执行openclaw onboard --install-daemon,会出现一个Security warning,交给AI解释了一下。
原文
Security warning please read.
Openclaw is a hobby project and still in beta.Expect sharp edges.
This bot can read files and run actions if tools are enabled.
A bad prompt can trick it into doing unsafe things.
If you're not comfortable with basic security and access control,don't run Openclaw.
Ask someone experienced to help before enabling tools or exposing it to the internet.
Recommended baseline:
- Pairing/allowlists mention gating.
- Sandbox least-privilege tools.
- Keep secrets out of the agent's reachable filesystem.
- Use the strongest available model for any bot with tools or untrusted inboxes.
Run regularly:
openclaw security audit --deep
openclaw security audit --fix
Must read: https://docs.openclaw.ai/gateway/security
译文
安全警告,请阅读。
Openclaw 是一个业余项目,目前仍处于测试阶段。可能会有不完善之处。
此机器人可以读取文件并在启用工具的情况下执行操作。
糟糕的提示可能会诱使它做出不安全的行为。
如果您对基本的安全性和访问控制不熟悉,请勿运行 Openclaw。
在启用工具或将其暴露于互联网之前,请寻求有经验的人的帮助。
推荐基线:
- 配对/允许列表提及权限控制。
- 沙盒使用最小权限工具。
- 防止机密信息出现在代理可访问的文件系统中。
- 对任何拥有工具或不可信收件箱的机器人,使用最强可用模型。
定期运行:
openclaw security audit --deep
openclaw security audit --fix
必读:https://docs.openclaw.ai/gateway/security
AI 解释如下
OpenClaw 安全警告解析
-
项目状态
OpenClaw 目前是测试阶段(beta)项目,可能存在未修复的漏洞或不稳定行为,需谨慎使用。 -
核心风险
- 机器人可读写文件、执行操作(若启用工具)。
- 恶意提示词可能诱导其执行危险操作(如删除文件、泄露数据)。
- 若暴露到公网(如互联网),攻击者可能利用漏洞控制机器人。
-
安全建议
- 基础防护:启用“配对/白名单”+“提及门控”(仅允许特定用户或指令触发功能)。
- 限制权限:避免在 OpenClaw 中启用高危工具(如文件系统访问)。
- 隔离环境:仅在本地测试,不直接连接公网。
- 寻求帮助:若不熟悉安全配置,建议由有经验者协助部署。
结论
此警告强调 OpenClaw 的非成熟性,需通过技术限制和权限管控降低风险。
