360人工智能安全团队：2026年 OpenClaw 安全部署与实践指南（360 护航版）（27页）.pdf

1、 OpenClaw 安全部署与实践指南（360 护航版）编制机构：360 人工智能安全团队 适用人群：OpenClaw 个人开发者、一人公司（OPC）、中小企业数字化团队及安全运维人员 首发日期：2026 年 3 月 11 日 更新日期：2026 年 3 月 11 日 内容出品方：360 人工智能安全团队 适用范围：OpenClaw（曾用名 Clawdbot、Moltbot）个人本地沙箱部署、中小团队协同以及企业级零信任生产环境的安全运维 编制参考：工业和信息化部网络安全威胁和漏洞信息共享平台预警、国家互联网应急中心（CNCERT）风险提示、360 Quake 空间测绘数据、360 大模型卫士

2、防护体系、360 智脑等 前言：养“虾”千万条，安全第一条 近期，开源 AI 智能体 OpenClaw（曾用名 Clawdbot、Moltbot）应用下载与使用情况异常火爆，国内主流云平台均提供了一键部署服务。这款应用能依据自然语言指令直接操控计算机，成为你不眠不休的日程管家。但请记住一句忠告：你的 AI 心腹，可能是隐藏大患。越像你的分身，越需要你的信任；越需要你的信任，越值得警惕。就在 2026 年 3 月 10 日，国家互联网应急中心（CNCERT）紧急发布了关于OpenClaw 安全应用的风险提示。官方明确指出：为实现“自主执行任务”的能力，OpenClaw 被赋予了极高的系统权限（包

3、括访问本地文件系统、读取环境变量、调用外部 API 以及安装扩展功能等）。然而，其默认的安全配置极为脆弱，攻击者一旦发现突破口，便能轻易获取系统的完全控制权！传统的黑客入侵，你顶多丢个密码。但如果 OpenClaw 被黑，被窃取的是你的“数字分身”，目前该应用已暴露出以下真实且惨痛的安全危机：设备沦为“肉鸡”（插件投毒风险）：官方商店（ClawHub）里的大量功能插件（Skill）已被确认为恶意插件。用户一旦安装，便会在后台静默执行窃取密钥、部署木马后门等操作，导致上千名用户的 API 密钥被洗劫一空。全盘接管与隐私看穿（安全漏洞风险）：黑客利用已公开的高危漏洞（如 ClawJacked），仅

4、凭一个恶意网页就能穿透本地。对于个人，这会导致照片、聊天记录、支付账户等隐私彻底裸奔；对于企业，则会直接造成核心商业机密、代码仓库泄露，甚至让整个业务系统陷入瘫痪。无差别破坏（误操作与提示词注入）：攻击者在网页中构造隐藏指令，能轻易诱导 OpenClaw 读取并交出系统密钥。即便没有黑客，由于 AI 对指令的错误理解，也曾发生过 Meta 安全专家的 AI 突然“暴走”，无视停止指令，疯狂彻底删除数百封重要工作邮件和核心生产数据的惨剧。面对这只拥有高权限的“赛博龙虾”，默认信任的每一步都可能变成致命后门。不想在 AI 时代“裸奔”？面对新型威胁，360 为你量身定制了这份实操指南。你不需要成为

5、专家，只需跟着指南，落实网络控制隔离、凭证加密管理与插件严管，就能给你的 OpenClaw 穿上坚固的装甲。第一章 拆解“龙虾”：运作机制与七大风险全景图 要理解 OpenClaw 的安全风险，首先需要了解它在本地设备上的运作方式。1.1 架构拆解：OpenClaw 到底是怎么运作的？OpenClaw 的核心架构可概括为：网关（Gateway）统一管理消息收发与路由；多个智能体（Agent）提供任务处理能力；工具（Tool）与节点（Node）负责具体的物理执行。常驻后台的 Gateway 如同整个系统的控制塔：一方面连接着 WhatsApp、Telegram、Slack、Discord 等聊天

6、应用，将各类消息转换为统一格式。另一方面通过 WebSocket 总线接入 CLI、Web 控制台等“遥控器”，以及 iOS/Android/macOS 等节点，作为工具的执行载体。在 Gateway 内部，消息首先经过路由模块，根据预设规则精准投递给对应的 Agent相当于为用户配备了一组职责各异的专属助理。最终的具体操作由工具和节点完成。用户与 OpenClaw 的每一次对话，背后都运行着一套统一的消息总线与多 Agent 协同处理的机制。1.2 步步惊心的“七大安全风险”OpenClaw 层层递进的复杂架构，让其在拥抱便利的同时，也将一系列前所未有的安全风险暴露在攻击者面前，每一个环节都