---

大家好，我是子路，好久不见。

最近龙虾吃的有点多，云端虾、本地虾、企鹅虾、字节虾……养龙虾的不正常的爆火和去年DeepSeek R1爆火，如出一辙。

都觉得OpenClaw很厉害，能帮你写代码、改文案、定日程机票……简直是不要钱的AI助理。

但是已经有人，完成了从付费装龙虾再到付费卸载龙虾的闭环，还有人装了龙虾的状态是：

“

虾忙，我也瞎忙！

”

Token消耗很多，啥事没干成！

更要命的是：OpenClaw是AI编程的，本身一堆Bug不说，给了极高的权限又不懂安全防范，你的龙虾正在裸奔，安全隐患极大！

3月22日，国家互联网应急中心（CNCERT）和中国网络空间安全协会联合发布了一份《OpenClaw安全使用实践指南》。（原文我放在评论区指定）

一图速度

我看完后，总结了几点通养虾必须要注意的安全问题！

不管你是个人玩家还是企业老板，建议一定看完。

---

一 普通玩家：别让龙虾变内鬼

如果你安装OpenClaw，一路点下一步，然后美滋滋地把电脑开着，出门happy去了？

错！大错特错！

官方指南第一条：千万别在主力电脑上部署OpenClaw！

龙虾的权限很高，bug很多，一旦被黑客远程控制了，就直接能看你电脑的文件，删除你硬盘里的照片……。

怎么破？给你3个方案。

方案1：用闲置旧电脑部署 家里有闲置的旧电脑吗？重装系统情况数据，单独用来跑OpenClaw，不影响主力电脑。

方案2：用docker虚拟机部署： 建议先安装Docker，用容器部署OpenClaw，与主机系统隔离，相对安全。

“方案3：云服务器部署 租一台云服务器，腾讯、阿里字节都出来便宜实惠的方案，把OpenClaw部署在服务器上。通过安全的方式远程访问，也可以和的本地电脑和家庭网络做安全隔离。

还有更大的风险：别把端口开到公网上！

很多人为了方便远程访问，会把OpenClaw的默认端口（18789、19890）暴露给公网。差不多就是在大门贴个“欢迎光临”，等小偷来串门。

记住： 如果以上内容看不懂，不建议你玩龙虾。

---

二 老板要记住：AI不是临时工，背不了锅

对企业来说，龙虾的风险被放大很多倍。AI不是临时工，可能是拥有超高权限的定时炸弹。

官方指南里给企业用户提出了7条建议，帮大家总结为3句话：

1.当新人员工，界定AI的权责

如果你公司部署龙虾，我建议是当做新人员工。

首先是要明确职责，想清楚这个AI助手到底是用来干啥的？不能觉得AI能力很强，啥都可以干啥都给它干。

其次，先给最小的权限。就像给员工开权限一样，只需要访问它工作必须的文件和系统。

2.给AI装上监控

用好AI，必须建立一套日志系统，记录每一次操作。用SIEM等工具，实时分析AI的日志和安全报警。

关键操作必须人工确认，如要删除大量数据、修改核心配置，设置人工二次确认。AI可以提议，但最终必须由人确认。这也是未来企业人机协同，必不可少的安全机制。

3.做好多重安全防火墙

禁用来历不明的插skills，建议从官方的clawskill或者腾讯的skillhub安装skill，每次新安装都建议用skill-vetter安全扫描并人工复审，来源不明、功能可疑的插件，一律禁止。

定时更新Openclaw和安装的skills到最新版本。

更重要的是做好密码和密钥管理，龙虾用到的各种API密钥、数据库密码，不要明文发在对话框和写在代码里！ 要用专门的密钥管理服务，一次性任务用完及时更新。

---

三 AI时代，安全意识比AI能力更重要

OpenClaw这类智能体，像一把瑞士军刀，功能强大，但也是多刃剑，要用好的前提是安全第一。

这份官方指南，不是在劝退搭建拒绝AI，而是要安全地玩爽。无论是个人还是企业，安全意识，永远是第一道防线。

相反，在今天，我一直鼓励大家积极拥抱AI。

但要记住，从现在开始，赶快去给你的龙虾，做一次安全体检！

如果你觉得这篇文章有用，请转发给你的朋友，让他们也远离风险。

---

我是子路关注@子路AGI之路，分享我创业聚焦AI的心法和技法，我们一起拥抱AGI