你有没有算过,你的龙虾现在手里握着多少把钥匙?
SSH 密钥、API Key、公众号密钥……全在它能读到的地方。
它能执行任何 shell 命令,能读写任何文件,能安装任何软件。
你给了它整台机器的最高权限,然后跟它说:"你看着办吧。"
这就是大多数人用 OpenClaw 的方式。包括三个月前的我。
上个月,ClawHub 被曝出 14 个恶意 Skill——伪装成正常工具,实际在读你的环境变量、外发你的 API Key、替换加密货币钱包地址。
你的龙虾握着你所有的钥匙,同时在从路边摊往兜里塞不明来路的东西。
这个画面,细想一下,挺后怕的。
我当时看到这个新闻,第一反应是去查自己装了哪些 Skill。查完松了口气——没中招。
但第二反应是:下次呢?
我的龙虾没有任何安全规则。它不知道什么命令不能执行,不知道什么文件不能碰,不知道装新 Skill 之前要先检查。
它就是一个拿着 root 权限的实习生,干活很猛,但完全没有安全意识。
然后我看到了这个项目
慢雾安全团队——搞区块链安全的老牌选手,在 GitHub 上开源了一个东西:
OpenClaw Security Practice Guide
MIT 协议,免费用。
但这个项目最让我意外的,不是内容本身,而是它的使用方式。
它不是给你看的,是给你的龙虾看的。
你把这个 markdown 文件发给你的 OpenClaw,让它自己读、自己理解、自己部署。
对,你没看错。你不需要懂安全,不需要写脚本,不需要手动配任何东西。
龙虾自己给自己装盔甲。
慢雾管这个叫思想钢印——不是挂载一个安全工具,而是改变 Agent 的基础认知。Skill 是外挂的盔甲,思想钢印是刻进骨子里的本能。
我当时的反应是:这思路也太野了吧。
然后我试了。
它到底装了什么?三层防御,拆开看
部署完之后,我仔细看了一遍龙虾给自己装的东西。慢雾的方案叫"三层防御矩阵",听着唬人,拆开来很清楚。
第一层:事前——行为红线和黄线
告诉龙虾哪些事打死不能干:
rm -rf /、dd if=、mkfs→ 破坏性操作- 修改 SSH 配置、授权密钥 → 认证篡改
- curl/wget 携带 token 外发 → 数据泄露
curl | sh、base64 -d | bash→ 代码注入- 添加未知用户、启用未知服务 → 权限持久化
这些是红线,碰了直接拒绝,没有商量余地。
但这里有个设计让我眼前一亮:黄线。
大多数人想安全规则,想的都是"禁止/放行"二选一。但现实中有大量操作是灰色地带——sudo、docker run、iptables 变更、systemctl restart。
一刀切禁止?干不了活。悄悄放行?出了事没痕迹。
慢雾的方案是:执行可以,但必须留痕。 时间、完整命令、原因、结果,全部写进当日记录。
红线是"绝对不能碰",黄线是"碰了要留痕"。
这个分级,比简单的黑白名单聪明太多了。
第二层:事中——Skill 安装审计
这层解决的就是 ClawHub 恶意 Skill 那个问题。
以后每次装新 Skill,龙虾会自动走一遍安检流程:
- 列出 Skill 的所有文件
- 逐个读取、逐个审计
- 全文扫描可疑模式——curl 外发、读环境变量、base64 混淆、写核心配置
- 发现问题就停下来问你
没通过安全检查的,一律不装。
以前装 Skill 就像从路边摊随手拿东西往兜里塞。现在每个东西进兜之前,都要过一遍安检机。
第三层:事后——每晚 13 项巡检
每晚自动扫描:端口监听、文件哈希校验、SSH 配置、crontab 变更、文件权限、用户权限、磁盘空间、系统日志、Skill 完整性……
这里有个关键设计:连"一切正常"也汇报。
不是只有出问题才告诉你,而是每天明确说"今天检查了,没事"。
如果哪天你没收到报告——那才是真正该紧张的时候。
这就像保安每小时报一次平安。突然不报了,你就知道出事了。
我亲自部署了一遍,三分钟
整个过程简单到让我有点不安。
第一步,把链接发给龙虾:
"请阅读这份安全指南,给我详细讲解一下。" github.com/slowmist/op…
龙虾会把整份文档读完,然后用大白话给你讲一遍它理解了什么。
第二步,确认它理解对了,然后说:
"请完全按照这份指南,为我部署防御矩阵。包括写入红/黄线规则、收窄权限,并部署夜间巡检。"
然后去倒杯水。回来的时候,它已经部署完了。
第三步,跑一遍攻防演练。
这是我觉得最妙的部分。慢雾的仓库里有一份验证指南,教你怎么"测试"你的龙虾——故意给它下危险指令,看它会不会拒绝。
比如让它执行 rm -rf /,看它拦不拦。让它把 API Key 发到外部地址,看它挡不挡。
装了灭火器不算安全,试过能用才算。
我测了一圈,全部拦住了。那一刻的感觉是:终于不裸奔了。
⚠️ 注意:如果你只有一只小龙虾的话请不要测试让他删除你的所有文件,毕竟你也不想悲剧的重新安转一遍对吧?
几个坑,提前帮你踩了
模型要够强。
这套方案的核心是让 AI 自己判断"这个命令危不危险"。模型太弱,判断不准——该拦的不拦,不该拦的乱拦。
建议用 Claude Opus、Gpt5.4 这个级别的强推理模型。如果你用小参数模型,建议只用 chattr +i 锁文件这种纯系统级防护,别依赖 AI 判断。
chattr +i 要小心。
指南会用 chattr +i 锁定核心配置文件,防止被篡改。但锁了之后你自己改配置也会报错。
解法很简单:先 sudo chattr -i 解锁,改完再 sudo chattr +i 锁回去。
但有一个硬性规则:千万不要锁 exec-approvals.json。OpenClaw 运行时需要写这个文件,锁了直接崩。我差点踩这个坑,幸好文档里写了。
它不是百分比的。
慢雾自己反复强调:这不是完整的安全解决方案。不能防御引擎本身的漏洞,不能替代专业安全审计,巡检只能发现已发生的异常,无法回滚已造成的损害。
但作为基础防线,它已经比"什么都不做"强了一百倍。
最后
你给了龙虾 root 权限、API Key、读写所有文件的能力。
如果不给它画条线,它就是在裸奔。
而现在,画这条线只需要三分钟,三句话。
安全这件事,最怕的不是不会做,是觉得"以后再说"。
现在就把那个链接发给你的龙虾。
你的龙虾部署安全防线了吗?评论区聊聊你踩过的坑。
觉得有用?转发给还在裸奔的朋友,救他一命。
