一、风险现状触目惊心全球超27 万个 OpenClaw 实例因配置不当暴露公网ClawHub 技能市场已发现800 恶意插件含1400 恶意载荷真实安全事件VNC 配置不当 → 信用卡盗刷恶意插件泄露 API Key → 产生1.2 万元 Token 账单一句话总结配置不当的 OpenClaw 家门钥匙放门口 贴 “欢迎光临”。二、安全使用总原则十二字箴言最小权限、主动防御、持续审计三、环境隔离第一道防线1. 严禁直接在主力机 / 个人机安装2. 推荐部署架构独立物理机 / 专用云服务器最安全容器隔离推荐普通用户禁用所有能力cap_drop: all只读挂载工作目录使用内部隔离网络切断公网直连3. 最小权限用户bash运行sudo adduser --shell /bin/rbash --disabled-password clawuser仅开放必要命令强制只读PATH禁止 root / 管理员运行四、权限与操作规范禁止清单❌ 禁止 root 运行❌ 禁止在内网 / 生产设备部署❌ 禁止直连企业内网操作流程先预览 → 再确认每周查日志每月安全自检openclaw security audit每季度全量备份五、数据安全三重防护1. 三层备份热备实时同步工作区冷备每周完整备份配置、记忆、技能异地备加密云存储2. 密钥安全绝不明文写进配置文件使用环境变量注入每 90 天轮换密钥开启预算与频率告警3. 传输与存储加密远程必走 SSH 隧道禁用 root 登录敏感文件 GPG 加密工作目录权限700六、网络安全关闭所有多余门1. 端口与防火墙18789Gateway仅允许指定 IP22SSHIP 白名单其他端口全部关闭2. 网络架构DMZ → 反向代理 / WAF → 隔离区 → OpenClaw启用 HTTPS 基础认证独立 VLAN / 访客网络3. 固件与更新先备份 → 断网更新 → 验证功能只使用官方稳定源订阅官方安全公告七、敏感信息保护1. 数据分级公开数据可正常使用内部数据加密存储敏感数据身份证、手机号、财务绝对禁止传入2. 脱敏示例手机号138****1234身份证110101********123X3. 账户安全密码 ≥16 位大小写 数字 符号所有平台启用 MFA / 硬件密钥会话超时 ≤30 分钟禁用 “记住我”八、高危漏洞与应急处置高危漏洞ClawJacked 远程控制CVE-2026-25253影响 2026.2.25修复立即升级跨域重定向漏洞GHSA-6mgf-v5j7-45cr修复≥ 2026.3.7恶意技能投毒伪装下载器、钱包助手危害偷密钥、留后门、篡改记忆自检清单端口是否暴露0.0.0.0认证是否过弱版本是否存在已知漏洞CPU / 流量 / 日志是否异常应急流程立即断网保留现场与日志评估数据是否泄露重置所有密钥与密码按安全基线重装 / 加固企业数据按规定上报九、给普通用户的最终建议不熟悉 IT 安全 → 先观望不跟风已部署用户立刻按本文加固牢记工具价值取决于使用者认知不被技术狂热冲昏理智安全 效率理性拥抱新技术安全同行才是真正开心 “养虾”。《AI提示工程必知必会》为读者提供了丰富的AI提示工程知识与实战技能。《AI提示工程必知必会》主要内容包括各类提示词的应用如问答式、指令式、状态类、建议式、安全类和感谢类提示词以及如何通过实战演练掌握提示词的使用技巧使用提示词进行文本摘要、改写重述、语法纠错、机器翻译等语言处理任务以及在数据挖掘、程序开发等领域的应用AI在绘画创作上的应用百度文心一言和阿里通义大模型这两大智能平台的特性与功能以及市场调研中提示词的实战应用。通过阅读《AI提示工程必知必会》读者可掌握如何有效利用AI提示工程提升工作效率创新工作流程并在职场中脱颖而出。
OpenClaw(小龙虾)安全使用白皮书
一、风险现状触目惊心全球超27 万个 OpenClaw 实例因配置不当暴露公网ClawHub 技能市场已发现800 恶意插件含1400 恶意载荷真实安全事件VNC 配置不当 → 信用卡盗刷恶意插件泄露 API Key → 产生1.2 万元 Token 账单一句话总结配置不当的 OpenClaw 家门钥匙放门口 贴 “欢迎光临”。二、安全使用总原则十二字箴言最小权限、主动防御、持续审计三、环境隔离第一道防线1. 严禁直接在主力机 / 个人机安装2. 推荐部署架构独立物理机 / 专用云服务器最安全容器隔离推荐普通用户禁用所有能力cap_drop: all只读挂载工作目录使用内部隔离网络切断公网直连3. 最小权限用户bash运行sudo adduser --shell /bin/rbash --disabled-password clawuser仅开放必要命令强制只读PATH禁止 root / 管理员运行四、权限与操作规范禁止清单❌ 禁止 root 运行❌ 禁止在内网 / 生产设备部署❌ 禁止直连企业内网操作流程先预览 → 再确认每周查日志每月安全自检openclaw security audit每季度全量备份五、数据安全三重防护1. 三层备份热备实时同步工作区冷备每周完整备份配置、记忆、技能异地备加密云存储2. 密钥安全绝不明文写进配置文件使用环境变量注入每 90 天轮换密钥开启预算与频率告警3. 传输与存储加密远程必走 SSH 隧道禁用 root 登录敏感文件 GPG 加密工作目录权限700六、网络安全关闭所有多余门1. 端口与防火墙18789Gateway仅允许指定 IP22SSHIP 白名单其他端口全部关闭2. 网络架构DMZ → 反向代理 / WAF → 隔离区 → OpenClaw启用 HTTPS 基础认证独立 VLAN / 访客网络3. 固件与更新先备份 → 断网更新 → 验证功能只使用官方稳定源订阅官方安全公告七、敏感信息保护1. 数据分级公开数据可正常使用内部数据加密存储敏感数据身份证、手机号、财务绝对禁止传入2. 脱敏示例手机号138****1234身份证110101********123X3. 账户安全密码 ≥16 位大小写 数字 符号所有平台启用 MFA / 硬件密钥会话超时 ≤30 分钟禁用 “记住我”八、高危漏洞与应急处置高危漏洞ClawJacked 远程控制CVE-2026-25253影响 2026.2.25修复立即升级跨域重定向漏洞GHSA-6mgf-v5j7-45cr修复≥ 2026.3.7恶意技能投毒伪装下载器、钱包助手危害偷密钥、留后门、篡改记忆自检清单端口是否暴露0.0.0.0认证是否过弱版本是否存在已知漏洞CPU / 流量 / 日志是否异常应急流程立即断网保留现场与日志评估数据是否泄露重置所有密钥与密码按安全基线重装 / 加固企业数据按规定上报九、给普通用户的最终建议不熟悉 IT 安全 → 先观望不跟风已部署用户立刻按本文加固牢记工具价值取决于使用者认知不被技术狂热冲昏理智安全 效率理性拥抱新技术安全同行才是真正开心 “养虾”。《AI提示工程必知必会》为读者提供了丰富的AI提示工程知识与实战技能。《AI提示工程必知必会》主要内容包括各类提示词的应用如问答式、指令式、状态类、建议式、安全类和感谢类提示词以及如何通过实战演练掌握提示词的使用技巧使用提示词进行文本摘要、改写重述、语法纠错、机器翻译等语言处理任务以及在数据挖掘、程序开发等领域的应用AI在绘画创作上的应用百度文心一言和阿里通义大模型这两大智能平台的特性与功能以及市场调研中提示词的实战应用。通过阅读《AI提示工程必知必会》读者可掌握如何有效利用AI提示工程提升工作效率创新工作流程并在职场中脱颖而出。
