（国家互联网应急中心CNCERT、中国网络空间安全协会 联合发布）

OpenClaw（龙虾） 因具备系统指令执行、文件读写、API调用等高权限能力 ，默认配置与不当使用极易导致远程接管、数据泄露、恶意代码执行等严重安全风险。为帮助用户安全使用OpenClaw，CNCERT会同中国网络空间安全协会组织国内相关厂商共同研究，面向普通用户提出以下安全防护建议。

一、建议使用专用设备、虚拟机或容器安装OpenClaw，并做好环境隔离，不宜在日常办公电脑上安装。

• 方案 1：用闲置旧电脑专门运行 ，清空个人数据。
  

• 方案 2：用VMware、VirtualBox、 Docker创建独立虚拟机或容器 ，并与宿主机隔离。
  

• 方案 3：在云服务器部署 ，本地仅远程访问。

二、建议不将 OpenClaw 默认端口（18789\19890） 暴露到公网

• 配置为仅本地访问（127.0.0.1），关闭端口映射与公网 IP 绑定。
  

• 如需远程，建议采用VPN访问等方式，并启用验证码等强认证措施。
  

• 若对接即时通讯软件（如微信、钉钉、飞书等等），建议仅允许本人或已授权的可信人员访问。

三、建议不使用管理员或超级用户权限运行 OpenClaw

• 创建专用低权限账户，仅授予最小必要目录的读写权限。
  

• 关闭无障碍、屏幕录制、系统自动化等高危权限。
  

• 仅开放专用工作目录 ，禁止访问桌面、文档、下载、密码管理器目录。
  

• 配置白名单路径 ，拒绝读取配置文件、密钥文件等隐私配置。
  

• 关闭系统命令执行功能 ，仅在必要时临时启用并二次确认。
  

• 限制网络访问 ，仅允许连接必要的AI服务与API。

四、建议安装可信技能插件（Skills）

• 谨慎安装、使用外部社区/个人发布的Skills，预防信息泄露或服务器被攻击等风险
  

• 拒绝“自动赚钱、撸羊毛、破解”类不明技能或黑灰产技能。

五、建议不在 OpenClaw 环境中存储/处理隐私数据

• 不用OpenClaw处理银行卡、密码、身份证、密钥等数据。

六、建议及时更新 OpenClaw最新版本

• 及时安装官方安全补丁 ，关注官方安全公告与漏洞通报。

转载来源：国家互联网应急中心CNCERT