国家互联网应急中心发布OpenClaw安全使用指南 普通人安全养龙虾方法来了

为帮助用户安全使用OpenClaw，日前，国家互联网应急中心、中国网络空间安全协会联合发布OpenClaw安全使用实践指南，面向普通用户、企业用户、云服务商以及技术开发者等，提出安全防护建议。

对于普通用户，官方建议使用专用设备、虚拟机或容器安装OpenClaw，并做好环境隔离，不宜在日常办公电脑上安装。

此外，建议不将OpenClaw默认端口（18789\19890）暴露到公网、建议不使用管理员或超级用户权限运行OpenClaw、建议安装可信技能插件（Skills）、建议不在OpenClaw环境中存储/处理隐私数据等，具体建议如下：

（一）建议使用专用设备、虚拟机或容器安装OpenClaw，并做好环境隔离，不宜在日常办公电脑上安装 。

方案 1：用闲置旧电脑专门运行 ，清空个人数据。

方案 2：用VMware、VirtualBox、 Docker创建独立虚拟机或容器 ，并与宿主机隔离。

方案 3：在云服务器部署 ，本地仅远程访问。

（二）建议不将OpenClaw 默认端口（18789\19890）暴露到公网

配置为仅本地访问（127.0.0.1），关闭端口映射与公网IP绑定。

若对接即时通讯软件（如微信、钉钉、飞书等等），建议仅允许本人或已授权的可信人员访问。

（三）建议不使用管理员或超级用户权限运行OpenClaw

创建专用低权限账户，仅授予最小必要目录的读写权限。

关闭无障碍、屏幕录制、系统自动化等高危权限。

仅开放专用工作目录 ，禁止访问桌面、文档、下载、密码管理器目录。

配置白名单路径 ，拒绝读取配置文件、密钥文件等隐私配置。

关闭系统命令执行功能 ，仅在必要时临时启用并二次确认。

限制网络访问 ，仅允许连接必要的AI服务与API。

（四）建议安装可信技能插件（Skills）

谨慎安装、使用外部社区/个人发布的Skills，预防信息泄露或服务器被攻击等风险。

拒绝“自动赚钱、撸羊毛、破解”类不明技能或黑灰产技能。

（五）建议不在 OpenClaw 环境中存储/处理隐私数据

不用OpenClaw处理银行卡、密码、身份证、密钥等数据。

（六）建议及时更新OpenClaw最新版本

及时安装官方安全补丁 ，关注官方安全公告与漏洞通报。