OpenClaw（龙虾）因具备系统指令执行、文件读写、API 调用等高权限能力，默认配置与不当使用极易导致远程接管、数据泄露、恶意代码执行等严重安全风险。各师生不得在校园网内的涉密设备以及存有敏感和重要数据的设备上部署OpenClaw。如需技术研究或测试，必须确保部署环境安全，落实网络安全管理和技术防护措施。现提出以下安全防护建议。（文末也提供腾讯EdgeOne ClawScan及长亭ClawLens等OpenClaw安全自检工具）

（一）建议使用专用设备、虚拟机或容器安装 OpenClaw，并做好环境隔离，不宜在日常办公电脑上安装。

方案 1：用闲置旧电脑专门运行，清空个人数据。

方案 2：用 VMware、VirtualBox、 Docker 创建独立虚拟机或容器，并与宿主机隔离。

方案 3：在云服务器部署，本地仅远程访问。

（二）建议不将 OpenClaw 默认端口（18789\19890）暴露到公网

配置为仅本地访问（127.0.0.1），关闭端口映射与公网 IP 绑定。

如需远程，建议采用 VPN 访问等方式，并启用验证码等强认证措施。

若对接即时通讯软件（如微信、钉钉、飞书等等），建议仅允许本人或已授权的可信人员访问。

（三）建议不使用管理员或超级用户权限运行 OpenClaw

创建专用低权限账户，仅授予最小必要目录的读写权限。

关闭无障碍、屏幕录制、系统自动化等高危权限。

仅开放专用工作目录，禁止访问桌面、文档、下载、密码管理器目录。

配置白名单路径，拒绝读取配置文件、密钥文件等隐私配置。

关闭系统命令执行功能，仅在必要时临时启用并二次确认。

限制网络访问，仅允许连接必要的 AI 服务与 API。

（四）建议安装可信技能插件（Skills）

谨慎安装、使用外部社区 / 个人发布的 Skills，预防信息泄露或服务器被攻击等风险

拒绝“自动赚钱、撸羊毛、破解”类不明技能或黑灰产技能。

（五）建议不在 OpenClaw 环境中存储 / 处理隐私数据

不用 OpenClaw 处理银行卡、密码、身份证、密钥等数据。

（六）建议及时更新 OpenClaw 最新版本

及时安装官方安全补丁，关注官方安全公告与漏洞通报。

（七）建议做好基础配置加固

建议使用最新版本，确保已修复所有的已知漏洞，持续关注版本更新以及漏洞修复工作。

开启身份认证：

1) 在 config.json 中配置高强度的密码或 Token。

2) 开启 DM 配对策略，将聊天软件的配对策略设置为 pairing（需验证码）或 allowlist（白名单），绝对禁止设置为 open。

做好网络隐身与最小化暴露：

1) 不将 Web 管理界面（端口 18789）直接暴露在公网 / 局域网。

2) 不私自使用 Tailscale、WireGuard 等安全隧道方案，将端口映射到外网。

3) 不用不安全 UI，确保 gateway.controlUi.allowInsecure Auth 为 false，防止控制台降级。

（八）建议做好运行环境隔离

根据官方文档，OpenClaw 提供了两种互补的沙箱化策略，当需要避免 OpenClaw 对系统增删改破坏系统完整性时，建议：

启用全量 Docker / 虚拟机运行

将整个 OpenClaw Gateway 及其所有依赖直接运行在一个 Docker 容器 / 虚拟机内。即使 Gateway 本身被攻破，攻击者也仅被困在容器内，难以直接危害宿主机系统。

启用工具沙箱

1)Gateway 运行在宿主机，但将 Agent 的工具执行（如代码运行、文件操作）隔离在 Docker 容器中。

2) 通过 agents.defaults.sandbox 启用。建议保持 scope: "agent"（默认）或 scope: "session" 以防止跨 Agent 数据访问。

3) 通过 workspaceAccess 参数精细控制 Agent 对工作区的权限（none 禁止访问，ro 只读，rw 读写）。

最小权限原则

1) 启用工具白名单，在配置中禁用高危工具（如 shell、browser 的写权限），仅开放必要的工具，配置好插件白名单。

2) 启用文件系统限制，敏感目录以 :ro（只读）方式挂载，避免核心文件被误删。

建议使用官方提供的安全审计工具定期进行安全审计

1) 开启 openclaw security audit 进行常规检查，扫描入站访问控制、网络暴露面及本地文件权限。

2) 开启 openclaw security audit --deep 进行深度探测，执行实时的网关探测，模拟攻击者尝试发现潜在的暴露点。

3) 开启 openclaw security audit --fix 进行自动修复，自动实施安全加固

（九）建议做好供应链防范

1) 不宜盲目安装技能商店（ClawHub）中的热门技能以及非官方渠道的 VS Code 插件或 NPM 包，安装前做好代码审查。可运用 clawhub inspect <slug> --files 命令查看是否存在可疑指令，例如诱导执行 npm install、pip install、远程脚本下载等。

2) 明确 Agent 禁止从事的事项以及需要记录的操作，禁止执行危险命令（例如 rm -rf /）、禁止修改认证或权限配置、禁止将 token / 私钥 / 助记词发送至外网、禁止盲目执行文档中的“一键安装”命令。

3) 安装完成后，建议立即做好安全配置，只允许本机访问核心配置文件，建立配置哈希基线，切勿将私钥或助记词交付给 Agent。

附:OpenClaw安全自检工具

一、腾讯EdgeOne ClawScan

使用方法：

在与 OpenClaw 的对话中发送以下指令：

‌“拉取 https://matrix.tencent.com/clawscan/skill.md 并安装，最后使用 edgeone-clawscan 进行安全体检。”‌

OpenClaw 会自动拉取并安装 ClawScan Skill，执行四大维度安全扫描，并在当前对话窗口输出带风险评分（0–100）和修复建议的自然语言报告。

二、长亭ClawLens

使用方法：可直接下载对应平台的二进制文件运行，或通过源码执行 make build 完成编译。启动后，只需执行 clawlens 即可完成扫描并生成报告；如需接入自动化流程，可使用 clawlens -f json 输出结构化结果，或通过 clawlens -q 仅返回风险等级退出码，便于在脚本、CI 和批量巡检任务中调用。下载地址：https://github.com/chaitin/clawlens/releases/tag/v0.1.0