OpenClaw本身设计上是本地优先的AI代理框架,默认情况下不会主动窃取或上报您的私密信息到其他服务器。但它的安全性完全取决于您的配置和使用方式,配置不当会带来严重风险。
核心隐私设计
OpenClaw遵循”本地优先”原则:
- 数据默认本地存储:配置文件、凭证信息、会话数据、工作区文件等都存储在
~/.openclaw/目录下 - 不自动上传云服务:除非您主动配置云服务集成(如Telegram/WhatsApp云同步)
- 完全开源可审计:所有代码公开,可自行审查
主要安全风险
1. 配置暴露风险(最严重)
- 公网暴露问题:全球已有超过23万个OpenClaw实例直接暴露在公网,许多没有认证
- 默认配置问题:如果网关绑定到
0.0.0.0而非127.0.0.1,且未设置认证,任何人都能访问 - 反向代理风险:早期版本存在”localhost信任假设”,配置反向代理时可能绕过认证
2. 凭证存储风险
- 明文存储:API密钥、OAuth令牌等敏感信息以明文形式存储在JSON文件中
- 恶意软件目标:这些文件已成为RedLine、Lumma等恶意软件的扫描目标
3. 供应链攻击风险
- 恶意技能:ClawHub上已发现341个恶意技能,涉及150万泄露令牌记录
- 未审核代码:第三方技能可能包含恶意代码,请求过多权限
4. 数据流向外部的情况
虽然OpenClaw本身不上传数据,但使用以下功能时数据会发送到外部服务:
| 功能 | 数据接收方 | 传输内容 | 是否必需 |
|---|---|---|---|
| AI模型调用 | OpenAI/Anthropic/Kimi等 | 消息内容、工具结果、系统提示 | 可选(可用本地模型) |
| Web搜索 | Brave Search API | 搜索查询 | 可选 |
| Perplexity搜索 | Perplexity API | 搜索查询 | 可选 |
| TTS语音 | ElevenLabs等 | 转换的文本 | 可选 |
| 频道集成 | WhatsApp/Telegram等 | 消息元数据、内容 | 按渠道配置 |
必须采取的安全措施
基础防护(必须做)
- 绑定本地地址:确保网关绑定到
127.0.0.1,不是0.0.0.0 - 启用认证:设置强token认证
- 防火墙限制:关闭18789端口的公网访问
- 文件权限:
chmod 700 ~/.openclaw,chmod 600 ~/.openclaw/openclaw.json
进阶防护(强烈建议)
- 容器隔离:使用Docker运行,限制资源与权限
- 最小权限原则:只授予AI完成任务所必需的权限
- 技能审查:只安装官方认证、高星标的技能
- 定期更新:立即升级到2026.2.25+版本(修复CVE-2026-25253等漏洞)
数据保护
- API密钥管理:使用环境变量替代明文存储,定期轮换密钥
- 敏感操作确认:对删除文件、发送邮件、转账等设置人工确认步骤
- 会话隔离:多用户场景使用
per-channel-peer模式防止隐私泄露
官方安全更新
OpenClaw团队已发布2026.2.19-2版本,包含40多项安全改进:
- 集成VirusTotal扫描
- 收紧技能审核
- 移除数百个有漏洞的技能
- 修复CVE-2026-25253等关键漏洞
结论
OpenClaw本身不会主动窃取或上报数据,但配置不当等同于将您电脑的控制权交给互联网上的任何人。如果您能:
- 严格遵循安全配置
- 使用容器隔离
- 定期更新版本
- 审查第三方技能
那么OpenClaw可以相对安全地使用。但如果您不熟悉命令行、网络安全配置,建议不要在生产环境或存有敏感数据的电脑上运行。
重要提醒:安全专家将OpenClaw描述为”致命三重威胁”——数据访问+外部输入+行动能力的组合。单个恶意邮件可能通过提示注入攻击操控您的agent执行危险操作。