1
据相关报道,截至2026年3月,已披露的OpenClaw相关CVE漏洞(即通用安全漏洞)有82个,厂商至3月12日修复了40余个漏洞。
另外,在公网上能探测到的OpenClaw暴露实例累计近50万个,其中约三分之一存在高危漏洞,即面临被利用攻击的风险。
同样是到3月,1万余OpenClaw技能中,有近千个被判定为恶意技能……
2
OpenClaw作为有实际执行力的AI,成为各大厂商卡下一个AI生态位的发展方向,也成为大量担心在AI大潮中掉队的普通人群的新焦虑。
操作不当的OpenClaw就是诈骗工具,而不是神器,普通人先想清楚需不需要和有没有必要,OpenClaw不是一件酷炫的工具,是来干活的,不是拿来炫耀的。
很多场景,目前大模型产品已经可以实现,不必要一定用OpenClaw,甚至连大模型都不用,像买杯奶茶的话,用APP就够了,用大模型都属于炫技,用龙虾买,花两份,一份奶茶的钱,一份Token的钱,算力不是这样浪费的。
再等等,应该会有更好更安全的产品,AI内卷,关人类什么事,算力浪费才是事。
3 安全养“虾”指南
- 下载安装包或使用安装链接,除非你真的了解安装包与链接的安全性,否则还是用官方的。
- 小心恶意插件。如果你不理解那些技能的安全性,建议只装官方技能。不要装太多插件,仅安装签名验证的插件。
- 注意保护隐私和重要数据,敏感文件和设备要隔离。有条件的,使用单独电脑安装OpenClaw,不行就用虚拟机、容器。
- 不要在无防护的情况下暴露端口于在公网,保护好自己的API密钥。要防止被恶意指令利用,小心恶意网站偷发的恶意指令。不要轻易把重要密码给他,不要明文保存密码,以防泄露。
- 不要授权未知的权限,建议只给最小权限,不要把整个硬盘的权限都给它,限制指定文件夹访问权限,可能会有误删除。不要过分相信自动和批量的高风险操作,重要步骤需要人工确认。
- 关注收费情况,以免浪费Token,特别是新手。高端付费模型,有可能就设置单日消耗量,防止有死循环爆单。
- 关注官网和有关社区,及时更新版本和安装安全补丁修补漏洞。
- 企业更要合规使用,不要把业务数据、关键数据毫不保护地提交给它,有重要数据的电脑不要装OpenClaw,谨慎无大错,便利不如安全。
4
在这一点上,OpenClaw确实是比较复杂的一个AI Agent产品,如果搞不懂,只是请人安装,或自己懵懵懂懂装上,除了表示自己来过,还有什么……
所以,能动手的AI可能真的是未来的方向,安全的AI更是。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/2381.html
