OpenClaw 的吸引力来自“能做事”:它可以连接聊天应用、调用大模型、操作浏览器、读写文件、运行脚本、安装 Skills,并把任务放进持续运行的 Gateway 中。能力越强,安全边界越要清楚。近期海外媒体引用安全研究观点提醒,执行型 AI 代理与普通聊天机器人不同,它会在持久凭据、外部输入和可执行工具之间形成自动化闭环。如果网关暴露、Token 泄露、技能来源不明,风险会从“答错问题”升级为“代替你做错事情”。
本文不制造恐慌,也不把 OpenClaw 妖魔化。它的官方定位很清楚:自托管、多通道、Agent-native、开源。站长和开发者真正需要的是一套能落地的使用边界。尤其是把 OpenClaw 部署在云服务器、NAS、办公电脑或家庭服务器上时,必须先回答四个问题:谁能访问它,能访问哪些通道,它能调用哪些工具,出了问题如何追踪和回滚。
第一条原则:不要裸露 Gateway
OpenClaw 的 Gateway 是会话、路由和通道连接的核心。官方文档中也把 Gateway 描述为保持助手 24/7 运行的核心服务,负责监听通道、路由消息、处理任务和工具响应。既然它是核心,就不应该直接暴露到公网。很多新手为了远程访问方便,会直接开放端口或把控制台映射到公网 IP,这在测试阶段看似省事,长期运行却很危险。
更推荐的做法是三层访问控制。第一层,云防火墙或安全组只允许固定 IP 或内网访问。第二层,通过反向代理加 HTTPS 和基础认证,至少让控制台不直接面对互联网。第三层,OpenClaw 自身的 Token、会话和通道配置要单独保存,不要写进公开仓库、教程截图或群聊记录。站长百科已有宝塔反代和 WebAuth 类文章,说明这个问题在部署阶段已经被很多用户遇到。本文强调的是:这不是可选优化,而是长期运行的底线。
第二条原则:把账号拆开
OpenClaw 能做事,前提是你给它凭据。邮箱、GitHub、云厂商、网站后台、支付平台、企业 IM、浏览器 Cookie,每一种凭据都可能让它获得现实操作能力。最小权限的办法不是“相信 AI 会谨慎”,而是给它专用账号。比如巡检网站用只读账号,处理工单用客服子账号,访问代码仓库用只限某个仓库的 Token,云服务器只给查看日志和重启服务的权限,支付和财务系统默认不接入。
如果平台支持 OAuth Scope、项目级 API Key、临时 Token 或 IP 白名单,优先使用这些机制。不要为了省事把主账号 Cookie 导入 OpenClaw 环境。站长尤其要注意 CMS 后台:安装插件、修改主题、删除文章、批量导入导出这类能力,都不应该出现在默认账号里。一个好的权限设计是:AI 能发现问题、整理建议、提交草稿,但关键发布、删除、付款、授权必须由人工确认。
第三条原则:Skills 先审后装
OpenClaw 的 Skills 和插件生态是亮点。官网提到可以用社区技能扩展能力,甚至构建自己的技能。但技能本质上是把新能力交给代理,和浏览器插件、WordPress 插件、宝塔插件一样,不能只看功能介绍。安装前至少检查三点:来源是否可靠,代码是否会读取敏感文件或环境变量,是否会向外部服务发送数据。
实操上可以建立一个“技能准入表”。字段包括技能名称、来源链接、安装日期、所需权限、外部域名、是否读取文件、是否运行命令、回滚方式、负责人。每次安装新技能前,让 OpenClaw 先阅读技能说明和代码摘要,列出潜在风险,但最终判断由人完成。安装后先在测试环境跑一遍,不要直接放到生产 Gateway。对于软文或推广类技能,更要区分“提高效率”和“扩大权限”的边界。
第四条原则:输出日志和操作审计
没有日志的自动化,出了问题只能靠猜。OpenClaw 既然可能执行浏览器操作、脚本和文件写入,就应该为关键任务保留记录。至少要记录触发人、触发通道、任务原文、调用工具、访问文件、执行命令、输出结果、异常堆栈和最终摘要。日志不一定要很重,可以先用 Markdown 或 JSONL 存在本地目录,再定期归档。
对站长来说,审计日志还能提升内容生产效率。比如你让 OpenClaw 修改网站配置、生成文章草稿、整理关键词、检查死链,日志可以帮助你复盘哪些提示词有效,哪些步骤容易误判。安全和效率并不冲突,清晰的记录会让自动化更可控。
第五条原则:把高风险动作改成审批流
AI 代理最怕“一句话直接执行到底”。建议把任务分为三类。低风险任务可以自动执行,例如读取公开网页、生成日报、整理公开资料。中风险任务需要执行前确认,例如提交表单、发送邮件、创建 GitHub Issue、改动草稿。高风险任务只能生成方案,不能自动执行,例如删除数据、修改 DNS、重置密码、付款、开通云资源、发布生产版本。
你可以在 OpenClaw 的个人规则或工作区说明中写明这些边界:遇到高风险动作,必须先列出计划、影响范围、回滚方式和需要人工确认的按钮;没有确认不得继续。这个规则越早写越好,因为等自动化流程变复杂后,再补边界往往会漏掉旧任务。
推荐的站长安全清单
一,Gateway 不直接暴露公网,优先内网、反向代理和 WebAuth。二,所有 API Key 使用最小权限,并定期轮换。三,为 OpenClaw 创建专用账号,不使用站长主账号。四,Skills 安装前审查来源、权限和外联域名。五,生产环境和测试环境分开。六,关键操作保留日志。七,高风险动作人工确认。八,日报和截图目录不要公开访问。九,教程截图打码 Token、域名后台、邮箱和路径。十,发生异常后先停 Gateway,再吊销凭据,最后看日志定位原因。
总结
OpenClaw 的正确打开方式不是“权限全开,让 AI 自由发挥”,而是把它当作一个能连接现实工具的自动化网关来治理。它适合站长、开发者和运营人员做重复任务、信息整理和跨工具协作,但必须配合权限隔离、访问控制、日志审计和人工审批。安全不是阻碍 OpenClaw 发挥价值的刹车,而是让它可以长期稳定运行的地基。部署成功只是第一步,能安全地跑一个月、三个月、半年,才是真正进入生产使用。
