文章总结： 该报告系统阐述了OpenClaw这一AI智能体执行网关的技术架构、市场规模和行业应用，重点分析了其面临的版本不合规、网络暴露、权限过度等七大安全风险。报告针对个人用户、企业用户和云服务提供商三类主体，提出了包含版本合规化、网络收敛化、权限最小化等七个方面的安全建设路径，并展望了技术产业双线升级和规范标准加速成型的发展趋势，为OpenClaw安全部署提供了系统性指导。 综合评分： 81 文章分类： AI安全,安全建设,解决方案,数据安全,应用安全

---

信通院联合腾讯云发布《云上养虾（OpenClaw）安全指南》

腾讯安全

2026年3月25日 17:11 广东

报告愿景及目标读者

随着OpenClaw应用的不断深入，其安全风险隐患也逐渐凸显，安全防护能力成为保障“云上养虾”顺利推进的关键。在此背景下，系统梳理OpenClaw发展现状、完善风险防护与安全体系、展望未来发展趋势，对于规范OpenClaw使用流程、提升安全防护水平、保障“云上养虾”安全有序开展具有重要意义。

本报告从OpenClaw发展概述、OpenClaw风险防护与安全体系建设、未来发展趋势展望等方面进行系统洞察和梳理，为OpenClaw个人用户、技术运维人员、企事业单位以及相关场景决策者提供全面参照，助力规范OpenClaw使用行为，完善安全防护体系，推动其安全部署与应用向安全化、规范化、可控化方向发展，筑牢OpenClaw安全使用防线，保障相关工作高效有序推进。

一

OpenClaw发展概述

（一）OpenClaw技术架构稳步迭代，应用落地健步成熟

随着持续迭代与场景落地，OpenClaw已逐步构建起相对成熟的技术架构体系。其核心定位为连接大语言模型（LLM）、交互渠道与系统工具的中枢桥梁，作为本地优先、开源自托管的AI智能体执行网关，它以标准化架构打通模型推理、多端交互与系统执行的技术壁垒，一端兼容主流云端与本地大模型，承接认知与决策能力，另一端通过统一适配层接入即时通讯、Web、CLI等异构交互入口，并调度文件操作、代码执行、设备控制等系统工具与第三方能力。OpenClaw构建了自然语言指令到端到端任务执行的全链路闭环，让大模型从对话交互延伸至自主执行，成为AI能力落地于真实场景的关键基础设施。

OpenClaw凭借自主执行、持久记忆、生态兼容、技能支撑（skill）四大技术特点，实现了智能体技术的“跃迁式”突破。在自主执行层面，其可基于预设逻辑与实时感知，独立完成任务调度、逻辑判断与流程闭环，有效降低人工介入成本，提升整体运行稳定性与响应效率。在持久记忆层面，能够持续保存交互历史、状态信息与关键数据，支持跨会话、跨场景的信息复用，确保任务执行连贯一致，为后续决策提供可靠依据。在生态兼容层面，可适配多种硬件平台、软件环境与上层应用接口，实现与现有系统的平滑对接，具备较强的通用性、扩展性与场景落地能力。相较于LangChain等专注于大模型应用编排的框架，OpenClaw更强调本地自治、端到端任务自主执行与系统级交互能力，采用网关-智能体-渠道三层解耦架构，具备独立的智能体循环与本地优先设计，在隐私可控性、本地系统操作能力和自主执行闭环上形成了明显差异。在技能支撑（Skill）层面，Skill是OpenClaw面向业务场景封装的模块化能力组件，作为智能体完成具体任务的核心功能插件，涵盖文本处理、数据查询、流程调用、系统交互等原子化能力，相比传统jar包更注重场景适配与易用性，可通过自然语言直接触发。其生态由官方自研、第三方贡献与企业定制化开发构成，覆盖多行业场景，支持从官方技能市场、企业私有技能仓库、第三方合规应用商店获取及本地离线部署；调用流程包含意图解析、接口匹配、权限核验与执行反馈，采用分级授权、最小权限原则，并通过加密接口、本地缓存、数据脱敏等方式保障数据交互安全，能够有效弥合通用智能体与行业个性化需求之间的差距，快速支撑政务、金融、工业、医疗等领域业务落地，避免重复开发并实现能力灵活组合与扩展。

（二）市场规模持续扩大，落地部署形态丰富多样

OpenClaw的市场规模正稳步扩容，产业发展势头强劲。这一态势，可从两方面得到直观体现。其一是部署规模，全球范围内的OpenClaw实例已形成相当体量，且仍处于快速增长态势。其二是行业布局，国内外科技企业纷纷入局同类智能体框架服务，多款商业化产品相继落地，形成多元竞争与生态协同并存的产业格局，进一步彰显该领域庞大的产业规模与市场需求。

伴随市场多元需求释放，OpenClaw部署应用模式呈现出清晰的分化特征。OpenClaw可划分为云端部署和本地终端部署两大类别，而云端部署凭借灵活高效的优势，成为许多个人用户的选择。OpenClaw具备多样的部署形态，大致包括轻量云版、云主机版、云电脑版、本地终端等，各形态差异显著。一是轻量云版，指轻量化部署于边缘云节点的版本，资源占用极低，定义为极简适配型算力调度工具，适用IoT设备、异地低延迟访问场景。二是云主机版，部署于公有云服务器，资源占用中等，支持全天候运行，适用团队共享、无人值守自动化任务场景。三是云电脑版，集成云端算力与终端交互功能，资源占用较高，定义为云端协同终端，适用远程办公、多设备协同场景。四是本地终端版，全套组件部署于本地设备，资源占用较高，数据全程本地流转，适用涉密场景、隐私敏感型用户及离线使用需求。

（三）行业覆盖广泛，加速垂域需求精准落地

OpenClaw作为本地部署AI智能体，具有广泛应用场景，可在政务、金融、工业、医疗、教育等领域形成规模化落地。其一是在政务领域，深圳福田区首批“政务龙虾”上线，聚焦民生诉求分拣、12345热线分类、政务流程自动化与审批材料智能预审，通过文本理解与派发规则实现民意处理提速、公共服务响应更精准。其二是在金融领域，OpenClaw可用于智能投研、财报解析、合同审查、发票验真与合规风控，自动抓取公告研报、生成分析简报、核对财务数据，辅助投研与财会降本提效、降低操作差错。其三是在工业领域，OpenClaw已落地于设备监控、故障诊断、生产数据报表与能耗管理，对接传感器与IoT系统实现7×24小时值守、故障快速定位、提升设备稼动率并削减维护成本。其四是在医疗领域，OpenClaw能用于电子病历分析、临床决策支持、智能导诊与健康管理，依托本地数据隐私合规优势，辅助诊断、优化接诊流程、提升基层诊疗效率。其五是在教育领域，OpenClaw可用于聚焦备课助手、教学资源聚合、作业批改与学情分析，自动搜集资料、生成教案、整理题库与统计学业数据，减轻教师重复性工作。

二

OpenClaw风险防护

与安全体系建设

（一）OpenClaw面临多维度安全风险，亟需构建全流程防护体系

在全流程运行过程中，OpenClaw面临多重核心安全风险，可能对系统安全、数据安全造成不同程度的威胁。

一是版本不合规风险，主要源于版本来源缺乏有效管控，未建立严格的官方校验与准入机制，易引入非官方、被篡改的违规版本程序，同时部分用户忽视版本更新，导致老旧版本长期留存已知安全漏洞，这些漏洞极易被网络攻击者精准利用，进而引发系统被非法入侵、核心功能异常、数据被篡改等一系列安全问题，影响OpenClaw正常运行。

二是网络暴露风险，核心问题在于公网端口随意开放、未做端口收敛与防护配置，网络边界防护措施薄弱，未建立清晰的内网隔离机制，无法有效划分安全区域，同时远程访问环节缺乏身份校验、加密传输等安全手段，给外部攻击者提供了可乘之机，易被其通过端口扫描、暴力破解等方式渗透入侵，最终导致系统被非法控制、业务数据被窃取。

三是权限过度风险，表现为IAM权限分配未严格遵循最小化原则，部分账户被授予超出其工作需求的权限，未根据岗位职能精准划分权限范围，且缺乏权限动态调整与回收机制，易出现越权操作、违规访问核心数据与系统模块等行为，进而引发数据泄露、系统配置被恶意篡改、业务流程被干扰等严重的数据与系统安全风险。

四是数据泄露风险，因未对敏感数据采取加密存储、传输等保护措施，未建立完善的数据备份与应急恢复机制，数据访问环节缺乏严格的身份校验与权限管控，且未实现数据操作全流程日志追溯，易导致用户隐私信息、企业核心业务数据等被非法窃取、泄露，不仅损害用户与企业权益，还会违反数据安全法、个人信息保护法等相关法律法规，面临合规处罚。

五是技能失范风险，由于技能包准入审核机制不完善，未建立全流程安全校验与检测体系，部分未经过安全评估、携带恶意程序的技能包、违规插件被随意接入OpenClaw系统，这些恶意组件易出现执行不可控行为，劫持系统指令、窃取系统敏感数据、干扰业务流程，甚至破坏系统底层架构，严重影响OpenClaw系统的稳定性与安全性。

六是接入失控风险，终端设备未做安全加固处理，缺乏终端安全管理与病毒防护措施，同时系统接入入口未建立严格的身份校验、设备认证等管控机制，非法终端、恶意主体可随意接入OpenClaw系统，破坏系统整体安全防护体系，导致系统漏洞被利用、业务数据被篡改、业务流程被中断，造成不必要的损失。

七是审计缺失风险，未建立完善的云端日志审计机制，对系统操作、数据访问、权限变更等全流程未进行详细记录与留存，导致安全事件发生后无据可查、无法追溯源头，同时缺乏规范的应急处置流程和长效防护措施，安全事件发生后无法及时定位问题、快速处置，无法形成“发现-处置-复盘-优化”的防护闭环，易导致安全隐患反复出现。

（二）强化OpenClaw安全体系建设，实现规范落地与健康发展

基于云上部署OpenClaw的安全风险特点及行业实践经验，本报告分别围绕版本合规、网络收敛、权限最小、数据隐私、技能规范、接入防控、审计闭环几个方面展开。针对个人用户、企业用户、云服务提供商三类核心主体，结合各自角色定位、安全责任与应用场景，梳理归纳出可落地、可执行的安全防护建设路径，推动OpenClaw安全规范落地，保障其健康有序发展。

1、个人用户

OpenClaw实例直接使用者，个人云上使用场景安全第一责任人，应严格落实基础安全操作，筑牢云上使用安全防线。

一是应做到版本合规化，规范下载渠道与迭代升级。

• 建议1：仅从官方网站或可信网站下载正式稳定版，不使用破解版、修改版、老旧非正式版本。

• 建议2：升级前备份配置与数据，升级后核验补丁生效，开启自动更新提醒。

二是应做到网络收敛化，严控公网暴露与远程访问风险。

• 建议1：云上不绑定公网IP、不开端口映射，配置为仅内网/本地访问，收紧外网权限。

• 建议2：跨设备访问依托云VPN/零信任；定期在云控制台自查端口暴露，发现对公开放立即关停整改。

三是应做到权限最小化，低权限云上运行、管住高危操作。

• 建议1：新建普通低权限账号运行程序，禁止用管理员、Root账号启动服务。

• 建议2：依托云端容器、云原生隔离能力部署，删除、修改配置等高风险操作开启二次确认。

四是应做到数据隐私化，防范敏感数据泄露、留存操作痕迹。

• 建议1：不在OpenClaw中输入身份证、银行卡、密码、密钥等敏感个人信息。

• 建议2：密钥、Token等凭证加密保存，开启日志记录，确保访问全程可追溯。

五是应做到技能规范化，审慎选用插件、精简在用能力。

• 建议1：仅安装官方认证的或来源可信的技能插件，拒绝索要高权限、执行脚本的陌生插件。

• 建议2：安装前进行安全查杀，定期卸载闲置、异常、无用插件。

六是应做到接入防控化，强化身份认证、收拢可信接入。

• 建议1：设置高强度密码，只用自有可信设备接入，杜绝弱密码。

• 建议2：不点开陌生链接、不使用不明脚本，防范钓鱼与注入攻击。

七是应做到审计闭环化，常开日志留存、常态排查云上基础风险。

• 建议1：全程开启操作日志和安全日志，不随意关闭，按周期留存备查。

• 建议2：依托云侧安全告警，定期排查异常登录、异常操作，及时处置云上风险。

2、企业用户

企业级OpenClaw云上部署责任主体，体系化安全防护与合规管控的实施方。

一是应推进版本合规化，建立版本准入、分发和巡检闭环。锁定官方合规渠道，清理存量不合规版本，内部定制镜像必须经安全审核后方可部署。

二是应推进网络收敛化，做实分区隔离和最小访问。落实内网默认隔离，禁止实例对公暴露；远程访问叠加加密通道、多因子认证与IP白名单防护。

三是应落实权限最小化，对齐企业IAM统一管控。低权限服务账号运行、隔离防横向扩散，高危操作强制审批，定期开展权限审计整改。

四是应做实数据隐私化，分级分类、脱敏受控使用。涉密、核心敏感数据不上传、先脱敏后使用，部署防泄露能力，完善加密备份与应急处置流程。

五是应强化技能规范化，实行技能准入管理。第三方、自研技能/插件上线前置安全检测，常态化巡检运行风险，及时处置漏洞和恶意行为。

六是应夯实接入防控化，前置防护、收拢统一接入入口。做实准入与分级授权，叠加提示词注入、内容安全防护，统一管控办公协同接入通道。

七是应完善审计闭环化，集中汇聚日志、常态审计整改。对接企业汇聚全量日志，按月审计、闭环整改，固化应急处置与常态化防护机制。

3、云服务提供商

OpenClaw云上基础设施提供方，平台安全守门人与租户安全赋能者。

一是应做好版本合规赋能，严把镜像上架准入关口。仅上架官方核验合规的可靠镜像。

二是应做好网络收敛赋能，预置隔离模板与基础防护。强化租户底层隔离，标配抗DDoS、入侵检测，自动告警对公暴露等高风险配置。

三是应做好权限最小赋能，输出轻量化权限与隔离工具。提供原生IAM和隔离部署能力，识别超限权限等风险，沉淀可溯源权限审计日志。

四是应做好数据隐私赋能，底座加密、普惠基础安全能力。默认存储与传输加密、备份，配套脱敏、防泄露等相关防护产品，合规保护租户数据权属。

五是应做好技能规范赋能，前置拦截恶意高危插件。建立技能审核上架机制，对上架技能进行安全扫描，对异常技能予以预警。

六是应做防控赋能，标配底座安全防护能力。提供多样化安全防护工具，内置注入与内容防护等核心防护工具，实时告警异常行为。

七是应做好审计闭环赋能，一站式日志托管与智能告警。汇聚全量运行安全日志，关联分析生成风险清单，同步输出加固指引和应急技术支撑。

三

未来发展趋势展望

（一）产业发展持续演进，规模化应用稳步落地

一是技术安全与成本均衡正逐步推进达成共识。由于其被授予了极高的系统权限以实现“自主执行”，导致“信任边界模糊”，极易遭受“提示词注入”攻击、恶意插件（Skills）投毒，甚至因误操作造成数据被永久删除等无法挽回的后果，国家网络安全机构已为此多次发布高危预警。同时，OpenClaw作为典型的“Token黑洞”，在执行多步骤复杂任务时算力成本呈指数级增长，用户面临“成本黑盒”效应，难以预估实际支出，且在多轮复杂任务中的成功率仍不稳定，暂未达到消费级乃至企业级的成熟度与可靠性标准。

二是产业发展落地实效与市场热度仍需时间找平。OpenClaw的产业落地进程尚未完全匹配其市场热度，尽管资本市场热度高涨，但在金融、能源等关键行业，由于数据安全是不可逾越的红线，银行等机构因担心其开源代码的不可控性、内外网隔离被破坏以及操作管控风险，普遍持观望态度，严禁其触碰核心业务系统。对于一般企业而言，高昂的部署维护成本、与现有系统的割裂感以及不稳定表现，使得OpenClaw难以转化为稳定的生产力，反而可能增加负担。

三是生态开源开放治理逐步落地。OpenClaw的跨平台协同能力在对接微信、钉钉等国内超级应用时，仍存在一定阻碍，部分功能的实现受到限制。从生态发展的核心来看，开源特性与安全需求之间的平衡，是当前需要关注的问题：一方面，其开源特性吸引了大量开发者，但也导致了漏洞频发和恶意插件的泛滥；另一方面，若过度商业化或加强中心化管控来保障安全，又可能损害开源社区的原始活力。在目前缺乏成熟第三方监督机制与统一安全标准的背景下，如何建立起可信的插件审核、权限治理与审计追责体系，是OpenClaw进一步走向规模化行业应用、实现从热门工具到行业基础设施跨越的重要课题。

（二）技术产业双线升级，安全落地根基不断夯实

一是在技术发展趋势上，安全正从外部约束演变为内生能力。行业正推动AI驱动安全，利用大模型实时分析行为日志，主动识别可疑操作；同时构建自动化风险感知能力，对智能体的指令与动作进行不间断扫描，实现风险的自发现与自阻断。底层架构上，统一安全平台正整合碎片化的权限管控与审计策略，而轻量安全引擎的普及则让终端设备也能高效执行本地安全策略。更深层次的变革是内生安全设计，将零信任原则写入智能体基因；结合可信执行环境（TEE），确保敏感数据仅在硬件级隔离的“安全区”内处理，从根源上杜绝泄露。

二是在产业发展趋势上，OpenClaw正加速通用智能体的规模化落地。通过精细化的权限管控、严格的Skills审核以及云端与终端协同，智能体突破了仅能“对话”的局限，具备了操作Excel、ERP乃至核心生产系统的稳定能力，真正实现了从“理解”到“执行”的闭环。在企业级应用中，统一调度机制实现了跨部门智能体的资源协调，权限隔离确保了数据合规，而可信交互协议则让多智能体分工协作成为可能。三者共同支撑起复杂的业务流程自动化，使OpenClaw成为驱动下一代企业智能体的核心底座。

（三）规范标准加速成型，合规监管逐步落地

一是在政策法规层面，多方主体单位加速出台相应规制建设。工信部网络安全威胁和漏洞信息共享平台连续发布安全预警与“六要六不要”使用指引，国家互联网应急中心同步提示风险；行业监管部门快速跟进，中国互联网金融协会专门发布金融行业风险提示，明确指出资金损失、交易责任、数据合规等核心风险，证券行业则已有20多家券商出台内部管控措施。地方政策也在积极探索，深圳市龙岗区发布的“龙虾十条”征求意见稿，成为首个针对OpenClaw及OPC（一人公司）规范发展的区域性扶持政策，体现了“发展与规范并重”的监管思路。未来，监管部门将持续完善政策体系，聚焦核心安全管控，加速政策落地，保障OpenClaw行业应用行稳致远。

二是在安全标准与认证体系方面，产业侧标准加速推进，行业内相关主体积极协同，逐步构建适配OpenClaw场景部署的安全标准框架，聚焦其运行过程中的安全管控、权限规范、风险防控等核心环节，明确关键技术要求与评估维度。中国信通院依托多年人工智能安全领域经验，构建云端OpenClaw基准评估标准，并基于行业标准开展全方位的安全与性能评估评估，进一步细化标准落地路径，助力行业规范升级、实现高质量发展。

附录

云上养虾安全七条

一、版本合规化

• 版本来源管控：从官方网站等正规渠道下载最新稳定版，不宜使用不安全的第三方版本、历史旧版，避免版本漏洞及被恶意植入后门。

• 及时升级：升级前需将数据备份至对应存储服务，升级后验证补丁生效并重启服务，开启自动更新提醒；不宜使用未经安全认证的第三方镜像或老旧版本，企业内部定制镜像需经安全审核后可使用。

二、网络收敛化

• 公网暴露限制：避免绑定公网IP，优先在内网环境运行OpenClaw实例；定期自查公网暴露情况，发现公网暴露立即下线整改。

• 内网隔离机制：内部网络建立默认隔离机制，防止横向移动攻击，按需申请开通权限访问公司业务系统。

• 远程访问安全：确需远程访问时，通过SSH/VPN加密通道/零信任网络通道+IP白名单+强密码/证书/硬件密钥认证，避免实例直接暴露至互联网。

三、权限最小化

• IAM权限最小化：不宜使用root/管理员账号运行OpenClaw，创建运行OpenClaw的专用低权限用户；谨慎授予OpenClaw访问服务接口的高级权限（如增删改），仅授予完成业务必需的最小权限。

• 环境隔离部署：优先在系统级沙箱/容器/虚拟机中隔离运行，谨慎使用裸机部署，保护宿主机，形成独立权限区域，防止攻击横向扩散

• 高危操作管控：应仅开放最小必要目录/命令，对删除文件、修改配置、传输数据等高危操作强制二次确认或人工审批。

• 尊重平台规则：访问第三方平台、服务及数据交互时，应主动声明身份，遵守平台规则、安全策略和数据使用政策，在平台明确授权的访问范围内进行操作，不宜绕过或破坏平台规则，共同保障用户合法权益及生态健康。

四、数据隐私化

• 数据备份与恢复：定期备份业务数据，升级前执行全量备份，确保故障后可快速恢复。

• 数据访问管控：限制核心数据访问范围，仅授权必要角色访问或使用临时token访问；敏感数据加密存储，避免越权读取，如认证凭据应加密保存，不宜明文保存。

• 日志可追溯：开启全流程操作日志、安全日志，确保数据访问与变更可追溯，为安全事件溯源提供依据。

• 数据防泄露机制：对数据进行敏感度区分，重要数据不宜送至外部大模型做推理，确有必要则送至机密计算大模型。部署数据防泄漏产品，防止敏感数据通过模型通道或用户通道泄露。

五、技能规范化

• 技能包准入规则：审慎下载外部公开技能包，谨慎安装要求“下载未知文件”、“执行shell脚本”、“输入密码”的技能包；第三方技能需经代码审查、安全扫描后再安装。

• 技能应用适配：结合OpenClaw场景适配要求，优先选择官方认证技能，避免引入恶意逻辑。

六、接入防控化

• 接入安全防护：部署提示词注入防护、内容安全防护等安全产品，建立前置防护机制，防范恶意输入与内容风险。

• 终端安全管控：启用浏览器沙箱/网页过滤器，阻止可疑脚本；不宜浏览不明网站、点击陌生链接、读取不可信文档；不宜使用来历不明的插件、脚本。

• 入口访问管控：严控各类外部接入入口，除保留必要的SSH/VPN/零信任通道外，同步对企业微信、钉钉、飞书、邮件等办公使用入口进行管控，实现身份、权限、审计、策略统一管理，避免服务入口被钓鱼劫持。

七、审计闭环化

• 云端日志审计：需将本地日志上传至日志服务，开启详细日志审计，不宜关闭；确保日志可集中管理与查询。

• 应急处置流程：发现异常立即断开实例网络、重置密钥/权限、全面排查资源风险；定期检查漏洞，关注OpenClaw官方及工信部安全公告，及时处置风险。

• 长效防护机制：结合安全防护工具、杀毒软件进行实时防护，建立漏洞修补、风险预警的长效机制。

致谢

本报告在撰写过程中得到了以下单位的支持和帮助，在此表示感谢。由于撰稿时间有限，行业态势变化快，如有疏忽和纰漏，欢迎批评指正。

腾讯云计算（北京）有限责任公司、中国信息通信研究院（排名不分先后）

• END –

构建数字安全免疫力，守护企业生命线

推荐阅读

中国信通院与腾讯云联合发布“云上养虾安全七条”

腾讯龙虾安全工具箱来了，让全民安心“养虾”

养龙虾必须关注的「安全十问」

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：腾讯安全 《信通院联合腾讯云发布《云上养虾（OpenClaw）安全指南》》