OpenClaw 火了之后,围绕它的商业化产品几乎是爆发式涌现。Kimi Claw、MaxClaw、阿里 CoPaw、Manus……国内大小厂商纷纷推出基于 OpenClaw 的云端托管版或深度定制版,把原本需要命令行配置的"极客玩具"包装成了一键部署的 AI Agent 服务。 降门槛是好事。但一个关键问题被很多人忽略了:这些产品在帮你省掉部署麻烦的同时,安全这层到底做了多少?
OpenClaw 自身的安全事故已经够密集了——ClawHub 插件市场被曝出 341 个恶意技能、ClawJacked 核心漏洞允许网页静默劫持本地 Agent、全球超过 13 万实例暴露在公网、Meta AI 安全负责人的邮箱被 OpenClaw 批量清空。而当这些风险从个人电脑搬到了云端集群,问题并不会自动消失,反而可能以新的形态出现。
如果你正在这批 OpenClaw 衍生产品中做选择,这篇文章帮你理清安全维度上该关注什么。
云端托管 ≠ 安全托管
很多人的直觉是:本地部署 OpenClaw 风险大,上云就安全了。这个想法只对了一半。
云端托管确实解决了一部分问题,比如你不用再担心自己的笔记本网关暴露在公网。但"上云"也引入了新的信任关系——你的对话数据、执行指令、API 凭证,现在都跑在别人的服务器上。产品方的沙盒隔离做得好不好、内部服务有没有认证保护、你的对话日志怎么存储,这些你看不见的地方,才是真正决定安全水位的关键。
近期就有安全研究者对一家国内基于 OpenClaw 的云端产品做了实测。仅凭几轮正常对话,Agent 就暴露了自己所在阿里云实例的完整元数据(地域、规格、Pod 名称、VPC ID),拿到了可用的 STS 临时凭证,扫描出同网段 93 个同类节点,还发现了一个完全无认证的大模型 API 代理。最终研究者通过 SSH 隧道把这个代理穿透到了公网,任何人都能免费调用 Claude Sonnet 4.6。整个过程没有用到任何"黑客工具",全靠 Agent 自身的命令执行能力。
这说明什么?"上云"并不自动等于"安全"。如果沙盒环境的隔离和认证没做到位,Agent 本身就是最好的渗透工具。
选产品时,安全方面看哪几点?
目前这批 OpenClaw 衍生产品大致分两类:一类是直接把 OpenClaw 搬上云做托管(比如 Kimi Claw 本质上是云端虚拟机里跑原生 OpenClaw),另一类是在 OpenClaw 基础上做了深度改造和自研(比如 DeskClaw 内置了自己的技能体系和浏览器控制)。不管哪类,以下几个维度值得在选型时留意。
沙盒隔离的颗粒度。 你的 Agent 和其他用户的 Agent 之间,是共享容器还是独立虚拟机?能不能互相扫描到?能不能访问对方的监控端口?前面提到的案例里,93 个 Agent 节点彼此网络互通、Prometheus 监控数据无认证暴露,就是典型的隔离不到位。好的方案(比如基于 Firecracker MicroVM 的沙盒)能做到实例级完全隔离,每个任务运行在独立环境中。选型时可以问一句:你们的沙盒架构是容器级还是虚拟机级?
内部服务的认证机制。 OpenClaw 类产品的后端通常有一个 LLM 代理服务,负责把你的请求转发给底层大模型。如果这个代理没有认证、监听在所有网卡上,那 Agent 自身就能发现并直接调用它——等于把钥匙和锁放在同一个抽屉里。选型时关注产品方是否提到了 API 鉴权、最小权限原则、零信任架构等安全实践。
对话数据的处理方式。 你和 Agent 的每一轮对话(包括你发的消息、系统提示词、工具调用参数、模型完整回复)都会被记录。问题在于:这些日志是明文还是加密?存储权限如何设置?是否会被用于模型训练?保留多久?能否删除?不同产品的处理方式差异很大。Kimi Claw 的数据托管在 Moonshot 云端,MaxClaw 跑在 MiniMax 的基础设施上——选之前,至少看一下它们的隐私政策和数据处理说明。
ClawHub 插件的安全审核。 大部分 OpenClaw 衍生产品都接入了 ClawHub 的 5000+ 社区技能。但这个插件市场的审核机制目前还很薄弱——已被识别的恶意技能超过 341 个,伪装成加密工具或生产力插件,实际窃取系统密码和本地文件。思科安全团队甚至发现排行榜第一的插件就是恶意软件。选型时关注产品方是否对 ClawHub 技能做了二次安全审核或白名单过滤,而不是原封不动地全部开放。
厂商的安全态度和响应能力。 这条没法量化,但可以通过几个信号判断:有没有公开的安全白皮书或安全实践文档?是否通过了等保认证?出了安全问题的响应速度如何?OpenClaw 核心团队的漏洞修复速度值得肯定(ClawJacked 24 小时内修复),但衍生产品厂商的安全投入参差不齐。一个只顾着抢 OpenClaw 热度却不投入安全建设的产品,迟早会出事。
普通用户的自保清单
即使你选了一个相对靠谱的产品,作为日常使用者也有一些简单习惯可以降低风险。
不要在 Agent 对话中输入密码、API Key、客户隐私数据等敏感信息。不管产品方怎么保证安全,这条原则都适用。
谨慎安装 ClawHub 上的第三方插件。优先选择标注为官方或经过验证的技能,遇到要求输入系统密码或执行陌生命令的插件,果断放弃。
不要给 Agent 超出任务需要的权限。写文案的 Agent 不需要访问你的文件系统,做信息汇总的 Agent 不需要操作你的邮箱。按最小权限原则来配置。
设置 API 用量上限。OpenClaw 类产品在执行任务时会大量消耗 Token,有用户实测二三十个回合就烧掉数百美元。如果用的是按量付费的产品,务必在后台设好预算上限。
写在最后
OpenClaw 点燃了 AI Agent 的想象力,而围绕它涌现的这批产品正在把这种能力推向更多普通用户。这个方向本身值得期待,但"能做事"的前提始终是"做得安全"。
当你在 Kimi Claw、MaxClaw、DeskClaw 之间犹豫不决的时候,功能对比和价格对比固然重要,但别忘了多加一个维度:安全这关,它过了吗?
