VoxYZ 标志
VoxYZ AI
安全清单

OpenClaw 安全清单

ClawHub 上 13.4% 的技能包存在严重安全问题。以下是如何在 20 分钟内保护你的 agent。

来源: Snyk ToxicSkills 报告, 2026 年 2 月

攻击面

13.4%

Snyk 扫描的 ClawHub 上 3,984 个技能包中存在关键安全问题的比例。

加固耗时

~20 min

足以完成一次可信的初步加固,但不是最终保障。

运维节奏

每晚

每晚一次简短的自动审计,在隐患积压前发现变化。

第一部分

先让 AI 输出报告

不要让 AI 一次性加固所有内容。先用保守的审查生成一份简短的诊断报告:今天该修什么、什么可以等、什么还能正常用、什么会变得不方便。

推荐模型: GPT-5.4 · reasoning: Extra High

审查环节使用强推理模型。后续跟进工作再换更快更便宜的模型。

好的首次回答应该是什么样

  • 一个清晰的整体状态,而不是一堆警告
  • 当前需要修复的不超过 3 件事
  • 每条建议都有通俗的利弊说明
  • 最小的下一步操作,加上哪些东西不要盲目改
AI review prompt
1Run a conservative security review for my OpenClaw setup.
2 
3Before making any claims, read the local OpenClaw docs snapshot and use it as the source of truth. Do not guess from memory.
4 
5Use this 5-step baseline as your review rubric:
61. Run `openclaw security audit --deep`
72. Check whether plaintext secrets still exist in config
83. Check whether elevated exec is enabled
94. Evaluate whether non-main or external sessions should be sandboxed
105. Check whether a nightly audit exists
11 
12Important:
13- Do not make any config changes.
14- Do not auto-fix anything.
15- Do not suggest maximum lockdown by default.
16- If a recommendation would reduce workflow convenience, explain that tradeoff clearly.
17- If sandboxing would break host tools, browser state, local passwords, or outbound API access, say so explicitly.
18 
19Return this exact format:
20 
21Overall status: [Safe enough / Needs attention / Fix now]
22 
23Fix today (max 3):
24- [issue]: protects [what], costs [what convenience]
25 
26Can wait (max 3):
27- [issue]: protects [what], costs [what convenience]
28 
29Skip for my workflow (optional, max 2):
30- [issue]: why it may not fit this setup right now
31 
32What still works after these changes: [one sentence]
33What gets less convenient: [one sentence]
34 
35End with:
36- the smallest next change I should consider
37- the exact command or file to inspect next
38- what I should not change blindly

第二部分

快速检查

五个实用修复。先从最简单的基线改进开始,再决定你的工作流是否能接受更严格的隔离。

完成度

0 / 5 已完成

步骤 1

运行安全审计

先用内置审计工具检查,阅读严重发现后再动手改其他东西。

为什么重要

你需要一个当前基线。`openclaw security audit --deep` 检查网关暴露、浏览器暴露、提权白名单和本地文件权限等常见隐患。严重发现应视为活跃暴露而非待办事项。

  • 使用 `--deep` 执行额外的最佳努力 Gateway 实时探测,而不仅是静态配置检查。
  • 同时关注 `critical` 和 `warn`,但将 `critical` 视为停线级工作。
  • 在使用 `--fix` 前先查看报告;修复路径会收紧通道策略、敏感日志脱敏和本地文件权限等安全默认值。
CLI
1openclaw security audit --deep

步骤 2

将密钥移出配置文件

停止在 `openclaw.json` 中存储明文 API 密钥和令牌;改用环境变量或认证配置引用。

为什么重要

配置中的明文凭据容易通过截图、日志、备份和 prompt 可访问的文件泄露。

步骤 3

默认禁用提权执行

除非确实需要,否则关闭从聊天到高权限主机执行的直接路径。

为什么重要

提权执行会让 prompt 错误和恶意技能包更快地演变为主机级事故。

步骤 4

先在非主会话上测试沙箱

如果你的工作流能接受,这是一个很强的首次隔离措施。不要假设它没有代价。

为什么重要

大多数风险较高的自动化和技能实验发生在副会话中。在 OpenClaw 中,组、频道和其他非主会话是在触及主工作循环之前测试隔离的天然场所。

步骤 5

设置每晚审计

自动化深度审计,以便在回退积压之前发现它们。

为什么重要

安全会悄然漂移:新技能包、配置变更和复制的密钥往往在你未注意的时刻出现。

第三部分

威胁全景

问题不是理论上的。生态系统中已经包含被注入 prompt 的技能包、硬编码的密钥,以及大量恶意上传。

3,984 个技能包已扫描

3,984

Snyk

严重问题

534 · 13.4%

Snyk

存在安全缺陷

1,467 · 36.8%

Snyk

恶意技能包使用 prompt 注入

91%

Snyk

硬编码密钥的技能包

10.9%

Snyk

单一作者恶意技能包浪潮

314 · hightower6eu

Community report

风险柱状图

扫描数据直观化

严重问题

至少存在一个严重问题

13.4%

存在缺陷

存在任何已报告的安全问题

36.8%

恶意技能包中的 prompt 注入

恶意样本中 prompt 注入的使用率

91%

硬编码密钥

在技能包中直接暴露凭据

10.9%

这在运维上意味着什么

不要默认假设技能目录是干净的。像对待软件包引入一样对待安装:验证来源、检查代码,然后在可用的最小权限范围内运行。

它是你的私人助手,不是公交车。安全面积也应该如此对待。

steipeteOpenClaw 创始人,谈隔离默认值的重要性

第四部分

一次真实的加固过程

这是我们自己 OpenClaw 审计中的一次真实 before/after 快照。它展示了首次加固的形态,不是通用的最终状态。

这是我们自己审计中的一次真实加固过程,不是通用的最终状态。如果 agent 需要保留主机工具、浏览器登录状态或本地凭证访问,你可以先收紧其他控制,再保持沙箱较宽松。

真实运营审计快照

指标

之前

之后

严重

1

0

警告

5

1

明文密钥

提权执行

开启

关闭

沙箱策略

关闭

非主会话(试运行)

每晚审计

第六部分

把清单变成真正的运营习惯

清单帮你走出显而易见的危险区。Ship Faster Pro 包含完整的运营手册:加固模式、审查循环,以及一套正在运行的多 agent 系统背后的生产路径。

手册深度

从首次审计到生产级安全运营模式。

真实配置

具体的设置项,不是泛泛的"小心一点"建议。

运维节奏

每晚检查和可重复的审查循环,让设置保持干净。

邮件通讯

获取后续安全笔记

实用的加固笔记、运营模式,以及值得一读的 OpenClaw 安全新发现。

New features, agent tips, and behind-the-scenes updates. No spam, unsubscribe anytime.