OpenClaw 安全性：為何運行您自己的模型是唯一真正的解決方案

OpenClaw 正處於安全危機之中，而大多數報導都把焦點放在錯誤的問題上。

是的，CVE-2026-25253 是嚴重的——CVSS 評分 8.8 的一鍵遠端代碼執行鏈。是的，ClawHub 供應鏈攻擊令人震驚——超過 800 個惡意技能被識別出來，約佔整個倉庫的 20%。是的，超過 30,000 個暴露在互聯網上且沒有認證的實例是有問題的。

但這些都是症狀。根本漏洞是架構性的：OpenClaw 被設計為讀取您的文件、訪問您的電子郵件、瀏覽網頁並執行 Shell 命令——而默認情況下，它通過雲端 API 發送每一條上下文來完成這些操作。

這才是沒有人在修補的攻擊面。

資料流問題

當 OpenClaw 使用雲端 API 後端（默認配置）運行時，每次交互都會發生以下情況：

您要求 OpenClaw 匯總您的電子郵件。 您的電子郵件內容作為提示詞上下文發送到 OpenAI/Anthropic 的伺服器。
您要求它審查合同。 完整的合同文本被傳輸到第三方 API。
您要求它檢查伺服器日誌。 您的基礎設施詳細資訊、IP 地址和錯誤消息離開您的網路。
您要求它起草客戶提案。 您的定價、策略和客戶詳細資訊成為 API 輸入。

OpenClaw 讀取的每個文件、它處理的每個命令輸出、它渲染的每個瀏覽器頁面——所有這些都作為 Token 輸入流過雲端端點。這不是一個 bug。這是預期的架構。

CrowdStrike 的分析說得很清楚：OpenClaw 的廣泛許可權與雲端 API 路由相結合，造成了一種場景，「如果員工在公司機器上部署 OpenClaw 並將其連接到企業系統，同時讓其配置錯誤且不安全，它可能成為一個強大的 AI 後門代理。」

Meta 禁止在其公司網路上使用 OpenClaw。Cisco 的博客稱 OpenClaw 這樣的個人 AI 代理是「安全噩夢」。卡巴斯基將該工具標記為不安全。這些不是過度反應。

為何修補 CVE 不夠

安全社群聚焦於三個攻擊向量：

1. RCE 漏洞（CVE-2026-25253）。 這將會被修補。但下一個 RCE 終究會出現——OpenClaw 的攻擊面在設計上就是巨大的。一個可以執行任意 Shell 命令、管理文件和控制瀏覽器的代理，始終是高價值目標。

2. 惡意 ClawHub 技能。 超過 800 個被注入的技能（傳播 Atomic macOS Stealer）暴露了社群技能倉庫的根本問題。大規模審查開源擴展是一個未解決的問題。ClawHub 團隊可以改進審查流程，但有決心的攻擊者總能找到突破的方法。

3. 暴露的實例。 超過 30,000 個面向互聯網的 OpenClaw 部署是配置問題。端口加固和認證將減少這個數字，但人為錯誤保證始終會有一些實例被暴露。

這些修復都沒有解決核心問題：即使是完美安全的 OpenClaw 實例，默認情況下仍然會將您的資料發送到雲端 API。

本地模型：消除最大的攻擊面

在本地模型上運行 OpenClaw 完全消除了資料外洩向量：

風險	雲端 API	本地模型
資料發送給第三方	每個提示詞、每個文件、每個上下文	無——推理在您的硬體上運行
API 金鑰洩露	金鑰存儲在配置中，在日誌中洩露，通過提示詞注入被盜	沒有 API 金鑰可洩露
供應商資料保留	受提供商的資料處理政策約束	您控制保留
網路攔截	Token 在傳輸到 API 端點時	推理沒有網路流量
提示詞注入 → 資料盜取	攻擊者精心設計的提示詞可以通過 API 調用外洩上下文	沒有外部端點可以外洩到

這不是邊際改善。它消除了整個類別的攻擊。

提示詞注入變得不那麼危險

OpenClaw 最常被引用的風險之一是提示詞注入：惡意網站、電子郵件或文件可能包含隱藏指令，誘騙 OpenClaw 執行有害操作。使用雲端 API 後端，成功的提示詞注入可以通過將資料編碼到 API 調用中來外洩資料。使用本地模型，沒有外部端點供注入的提示詞回撥。

提示詞注入對本地模型仍然是一個風險——注入的指令仍然可以觸發有害的本地操作。但資料外洩向量已經消失。

API 金鑰不再是目標

OpenClaw 的默認設置需要將 API 金鑰存儲在配置文件中。這些金鑰已在明文日誌中被發現，通過不安全的實例暴露，以及通過提示詞注入攻擊被盜。當您運行本地模型時，沒有 API 金鑰可盜。大多數 OpenClaw 部署中最高價值的憑證根本不存在。

關於模型質量呢？

常見的反對意見：「本地模型不如 GPT-4 好。」對於通用任務，這是事實。對於特定領域的代理工作，這是錯誤的。

OpenClaw 重複執行的任務——電子郵件分類、文件摘要、資料提取、報告生成——恰恰是微調小型模型匹配或超越前沿模型的任務：

B2B 任務分類：微調 7B 模型的準確率 94% vs. 提示詞工程 GPT-4 的 71%
支援工單解決：微調模型的自動解決率 87% vs. RAG 增強聊天機器人的 34%
法律條款標記：微調模型在特定領域合同上的準確率 90%

對於構成 OpenClaw 使用量超過 80% 的狹窄、可重複任務，微調的本地模型不是妥協——它們是升級。

OpenClaw 的實際安全架構

以下是如何以可防禦的安全態勢部署 OpenClaw：

1. 本地模型作為主要後端

在與 OpenClaw 相同的機器或本地網路上通過 Ollama 部署微調模型。所有常規任務通過此模型路由。沒有資料離開您的基礎設施。

{
  "models": {
    "providers": [
      {
        "name": "local-secure",
        "api": "openai-completions",
        "baseUrl": "http://127.0.0.1:11434/v1",
        "models": ["my-finetuned-model"]
      }
    ]
  }
}

2. 帶資料過濾的雲端後備（可選）

如果您需要雲端 API 訪問用於邊緣情況，只將非敏感查詢路由到雲端後端。永遠不要通過雲端 API 發送文件、電子郵件或專有資料。

3. 停用或審計 ClawHub 技能

不要在不審查源代碼的情況下從 ClawHub 安裝社群技能。改為構建由您的微調模型支持的自己的技能——這完全避免了供應鏈風險。

4. 網路隔離

在只能通過受控渠道訪問互聯網的機器上運行 OpenClaw。本地模型推理不需要任何出站網路訪問。

5. 為安全意識進行微調

在您的微調資料集中包含安全相關的訓練示例：

提示詞注入嘗試示例以及正確的拒絕回應
在執行前應觸發確認的模式（文件刪除、系統命令、憑證訪問）
模型應該和不應該處理的資料類型的邊界執行

Ship AI that runs on your users' devices.

Ertas early bird pricing starts at $14.50/mo — locked in for life. Plans for builders and agencies.

View early bird pricing or join the waitlist →

企業案例

對於評估 OpenClaw 用於內部使用的組織，安全計算很簡單：

使用雲端 API：每次交互都將內部資料傳輸到第三方基礎設施。每個 API 金鑰都是高價值目標。OpenClaw 中的每個漏洞都是潛在的資料洩露向量。
使用本地模型：推理與外部服務氣隔。沒有憑證可盜。任何漏洞的波及範圍僅限於本地機器。

Meta、Cisco 和 CrowdStrike 的安全團隊指出 OpenClaw 的風險是正確的。但解決方案不是禁止這個工具——而是消除使它危險的資料流。

運行您自己的模型。保持您的資料本地化。這就是 CVE 補丁永遠無法提供的修復。