基于工信部《OpenClaw 安全使用"六要六不要"》指南,结合 NIST AI RMF 与 ISO/IEC 42001 标准, 构建覆盖接入控制、内容审计、Skill 治理、执行管控、网络隔离的纵深防御体系。
供应链攻击(恶意 Skill)导致企业内网横向渗透,敏感数据泄露。
系统敏感信息泄露、设备被劫持控制,DevOps 流水线遭渗透。
Prompt 注入误执行危险命令,个人信息被窃,隐私裸露公网。
账户被接管,错误操作引发资金损失,交易权限遭非法利用。
| 法规 / 标准 | 生效时间 | 核心要求 |
|---|---|---|
| 《网络安全法》修订版 | 2026-01-01 | 首次将 AI 纳入法治监管框架 |
| 《AI 生成内容安全管理办法》升级版 | 2026-02-17 | 强制内容标识,高风险领域准入评估 |
| 《AI 生成合成内容标识方法》国标 | 2026-02 强制 | AI 内容强制标识 |
| 工信部 NVDB"六要六不要" | 2026-03-11 | OpenClaw 专项安全使用指南 |
| NIST AI RMF | 2023-01 | Govern / Map / Measure / Manage |
| ISO/IEC 42001 | 2023-12 | 首个可认证 AI 管理体系国际标准 |
OpenClaw 支持内置更新机制(gateway.update.run),可通过 Gateway API 触发更新并重启。
# 1. 查看当前版本
openclaw version
# 2. 触发就地更新(SIGUSR1 热重启)
openclaw update
# 3. 更新前备份
cp -r ~/.openclaw ~/.openclaw.bak.$(date +%Y%m%d)
# 4. 更新后验证
openclaw doctor --non-interactive每周一 09:00 通过 cron 自动检查版本;发现新版本 → 通知管理员 → 确认后执行更新。
当前版本与官方 latest 一致;无已知 CVE 漏洞版本在运行;openclaw doctor 无 error。
OpenClaw Gateway 默认绑定 127.0.0.1,天然不暴露公网。这是已有的正确默认值,需固化为配置基线。
[企业内网] ──VPN──▶ [OpenClaw 127.0.0.1:PORT] ✅
[外部访问] ──SSH隧道──▶ [OpenClaw 127.0.0.1:PORT] ✅
[公网直连] ──────▶ [OpenClaw 0.0.0.0:PORT] ❌ 禁止# 验证 Gateway 绑定地址(应为 127.0.0.1)
ss -tlnp | grep <gateway_port>
# 每日自动扫描(cron)
nmap -sT -p <port> <public_ip> | grep -q "open" && \
echo "⚠️ OpenClaw 暴露公网!" | 企微告警推送从公网 IP 扫描 Gateway 端口,状态为 closed 或 filtered。
OpenClaw 原生支持 exec.security=allowlist、Docker 沙箱(openclaw-sandbox:bookworm-slim)、文件系统限制 workspaceOnly。
{
"tools": {
"exec": {
"security": "allowlist", // 仅允许白名单命令
"ask": "on-miss", // 非白名单命令需审批
"host": "sandbox" // 强制在 Docker 沙箱执行
},
"fs": {
"workspaceOnly": true // 文件操作限定在 workspace
}
}
}docker run --read-only \
--network none \
-v ~/.openclaw/workspace:/workspace \
--memory 512m --cpus 1.0 \
openclaw-sandbox:bookworm-slim
# 专用低权限服务账号
sudo useradd -r -s /bin/false openclaw-svc
sudo -u openclaw-svc openclaw gateway startexec.security 不为 full;运行账号非 root/admin;生产环境运行于 Docker 沙箱。
OpenClaw 目前无内置 Skill 审核审批流程,需通过配置禁用自动安装 + 建立人工审查流程补充。
{
"tools": {
"deny": ["clawhub.install", "clawhub.update"]
}
}#!/bin/bash
DANGEROUS_PATTERNS=("curl.*|.*sh" "wget.*|.*sh" "\.zip" "unzip"
"chmod.*+x" "sudo" "password|passwd|密码" "rm -rf")
for pattern in "${DANGEROUS_PATTERNS[@]}"; do
grep -rqi "$pattern" "$1" && \
echo "⚠️ 危险模式: $pattern" && exit 1
done
echo "✅ 扫描通过"所有已安装 Skill 均有书面安全审查记录;clawhub install 命令不可由 Agent 自主执行。
1. openclaw gateway stop # 立即停止 Gateway
2. openclaw config set gateway.auth.token $(openssl rand -hex 32)
3. rm ~/.openclaw/credentials/*-allowFrom.json # 吊销所有 Pairing
4. 审查最近 24h 操作日志
5. 确认无数据外泄后重新启动web_fetch 域名受白名单限制;存在书面应急响应 SOP 文件;安全团队已培训。
OpenClaw 内置 cron 调度系统,可直接配置定期安全检查。
每天 08:00 → openclaw doctor --non-interactive
每周一 09:00 → 检查 OpenClaw 版本更新
每周三 10:00 → 审查上周审计日志摘要
每月 01 日 → 全量安全巡检(暴露面 + Skill + 凭证轮换)有书面安全巡检记录;工信部 NVDB 公告已订阅;openclaw doctor 每日自动执行。
# 确认来自官方 npm registry
npm info openclaw dist.tarball # 应为 registry.npmjs.org
npm info openclaw version # 确认为 latest
# CI/CD 校验包哈希(与官方发布一致)
npm pack openclaw | sha256sum编写《OpenClaw 安装规范》:只能通过 npm install -g openclaw 从官方源安装;任何第三方下载链接视为违规事件。
sudo /usr/libexec/ApplicationFirewall/socketfilterfw \
--blockapp $(which node)
# 每日自动扫描 + 告警
nmap -sT -p <port> <public_ip> | grep "open" && \
echo "CRITICAL: Gateway 暴露公网" | 企微推送# 创建专用低权限账号
sudo dscl . -create /Users/openclaw-svc
sudo dscl . -create /Users/openclaw-svc UserShell /usr/bin/false
sudo dscl . -create /Users/openclaw-svc UniqueID 510
# 配合 launchd 以服务账号运行
# /Library/LaunchDaemons/ai.openclaw.gateway.plist
# <key>UserName</key><string>openclaw-svc</string>
# 验证
ps aux | grep openclaw # 确认非 root/adminps aux | grep openclaw 显示运行账号为专用服务账号,非 root 或管理员用户。
OpenClaw 无自动检测机制,需在 Skill 审查流程加入自动扫描(参见要四中的扫描脚本)。任何触发以下行为的 Skill 一律拒绝:
❌ curl ... | bash / wget ... | sh
❌ 要求下载 .zip 文件后解压执行
❌ 要求用户输入密码或密钥
❌ chmod +x + 执行未知二进制
❌ rm -rf 非 workspace 路径
❌ sudo / 提权操作web_fetch 工具目前无内置域名白名单,需通过配置 + 插件开发实现。
{
"tools": {
"web": {
"fetch": {
"allowedDomains": [
"*.anthropic.com", "openrouter.ai",
"api.github.com", "qyapi.weixin.qq.com",
"doc.weixin.qq.com",
"generativelanguage.googleapis.com",
"api.telegram.org"
]
}
}
}
}开发 Gateway 插件:在 web_fetch 调用前拦截非白名单域名;对工具返回内容进行 Prompt Injection 扫描;可疑访问记录审计日志。
~/.openclaw/logs/*.log {
daily
rotate 180
compress
delaycompress
missingok
notifempty
copytruncate
}
# 日志完整性保护(防篡改)
sha256sum ~/.openclaw/logs/gateway.log \
>> ~/.openclaw/logs/integrity.sha256| # | 措施 | 可行性 | 优先级 | 预估工期 |
|---|---|---|---|---|
| 要1 | 使用官方最新版本 | ✅ 直接实施 | P0 | 1 天 |
| 要2 | 严控互联网暴露面 | ✅ 直接实施 | P0 | 1 天 |
| 要3 | 最小权限原则 | ✅ 直接实施 | P0 | 3 天 |
| 要4 | 谨慎使用 Skill 市场 | 🔧 流程改造 | P1 | 1 周 |
| 要5 | 防社工 + 浏览器劫持 | 🔧 需改造 | P1 | 2 周 |
| 要6 | 长效防护机制 | ✅ 直接实施 | P1 | 3 天 |
| 不要1 | 禁用第三方镜像 | ✅ 直接实施 | P0 | 1 天 |
| 不要2 | 禁止暴露公网 | ✅ 直接实施 | P0 | 1 天 |
| 不要3 | 禁用管理员账号部署 | ✅ 直接实施 | P0 | 1 天 |
| 不要4 | 拒绝高危 Skill | 🔧 需开发 | P1 | 1 周 |
| 不要5 | 拒绝不可信 URL | 🔧 需改造 | P2 | 2~4 周 |
| 不要6 | 禁止关闭日志 | ✅ 直接实施 | P0 | 1 天 |
| 补充 | Pairing 强制认证 | ✅ 直接实施 | P0 | 即时 |
| 补充 | Prompt Injection 防护 | 🔧 需开发 | P1 | 3~4 周 |
| 补充 | Zero Trust JIT 访问 | 🔧 需改造 | P2 | 1~2 月 |
| 补充 | SIEM 集成 | 🔧 需改造 | P2 | 1~2 月 |
| 监管要求 | 对应方案措施 | 实施阶段 |
|---|---|---|
| 工信部"六要六不要"(12条) | 第三、四章逐条落地 | P0 已定义 |
| 《网络安全法》日志留存 | logrotate 180天保留 | P0 |
| 《数据安全法》分类分级 | workspace 隔离 + KMS 加密 | P0 / P2 |
| 《个人信息保护法》 | DLP 输出过滤 + 日志脱敏 | P1 |
| 《生成式 AI 管理办法》 | 内容审计 + Pairing 实名接入 | P0 / P1 |
| NIST AI RMF | 全方案对齐 Govern/Map/Measure/Manage | 持续 |
| ISO/IEC 42001 | 本文档可作认证基础材料 | P2 |
{
"tools": {
"profile": "full",
"deny": ["clawhub.install", "clawhub.update"],
"exec": {
"security": "allowlist",
"ask": "on-miss"
},
"fs": {
"workspaceOnly": true
},
"web": {
"search": { "provider": "gemini" },
"fetch": {
"allowedDomains": [
"*.anthropic.com", "openrouter.ai",
"api.github.com", "qyapi.weixin.qq.com",
"doc.weixin.qq.com",
"generativelanguage.googleapis.com"
]
}
}
},
"channels": {
"<your_channel>": { "dmPolicy": "pairing" }
}
}| 文件路径 | 用途 | 权限要求 |
|---|---|---|
| ~/.openclaw/openclaw.json | 主配置 | 600(仅所有者读写) |
| ~/.openclaw/credentials/ | Channel 凭证 + Pairing | 700(仅所有者) |
| ~/.openclaw/devices/ | 设备配对信息 | 700 |
| ~/.openclaw/logs/ | 审计日志 | 600 |
| ~/.openclaw/workspace/ | Agent 工作目录 | 700 |
产品方案:MaaS (Model-as-a-Service) 集中管理台
企业最怕的是员工各自用个人账号去注册各种大模型,这不仅导致费用无法管控,更面临严重的数据外泄风险。我们需要化身为类似 OpenRouter 的角色,将大模型能力收归企业统一管理。
统一底座: 微盛服务端作为唯一出口,整合腾讯混元、DeepSeek、智谱、Kimi、Minimax 等顶级模型接口。企业老板只需向微盛统一公对公采购算力/Token 包。
路由分发与配额: 在企业管理后台,按部门或员工分配额度。例如,客服部门默认路由至成本较低的模型处理常规问答;研发或核心销售可调用高推理能力的深度模型。
防泄漏脱敏: 在网关层设置“数据脱敏墙”,员工发送包含客户身份证、银行卡等敏感正则信息时,网关自动打码后再传给底层大模型。
产品方案:全量 AI 交互审计中台
过去在 SCRM 时代,会话存档是为了防飞单;现在,有了大模型的加持,我们可以实现“防守风控 + 进攻提效”的双向质检。监控所有的员工输入和输出,做违规排查和质检,是我们在企业侧落地的巨大发挥空间。
双向存档可视: 员工在企微端或关联的个人微信端 发送的每一条指令,以及 OpenClaw 返回的每一次结果、调用的每一个工具轨迹,全部结构化留存,支持管理员在后台按员工、按时间、按关键词全文检索。
AI 智能质检引擎: 抛弃死板的关键词正则预警,引入“用 AI 质检 AI”的模式。管理员可设置自然语言规则(如:“当销售向客户作出未经授权的降价承诺时报警”)。系统依靠智能体实时分析会话语义,一旦触发红线,立即熔断回复并向主管推送企微告警。
销冠策略提取: 质检不只是为了抓错。通过分析历史高质量问答,系统可以自动沉淀最佳实践库,反哺给其他员工。
产品方案:基于 RBAC(角色权限控制)的技能分发市场
Skills 是极具杀伤力的武器(权限、能力都可以很大),但绝不能让所有员工随意使用。例如实习生不该拥有“调用财务系统报表”的 Skill。
企业私有技能库: 除了官方提供的通用 Skills(如智能表格同步、在线文档生成),企业可以将内部的 ERP、OA 接口封装为私有 Skills,仅在本企业内可见。
白名单下发机制: 管理员在后台以“应用商店”的形式管理 Skills。支持按组织架构精确授权:市场部只能看到并使用“全网热点搜集”、“营销文案生成”等工具;销售部只能调用“CRM 查单”、“自动打标签”等能力。企业需求预置哪些可用、哪些不能用,必须做到可视化管控。
下架与熔断: 一旦发现某个外部调用的 Skill 存在风险或接口失效,管理员可一键全局禁用,所有终端成员的该能力立即失效。
产品方案:可视化终端权限沙箱
OpenClaw 是“长了手”的,它能读写文件、执行命令。对于部署在员工本地 Mac 或工作站上的实例,必须严格限制其活动范围,防止其失控读取本地机密。
环境隔离模式: 将后台复杂的配置文件转化为极简的开关。管理员可统一强制锁定部分岗位的 OpenClaw 运行模式。例如,普通客服仅开启 messaging(仅聊天模式),禁止其执行本地代码;高级数据分析师才允许开启 full 模式。
指定路径读写(文件夹白名单): 强制限定 AI 只能读取和操作电脑中的特定文件夹(例如 ~/Documents/AI_Workspace)。这样即便被诱导,AI 也无法触碰桌面上 CEO 的薪资 Excel 表格。
在线状态守护机制: 针对“需要设备保持长连接以响应微信消息”的场景,我们在客户端底层加入进程守护逻辑,保障电脑在仅屏幕休眠、不断电联网的情况下 24 小时在线,让关联的个人微信或企微指令永不掉线。