1. 最核心：绝不暴露公网（风险第一杀手） • 只绑 127.0.0.1 或内网IP • 关闭默认 18789 端口对外监听 • 任何公网访问 = 几乎必被接管（已超17万暴露实例被扫描利用） 2. 权限死死锁住（能力越大风险越大） • 永远用最低权限用户运行（非root、非管理员） • 推荐：Docker + user namespace 或完整虚拟机隔离 • 禁止访问：系统目录、浏览器密码、钱包、私钥、密码管理器 • 高危操作（shell、写系统文件）必须手动确认或直接禁用 3. 输入来源彻底白名单 + 防注入 • 只允许特定聊天账号/群发指令（开启严格白名单） • 关闭自动读取网页、邮件、任意文件内容的功能 • 严禁让它自主浏览不信任网址（提示词注入主攻途径） 4. 技能（Skills）与插件零信任 • ClawHub 技能市场已确认上千恶意包 → 只装自己审计过的，或彻底禁用第三方技能 • 所有新技能安装前：人工阅读 Markdown 内容 + 在沙箱环境测试 • 优先用官方/社区公认的 Guard、Shield 类防护插件（定期更新） 5. 日常必须执行的运维底线 • 每天跟进官方 GitHub + CNNVD 漏洞更新（已曝超百个高中危洞） • API Key 设置硬限额 + 每日消费上限 • 敏感凭证全走环境变量，绝不写死配置文件 • 每周审计 memory 文件 + 已安装技能，删除任何可疑内容 OpenClaw 本质是“给了大模型系统执行权的高危代理”，安全度完全取决于你给它的权限有多小。 想极致方便 → 风险极高；想相对安全 → 必须当“养数字猛兽”来管，权限收多少，它就安全多少。 最保守建议：个人重要设备上别用；要玩就扔独立虚拟机/云服务器跑，里面不放任何真实敏感数据。