"Claw热"反思之三：当AI助理能删你文件，安全红线在哪里？——OpenClaw热潮下的安全思考权限悖论：AI要干活，

“

核心提示：本文从安全治理角度，探讨OpenClaw这类能执行代码的AI Agent面临哪些安全风险，以及应该如何应对。

一、权限悖论：AI要干活，就得给钥匙

OpenClaw 最核心的能力，也是最让人担心的地方，就是 工具调用权限。

它要帮你整理文件，就得给它文件读写权限；它要帮你部署代码，就得给它终端执行权限；它要帮你发邮件看日历，就得给它通讯权限。

这就陷入了一个悖论：不给权限，AI什么活都干不了；给了权限，就等于把你服务器的钥匙交给了大模型。

这把钥匙，到底安全不安全？

风险类型	具体描述
大模型幻觉	大模型理解错指令，误删重要文件、执行危险命令，造成不可逆损失
第三方插件	恶意Skill可以偷偷窃取你的API Key、密码、私人文件，上传到外部服务器
供应链攻击	核心依赖包被篡改，所有部署用户都被植入后门
配置错误	用户把OpenClaw端口暴露到公网，没有认证，被陌生人滥用
法律风险	AI自动生成的内容侵权，责任算谁的？项目开源作者要不要担责？

GitHub 上已经有用户反馈：

这些问题不是OpenClaw独有，是所有 能执行代码的AI Agent 共同面对的问题。OpenClaw 因为火得快，这些问题暴露得也早。

OpenClaw 默认给用户的安全建议是"最小权限原则"，但说实话，这个原则知易行难。

用户想让AI干活，就需要给权限。要整理文件，总得给读写吧？要部署代码，总得给执行吧？最后权限越放越大，和全开也没区别了。

OpenClaw 的Skill生态开放，谁都能上传，没有严格的安全审核机制。这就给了恶意代码可乘之机。社区自治说起来美好，但真出了安全大事，社区扛不住。

OpenClaw 用的是MIT协议，里面写了"no liability"，作者不担责。但真出了大事，比如因为AI误操作删了公司核心数据，用户真的会认吗？舆论真的会站作者吗？这都是未知数。

OpenClaw 的问题，不是它一个项目的问题，是整个开源AI Agent 赛道共同面临的问题。我们需要新的安全思路。

所有工具调用都放在沙箱里跑，即使AI犯傻或者插件作恶，影响也被限制在沙箱里，不会碰你真正的文件系统。

默认拒绝：只给明确允许的权限，不是默认全开用户自己关。

官方Skill市场建立基本的安全审核流程，重点扫一下有没有偷API Key、偷偷连恶意服务器的行为。虽然不能百分百防住，但能挡住大部分菜鸟恶意作者。

给不同等级的操作不同的权限：

让人做最终把关，不要让AI完全自主。

AI修改文件前自动打快照，错了能一键回滚。把误操作的损失降到最低。

“

利益与责任再平衡：

✅ 获益：用户获得了自主可控和便利

❌ 风险：用户自己承担安全责任

这个现状公平吗？对于技术用户没问题，但对于普通用户，他们真的理解自己承担了多大风险吗？

OpenClaw 热潮把一个问题推到了我们面前：我们真的需要给AI执行权限吗？

从效率角度说，需要。AI能帮你做很多重复性工作，节省你的时间。但从安全角度说，给AI执行权限，就是把信任交给了大模型和开源代码。你永远不知道它什么时候会犯错误，也永远不知道第三方插件里藏了什么。

这是一场效率和安全的战争。我们想要效率，就必须承受风险。但我们至少要知道：风险在哪里，我们有哪些手段可以控制风险。

OpenClaw 这波热潮，是AI Agent 走向普通用户的标志性事件。它证明了用户对自主可控AI的需求是真实存在的，也证明了开源模式能在AI时代继续创造奇迹。

但我们不能因为热度冲昏了头脑。当AI拿到了执行权限，安全就是底线，红线不能破。

那只太空龙虾喊出"去壳"，去的是封闭大厂的壳，但不能把安全的壳也一起去了。开源自由，不代表安全无防。

期待 OpenClaw 在热度过后，能把安全做得更好，给整个开源AI Agent 赛道探一条安全可持续的路出来。毕竟，只有安全了，这个行业才能走得更远。

本文为安全政策评论，观点供行业讨论

参考来源：