理日历），跑稳了再慢慢扩展。
敏感信息坚决隔离 ，尽可能不用OpenClaw处理私密信息或商业秘密，尤其不要让它直接访问网银账号和密码。
优先选封装好的版本 技术基础薄弱的话，可以选择Kimi Claw这类开箱即用的版本，基本打开就能用，不需要自己安装配置，风险相对可控。
每次操作前确认，别完全放手 别贪图省事给它设置”无需确认直接执行”。
每一步操作都保留人工确认环节，是目前最重要的安全习惯。
不要装来自陌生来源的技能包 就像手机不装来路不明的App，OpenClaw的第三方技能包同样要谨慎。

还有一点跟安全同样实际：底层模型要选可靠的来源。国内用户想给 OpenClaw 配 Claude API 又不想碰海外信用卡，可以用 Code80，真实订阅帐号转出来的接口，和官方完全兼容，换个 endpoint 即可，支持国内支付，详见 code.ai80.vip。

发布于 2026-03-13 14:55・广东
赞同 1​
1
喜欢
收起​