OpenClaw 完全指南:部署、配置与安全设置
OpenClaw 完全指南:部署、配置与安全设置
OpenClaw 完全指南:部署、配置与安全设置 OpenClaw 完全指南:部署、配置与安全设置 Modified April 28 Code block Plain Text 检查 iCloud 同步状态(如果有跑 iCloud Drive) ls la /Library/Mobile\ Documents/ 确保 .openclaw 不在同步目录下 如果在,把它移出来或加到排除列表 exec 审批 + 只启用必要 Tools exec 审批 这是最重要的一道防线。不管是外部攻击还是 Agent 误判,只要执行前多一道人工确认,就能拦截大部分危险操作。 在 openclaw.json 加上: Code block Plain Text {"approvals": {"exec": { "enabled": true }}} 启用后,OpenClaw 执行命令前会显示命令内容,等你确认才会执行。 但默认只会显示"要执行什么",不会解释"为什么"。如果你想让 OpenClaw 主动说明原因,需要在 workspace 的 SOUL.md ( /.openclaw/workspace/SOUL.md )中加上行为规则: Code block Plain Text exec 执行规则执行任何命令前,必须: 1. 说明这个命令要做什么 2. 说明为什么需要执行 3. 等待用户确认后才执行 注意:OpenClaw 有两个名字很像的文件,别搞混: • ✅ /.openclaw/workspace/SOUL.md — 行为规则写这里,会进 system prompt • ❌ /.openclaw/agents/main/AGENT.md — 这是 agent metadata,不会进 system prompt,写了没用 这样即使 OpenClaw 被骗或误判,你也能在确认前看出异常。 只开必要 Tools OpenClaw 有 25 个内置 Tools,默认全部关闭。能力越大,后果越严重。原则: 从最小权限开始,需要再加。 在 openclaw.json 设置哪些 Tool 要开、哪些不开: Code block Plain Text {"tools": {"allow": ["你需要的 Tools"],"deny": ["你不需要的 Tools"]},"approvals": {"exec": { "enabled": true }}} 重点: allow 只放你用得到的,其他全部放 deny 或不写。 我关掉的 4 个 Tools: • nodes :可以让 OpenClaw 远程控制其他设备——拍照、录像、获取 GPS 位置。隐私风险太高,截图直接传 Telegram 给它就好。 • canvas :可视化工作区,目前用不到。 • llm task 和 lobster :工作流引擎相关,没用到就不开。 锁定敏感路径(write 防护) write 不需要每次审批(否则开发效率太差),但问题是:OpenClaw 目前不支持路径级的写入限制——没有"允许写 A 目录、禁止写 B 目录"的设置。 也就是说,只要 write tool 开着,agent 默认可以写入任何路径,包括系统敏感文件。 好消息是,我们可以用 Linux 系统层面的 chattr +i (immutable flag)来补这个缺口。这就像请物业把重要抽屉用螺丝锁死——就算你有钥匙(文件的 owner),抽屉也打不开。只有管理员( sudo )能解锁。 哪些路径该锁: • /.openclaw/ • /.ssh/ • /.bashrc • /.zshrc • /.config/gh/hosts.yml • .env 执行方式(Linux,一行搞定): Code block Plain Text 基本防护(几乎所有 Linux 环境都适用) sudo chattr +i /.bashrc /.ssh/ /.ssh/authorized keys 视你的环境加上其他凭据文件,比如: sudo chattr +i /.config/gh/hosts.yml GitHub CLI sudo chattr +i /.env 环境变量文件 macOS 没有 chattr ,等效命令是 sudo chflags schg <路径 (解锁用 sudo chflags noschg )。 锁定后,agent 的 write tool 写入这些路径会拿到 Operation not permitted ,直接被拦下。 而且这形成了 两层防护 :就算 agent 想通过 exec tool 跑 sudo chattr i 解锁,前面设的 exec 审批会先跳出来问你——你看到"agent 想解锁 .bashrc"这种请求,直觉就该拒绝。 ⚠️ 注意: chattr +i 只防写入,不防读取。Agent 用 read tool 仍然能读到这些文件的内容。锁定的意义是防止攻击者通过 agent 篡改这些文件(比如在 .bashrc 植入后门、在 .ssh/ 加入攻击者的 key)。要防读取泄露,靠的是多层防护(LLM 拒绝恶意请求 + exec 审批)和网络隔离。 💡 小提醒:你自己要改这些文件时,需要先手动解锁: Code block Plain Text sudo chattr i /.bashrc 解锁 改完后 sudo chattr +i /.bashrc 锁回去 为什么这些路径危险? 如果 OpenClaw 被骗去修改 /.bashrc ,攻击者可以植入一行恶意命令,你每次打开终端都会自动执行。如果改了 /.ssh/ ,攻击者可以加入自己的 SSH 密钥,直接登录你的服务器。如果改了 /.config/gh/hosts.yml ,攻击者可以换成自己的 token,你之后的 git push 就推到攻击者的账号。 重点:OpenClaw 工作目录放行,系统路径和凭据文件锁死。 不要乱装第三方 Skill + OAuth 最小化 OpenClaw 除了官方 53 个 bundled Skills,在 ClawHub 社区还有 3,000+ 个第三方 Skills 可以安装。听起来很丰富,但这也是风险来源——前面提到的 341 个恶意 Skill 就是在 ClawHub 上被发现的。 没审查就安装、OAuth 授权开太大,等于把后门打开。 官方 bundled Skills 官方 53 个 bundled Skills 基本上是安全的,但要注意:它们默认会自动加载——只要对应的 CLI 已安装,该 Skill 就会启用。不是"不装就没有",而是"不关就全开"。建议用 skills.allowBundled 白名单模式,只保留你需要的。OAuth 授权也要最小化。 以 1password 为例,它可以让 OpenClaw 访问你的整个密码库。能力很强,但我选择不装——我不想让 OpenClaw 碰我的密码。 gog (Google Workspace)我有装,工作上需要管邮件、日程和文档,所以全开了(Gmail、Calendar、Tasks、Drive、Docs、Sheets)。OAuth 的好处是觉得不对劲时,可以随时从 Google 账户撤销访问权。如果你比较谨慎,可以只授权 Gmail + Calendar,其他按需开启。 第三方 Skills ClawHub 上有 3,000+ 个第三方 Skills,但不能默认安全,安装前务必审查。用 AI 编程助手(Claude Code、Cursor、GitHub Copilot、ChatGPT 等)审查该 Skill 的 GitHub repo,prompt 如下(可直接复制使用): Code block Bash 请审查这个 OpenClaw Skill 是否安全:[贴上 GitHub repo URL]请检查以下风险: 1. 数据泄露 是否访问敏感数据( /.ssh、 /.aws、密码、token、cookie) 是否将数据发送到外部(curl POST、wget post data、nc) 2. 恶意执行 scripts/ 中是否有可疑命令(rm rf、dd、mkfs) 是否有混淆或编码的代码(base64 decode | sh) 3. 持久化 是否修改启动配置( /.bashrc、 /.zshrc、crontab、LaunchAgent) 4. 权限问题 是否使用 sudo 或要求 root 权限 是否修改文件权限(chmod 777) 5. Prompt Injection SKILL.md 是否有隐藏指令("忽略之前的指令"、unicode 混淆) prerequisites 是否要求执行可疑命令 6. 依赖风险 是否依赖不明来源的包 是否有 pinned version(避免 supply chain attack) package.json / requirements.txt 是否有可疑依赖 7. 网络通信 是否连接到非官方 API endpoint 是否有 hardcoded IP 或可疑 domain 8. 名称检查 是否为 typosquatting(如 clawhub → clawhubb、cllawhub) 名称是否过度夸大(pro、ultimate、free、premium) 请给出:安全 / 有疑虑 / 危险,并列出具体发现。 不确定怎么判断?那就先学会判断。上面的审查 prompt 就是起点。熟悉之后,你自然知道什么能装、什么不能装。 网络隔离:跑在 VM 或 Docker 里 即使前面 4 点都做了,还是可能有未知漏洞。如果跑在主机上,攻击者一进来就能拿到你所有数据。网络隔离可以限制爆炸半径。 差异说明: • 本机 Docker / VM :在你的主机上切一块隔离区域给 OpenClaw。好处是设置简单,但攻击者进入后离你的本机只差一步。 • 专用机器 :物理隔离,你的主机数据不会直接暴露。虽然还在同一个家庭网络,但攻击者要再突破其他设备的认证才能造成更多损害。 • 云端 VM :物理隔离 + 网络隔离。即使被攻破,攻击者碰不到你的本机,也进不了你的家庭网络。 我自己是把 OpenClaw 跑在云端 VM 上(目前用 Azure,之后可能换到 Hetzner)。好处: • 即使 OpenClaw 被攻破,攻击者拿到的只是一台云端机器,碰不到我的本机 • 可以随时销毁重建 • 成本约 $8/月(Hetzner CX32 4vCPU/8GB) 结论:OpenClaw 安全吗?值得用吗? 回到开头那句话:OpenClaw 的能力有多大,风险就有多大。 Cisco 说它是"安全噩梦",Palo Alto 说它是"致命三合一"——这些都是事实。但花了一个周末把风险搞清楚之后,我的结论还是: 做好防护,值得用。 关键是搞清楚这 2 大风险来源: • 输入污染 :恶意指令通过网页、邮件、第三方 Skill 进来 • Agent 误判 :理解错误、幻觉、过度行动、无限循环 以及一个核心原则: 能力越大,后果越严重——所以高风险操作一律要人工审核,敏感的"最后一公里"留给自己。 我自己做了这 5 个防护: 1. ✅ Token 上限 + 定期汇报 2. ✅ 保护机密信息 3. ✅ 只开必要 Tools + exec 审批 4. ✅ 不乱装 Skill + OAuth 最小化 5. ✅ 网络隔离 那 OpenClaw 带来的生产力提升,绝对值得。 常见问题 FAQ OpenClaw 安全吗? OpenClaw 本身不是恶意软件,但它的能力很强——能执行系统命令、读写文件、操作网页。能力越大,风险越大。只要做好这篇教程的 5 个防护设置,就能大幅降低风险。 OpenClaw 会偷密码吗? OpenClaw 本身不会,但恶意第三方 Skill 可能会。ClawHub 上已发现 341 个恶意 Skill,其中 335 个专门偷 macOS 密码。建议只用官方 53 个 bundled Skills,第三方 Skill 安装前务必审查。 OpenClaw 一定要跑在 VM 吗? 不一定,但建议网络隔离。如果跑在主机上,攻击者一进来就能拿到你所有数据。跑在云端 VM(如 Azure、Hetzner)可以限制爆炸半径,成本约 $8/月。 Prompt Injection 是什么?怎么防? Prompt Injection 是攻击者把恶意指令藏在看似正常的内容里(网页、邮件、PDF),让 AI Agent 误以为是用户的指令而执行。最有效的防护是开启 exec 审批——每个命令执行前都需要你人工确认。 第四部分:扩展资源与社区工具 OpenClaw 的生态不止官方文档和 ClawHub。社区里有不少实用的开源项目和资源合集,能帮你更高效地管理、配置和使用 OpenClaw。以下是我整理的值得关注的资源。 🖥️ 管理工具 OpenClaw Manager GitHub: miaoxworld/openclaw manager 一个基于 Tauri 2.0 + React + TypeScript + Rust 构建的跨平台桌面 GUI 管理工具。如果你不想每次都改配置文件和敲命令行,这个工具非常值得一试。 核心功能: • 仪表盘 :实时监控 OpenClaw 服务状态(端口、进程、内存、运行时间),一键启动/停止/重启/诊断 • AI 模型配置 :可视化管理 14+ AI 提供商(Anthropic、OpenAI、DeepSeek、Moonshot、Gemini 等),支持自定义 API 端点 • 消息渠道配置 :图形界面配置 Telegram、飞书、Discord、Slack、WhatsApp、钉钉等渠道 • 实时日志 :内置日志查看器,支持自动刷新 支持 macOS、Windows、Linux 三个平台,适合不喜欢折腾命令行的用户。 📚 社区资源合集 Awesome OpenClaw Skills(精选 Skills 列表) GitHub: sundial org/awesome openclaw skills ClawHub 上有 3000+ 个 Skill,但质量参差不齐。这个仓库做的就是 精选和分类 ——帮你从海量 Skills 中找到真正好用的,定期更新。 exec 审批 + 只启用必要 Tools exec 审批 这是最重要的一道防线。不管是外部攻击还是 Agent 误判,只要执行前多一道人工确认,就能拦截大部分危险操作。 在 openclaw.json 加上: 启用后,OpenClaw 执行命令前会显示命令内容,等你确认才会执行。 但默认只会显示"要执行什么",不会解释"为什么"。如果你想让 OpenClaw 主动说明原因,需要在 workspace 的 SOUL.md ( /.openclaw/workspace/SOUL.md )中加上行为规则: 注意:OpenClaw 有两个名字很像的文件,别搞混: • ✅ /.openclaw/workspace/SOUL.md — 行为规则写这里,会进 system prompt • ❌ /.openclaw/agents/main/AGENT.md — 这是 agent metadata,不会进 system prompt,写了没用 这样即使 OpenClaw 被骗或误判,你也能在确认前看出异常。 只开必要 Tools OpenClaw 有 25 个内置 Tools,默认全部关闭。能力越大,后果越严重。原则: 从最小权限开始,需要再加。 在 openclaw.json 设置哪些 Tool 要开、哪些不开: 重点: allow 只放你用得到的,其他全部放 deny 或不写。 我关掉的 4 个 Tools: • nodes :可以让 OpenClaw 远程控制其他设备——拍照、录像、获取 GPS 位置。隐私风险太高,截图直接传 Telegram 给它就好。 • canvas :可视化工作区,目前用不到。 • llm task 和 lobster :工作流引擎相关,没用到就不开。 锁定敏感路径(write 防护) write 不需要每次审批(否则开发效率太差),但问题是:OpenClaw 目前不支持路径级的写入限制——没有"允许写 A 目录、禁止写 B 目录"的设置。 也就是说,只要 write tool 开着,agent 默认可以写入任何路径,包括系统敏感文件。 好消息是,我们可以用 Linux 系统层面的 chattr +i (immutable flag)来补这个缺口。这就像请物业把重要抽屉用螺丝锁死——就算你有钥匙(文件的 owner),抽屉也打不开。只有管理员( sudo )能解锁。 哪些路径该锁: • /.openclaw/ • /.ssh/ • /.bashrc • /.zshrc • /.config/gh/hosts.yml • .env 执行方式(Linux,一行搞定): macOS 没有 chattr ,等效命令是 sudo chflags schg <路径 (解锁用 sudo chflags noschg )。 锁定后,agent 的 write tool 写入这些路径会拿到 Operation not permitted ,直接被拦下。 而且这形成了 两层防护 :就算 agent 想通过 exec tool 跑 sudo chattr i 解锁,前面设的 exec 审批会先跳出来问你——你看到"agent 想解锁 .bashrc"这种请求,直觉就该拒绝。 ⚠️ 注意: chattr +i 只防写入,不防读取。Agent 用 read tool 仍然能读到这些文件的内容。锁定的意义是防止攻击者通过 agent 篡改这些文件(比如在 .bashrc 植入后门、在 .ssh/ 加入攻击者的 key)。要防读取泄露,靠的是多层防护(LLM 拒绝恶意请求 + exec 审批)和网络隔离。 💡 小提醒:你自己要改这些文件时,需要先手动解锁: 为什么这些路径危险? 如果 OpenClaw 被骗去修改 /.bashrc ,攻击者可以植入一行恶意命令,你每次打开终端都会自动执行。如果改了 /.ssh/ ,攻击者可以加入自己的 SSH 密钥,直接登录你的服务器。如果改了 /.config/gh/hosts.yml ,攻击者可以换成自己的 token,你之后的 git push 就推到攻击者的账号。 重点:OpenClaw 工作目录放行,系统路径和凭据文件锁死。 不要乱装第三方 Skill + OAuth 最小化 OpenClaw 除了官方 53 个 bundled Skills,在 ClawHub 社区还有 3,000+ 个第三方 Skills 可以安装。听起来很丰富,但这也是风险来源——前面提到的 341 个恶意 Skill 就是在 ClawHub 上被发现的。 没审查就安装、OAuth 授权开太大,等于把后门打开。 官方 bundled Skills 官方 53 个 bundled Skills 基本上是安全的,但要注意:它们默认会自动加载——只要对应的 CLI 已安装,该 Skill 就会启用。不是"不装就没有",而是"不关就全开"。建议用 skills.allowBundled 白名单模式,只保留你需要的。OAuth 授权也要最小化。 以 1password 为例,它可以让 OpenClaw 访问你的整个密码库。能力很强,但我选择不装——我不想让 OpenClaw 碰我的密码。 gog (Google Workspace)我有装,工作上需要管邮件、日程和文档,所以全开了(Gmail、Calendar、Tasks、Drive、Docs、Sheets)。OAuth 的好处是觉得不对劲时,可以随时从 Google 账户撤销访问权。如果你比较谨慎,可以只授权 Gmail + Calendar,其他按需开启。 第三方 Skills ClawHub 上有 3,000+ 个第三方 Skills,但不能默认安全,安装前务必审查。用 AI 编程助手(Claude Code、Cursor、GitHub Copilot、ChatGPT 等)审查该 Skill 的 GitHub repo,prompt 如下(可直接复制使用): 不确定怎么判断?那就先学会判断。上面的审查 prompt 就是起点。熟悉之后,你自然知道什么能装、什么不能装。 网络隔离:跑在 VM 或 Docker 里 即使前面 4 点都做了,还是可能有未知漏洞。如果跑在主机上,攻击者一进来就能拿到你所有数据。网络隔离可以限制爆炸半径。 差异说明: • 本机 Docker / VM :在你的主机上切一块隔离区域给 OpenClaw。好处是设置简单,但攻击者进入后离你的本机只差一步。 • 专用机器 :物理隔离,你的主机数据不会直接暴露。虽然还在同一个家庭网络,但攻击者要再突破其他设备的认证才能造成更多损害。 • 云端 VM :物理隔离 + 网络隔离。即使被攻破,攻击者碰不到你的本机,也进不了你的家庭网络。 我自己是把 OpenClaw 跑在云端 VM 上(目前用 Azure,之后可能换到 Hetzner)。好处: • 即使 OpenClaw 被攻破,攻击者拿到的只是一台云端机器,碰不到我的本机 • 可以随时销毁重建 • 成本约 $8/月(Hetzner CX32 4vCPU/8GB) 结论:OpenClaw 安全吗?值得用吗? 回到开头那句话:OpenClaw 的能力有多大,风险就有多大。 Cisco 说它是"安全噩梦",Palo Alto 说它是"致命三合一"——这些都是事实。但花了一个周末把风险搞清楚之后,我的结论还是: 做好防护,值得用。 关键是搞清楚这 2 大风险来源: • 输入污染 :恶意指令通过网页、邮件、第三方 Skill 进来 • Agent 误判 :理解错误、幻觉、过度行动、无限循环 以及一个核心原则: 能力越大,后果越严重——所以高风险操作一律要人工审核,敏感的"最后一公里"留给自己。 我自己做了这 5 个防护: 1. ✅ Token 上限 + 定期汇报 2. ✅ 保护机密信息 3. ✅ 只开必要 Tools + exec 审批 4. ✅ 不乱装 Skill + OAuth 最小化 5. ✅ 网络隔离 那 OpenClaw 带来的生产力提升,绝对值得。 常见问题 FAQ OpenClaw 安全吗? OpenClaw 本身不是恶意软件,但它的能力很强——能执行系统命令、读写文件、操作网页。能力越大,风险越大。只要做好这篇教程的 5 个防护设置,就能大幅降低风险。 OpenClaw 会偷密码吗? OpenClaw 本身不会,但恶意第三方 Skill 可能会。ClawHub 上已发现 341 个恶意 Skill,其中 335 个专门偷 macOS 密码。建议只用官方 53 个 bundled Skills,第三方 Skill 安装前务必审查。 OpenClaw 一定要跑在 VM 吗? 不一定,但建议网络隔离。如果跑在主机上,攻击者一进来就能拿到你所有数据。跑在云端 VM(如 Azure、Hetzner)可以限制爆炸半径,成本约 $8/月。 Prompt Injection 是什么?怎么防? Prompt Injection 是攻击者把恶意指令藏在看似正常的内容里(网页、邮件、PDF),让 AI Agent 误以为是用户的指令而执行。最有效的防护是开启 exec 审批——每个命令执行前都需要你人工确认。 第四部分:扩展资源与社区工具 OpenClaw 的生态不止官方文档和 ClawHub。社区里有不少实用的开源项目和资源合集,能帮你更高效地管理、配置和使用 OpenClaw。以下是我整理的值得关注的资源。 🖥️ 管理工具 OpenClaw Manager GitHub: miaoxworld/openclaw manager 一个基于 Tauri 2.0 + React + TypeScript + Rust 构建的跨平台桌面 GUI 管理工具。如果你不想每次都改配置文件和敲命令行,这个工具非常值得一试。 核心功能: • 仪表盘 :实时监控 OpenClaw 服务状态(端口、进程、内存、运行时间),一键启动/停止/重启/诊断 • AI 模型配置 :可视化管理 14+ AI 提供商(Anthropic、OpenAI、DeepSeek、Moonshot、Gemini 等),支持自定义 API 端点 • 消息渠道配置 :图形界面配置 Telegram、飞书、Discord、Slack、WhatsApp、钉钉等渠道 • 实时日志 :内置日志查看器,支持自动刷新 支持 macOS、Windows、Linux 三个平台,适合不喜欢折腾命令行的用户。 📚 社区资源合集 Awesome OpenClaw Skills(精选 Skills 列表) GitHub: sundial org/awesome openclaw skills ClawHub 上有 3000+ 个 Skill,但质量参差不齐。这个仓库做的就是 精选和分类 ——帮你从海量 Skills 中找到真正好用的,定期更新。 另一个更全的版本: VoltAgent/awesome openclaw skills ,收录了 5,400+ 个 Skill,按功能分类整理。 Awesome OpenClaw Usecases(真实用例合集) GitHub: hesamsheikh/awesome openclaw usecases 社区收集的 OpenClaw 真实使用案例——别人都拿 OpenClaw 干什么、怎么配的。适合刚上手、想找灵感的用户。 ⚠️ 注意:用例中引用的第三方 Skill 可能存在安全风险,安装前务必审查源代码。 Moltbook 社区用例(70 个实战案例) GitHub: EvoLinkAI/awesome openclaw usecases moltbook 来自 Moltbook 社区的 70 个真实用例,涵盖日常生活、自动化、数据分析、安全等场景。比上面那个更偏实战和接地气。 🇨🇳 中文资源 OpenClaw 中文教程 GitHub: xianyu110/awesome openclaw tutorial 一份全面的中文 OpenClaw 教程,包含安装、配置、实战案例和避坑指南。适合中文用户从零开始上手,持续更新中。 🔗 官方资源 资源 链接 OpenClaw 官网 openclaw.ai 官方文档 docs.openclaw.ai ClawHub(Skills 市场) clawhub.ai GitHub(源码) github.com/openclaw Discord 社区 discord.gg/openclaw Reddit 社区 r/openclaw github.com/openclaw 资源 资源 链接 链接 OpenClaw 官网 OpenClaw 官网 openclaw.ai openclaw.ai 官方文档 官方文档 docs.openclaw.ai docs.openclaw.ai ClawHub(Skills 市场) ClawHub(Skills 市场) clawhub.ai clawhub.ai GitHub(源码) GitHub(源码) github.com/openclaw github.com/openclaw github.com/openclaw github.com/openclaw Discord 社区 Discord 社区 discord.gg/openclaw discord.gg/openclaw Reddit 社区 Reddit 社区 r/openclaw r/openclaw 🔗 原文链接: https://mp.weixin.qq.com/s/QhPiNRYS... https://mp.weixin.qq.com/s/QhPiNRYS... 原创 蓝衣剑客 蓝衣剑客 蓝衣剑客AI2026年3月2日 18:43 广东 本文原作者:WenHao Yu ,原作者分为三篇来讲。但我个人认为可以讲的更深入,整合的更深一些。随在其基础之上做一篇合集版本:集合 部署成本 、 Tools 与 Skills 配置 、 安全设置 ,帮助你从零开始搭建、配置并保护你的私人 AI 助理。鉴于很多内容不适合国内,我在其基础上进行了部分修改,添加了一些国内可用的方案,并且收集了一些社区资源。 目录 • 第一部分:部署成本全攻略 • 第二部分:25 个 Tools + 53 个 Skills 完整指南 • 第三部分:安全设