随着AI技术的快速发展，OpenClaw（俗称“龙虾”）因其强大的自然语言指令执行能力，正在被广泛应用于研发、生产、运维等领域。

然而，其高权限操作能力也带来了严重的安全隐患。本文为您梳理OpenClaw使用规范与防护建议，助您在享受技术便利的同时规避风险。

一、OpenClaw威胁与风险

1. 能力越强，风险越大

▶ OpenClaw可持久记忆、主动执行任务，若缺乏权限控制或审计机制，可能被恶意指令诱导、供应链投毒，导致系统失控、数据泄露。

▶ 工信部等机构已多次发布安全预警，强调其“信任边界模糊”“多渠道接入”等特征带来的潜在威胁。

2. 典型攻击场景

▶ 恶意技能包：官方技能市场（ClawHub）中约12%插件含窃取SSH密钥或部署木马的恶意代码。

▶ 社会工程学攻击：通过诱导点击链接、浏览恶意网站，实现浏览器劫持或脚本注入。

▶ 指令歧义：模糊指令可能导致AI误操作，如批量删除关键文件。

二、助力防范OpenClaw数据泄密风险

天锐股份提供专业OpenClaw使用防护建议

1. 全局禁用策略

▶限制node.js读取/.openclaw/目录下的.md、.js、.json文件，禁止启动OpenClaw。

▶若OpenClaw部署载WSL2（Windows Subsystem for Linux）环境中，可采用应用程序限制策略禁止wsl.exe运行。注：会影响其他wsl2子系统无法使用。

2. 使用审批与备案

▶企业需建立申请制度，明确使用场景、部署位置、权限范围及安全措施，经信息安全部门审批后方可启用。

3. 合规使用管控

▶文件内容防护：

· 加密文件防护：对文件进行加密，仅允许授信程序读取加密文件（如加密后OpenClaw无法读取）。

▶技能使用限制：

· 仅允许官方技能，非官方技能需提前申请并审核,通过文件权限控制功能管控技能文件夹的操作权限，。

▶访问限制：

· 禁止OpenClaw端口外网映射，通过终端防火墙功能限制node.exe进程仅允许本地访问（127.0.0.1）。

4. 风险应急措施

▶实时备份：

· 启用智能备份功能，对关键文件与配置进行实时保护，防止误删。

▶审计追溯：

· 即时通讯内容审计：记录OpenClaw与飞书、钉钉等平台的聊天内容。

· 屏幕录屏：记录终端操作过程，便于事后追溯。

三、总结：技术+制度双闭环

OpenClaw使用时的防护需从企业制度与技术手段双管齐下：

1. 制度流程：明确使用审批、备案、审计流程；

2. 技术防护：通过文件加密、权限控制、网络隔离等技术手段降低风险。

未来，随着OpenClaw的持续发展，防护策略也将动态更新。

结语

AI技术的潜力无限，但安全始终是创新的底线。通过规范使用与科学防护，企业可最大化OpenClaw的价值，同时筑牢数据安全防线。