OpenClaw 安装、加固与部署
运行 OpenClaw 有两种方式。第一种是克隆仓库、跑一下安装脚本,然后祈祷别出事。第二种是把它做对:打过补丁的运行时、锁好的网关、经过审核的插件,以及您可以放心交给下一位 IT 承包商的文档。
我们负责的是第二种。如果您还没看到最近的安全新闻,请继续往下读。
为什么 OpenClaw 是当下最令人兴奋、也最危险的 AI 智能体#
60 天收获 302,000 个 GitHub star#
OpenClaw 在大约 60 天内突破 302,000 个 GitHub star,超过 React 成为 GitHub 上 star 数最高的项目(Decision Crafters / OpenClaw Blog,2026 年 3 月)。这种增长意味着此刻正有数以百万计的安装在发生。大多数安装者并没有在上线之前,去确认到底有哪些东西需要锁好。
OpenClaw 实际在做什么(以及为什么这让它成为攻击目标)#
OpenClaw 是一套智能体 AI 运行时。它会连接您的文件系统、日历、邮箱和数据库,运行工具并执行代码。您可以通过一个名为 ClawHub 的插件市场对它进行扩展,几分钟之内就能加入新能力。
这正是它在错误配置下变得危险的原因。一台被攻破的 OpenClaw 实例不只是烦人的小麻烦,而是对智能体能触达的一切资源的通行证。
演示中没人提及的安全危机#
病毒式传播的视频片段里,智能体正在预订行程、写报告、打理收件箱。演示里没有人提到 CVE-2026-25253,没有人提到安全研究人员记录到的 135,000 台暴露实例,也没有人提到把恶意 skill 放进官方市场的供应链攻击。这些报道是在几周后的安全媒体上才出现的,而那些对 OpenClaw 充满期待的人,大多并不会去翻那些渠道。
「我在 YouTube 看到它能用」与「我拥有一套安全且可用的部署」之间的差距真实存在,值得在安装任何东西之前弄清楚。
大多数 DIY 安装都会留下的三大风险#
CVE-2026-25253:未修补实例上的一键 RCE#
CVE-2026-25253 于 2026 年 2 月 1 日披露,CVSS 评分为 8.8。这是一项令牌外泄漏洞,能够通过跨站 WebSocket 劫持实现远程代码执行,并影响所有 v2026.1.29 之前的 OpenClaw 版本。
如果您的实例可以从互联网访问,并且没有打补丁,攻击者无需您的凭据就能完全控制它。SecurityScorecard 识别出 50,000 余个可被实际利用的实例,其中有 53,000 个以上与此前的失陷活动存在关联(SecurityScorecard,2026 年 2 月)。
打补丁不是可选项。但它也不是唯一步骤:这次修补封堵的只是一个攻击向量,并不是完整的攻击面。
135,000 个无身份验证的暴露网关#
OpenClaw 默认安装会在标准端口上暴露一个本地网关,并且访问该网关不需要任何身份验证。当用户按照教程在手机或另一台机器上访问 OpenClaw 时,他们往往会把这个端口转发到公网。
SecurityScorecard 在 82 个国家发现了 135,000 多个公开暴露的 OpenClaw 实例(The Signal Cage / SecurityScorecard,2026 年 2 月)。网关开放,无限流,无防火墙规则。任何来源的连接都被接受。
解决之道是:在配置任何外部访问之前,先在网关层要求身份验证,设置来源校验以拒绝未批准的来源,并将 OpenClaw 进程与宿主机的其他部分隔离开。我们在交付前会把这些都做到位。
ClawHavoc:官方市场中的 1,184 个恶意 skill#
ClawHub 是 OpenClaw 的官方插件市场。截至 2026 年 3 月 1 日,安全研究人员已在注册表中确认了 1,184 个恶意 skill。Koi Security 将其中 341 个追溯到一场他们命名为 ClawHavoc 的协同攻击活动(eSecurity Planet / PointGuard AI,2026 年 3 月)。
这些恶意 skill 都有描述、版本号和安装次数。其中有几个名称几乎与合法的热门 skill 一模一样。一旦被安装,它们就会外泄数据并在宿主机上建立持久化。
ClawHub 默认并不会保护您。要知道哪些插件安全,需要审查权限范围、网络行为、执行路径和发布者历史。这正是我们在您拿到可用系统之前要做的步骤之一。
一套经过加固的部署到底包含什么#
大多数安装服务只是跑一下官方安装脚本,把钥匙交给您。一次经过加固的部署在范围上完全不同。下面是它覆盖的内容。
硬件:本地推理还是 API 编排#
OpenClaw 可以以本地模型运行(全部推理在您的硬件上完成),也可以通过 API 编排(您的实例调用托管服务商)。两者的硬件要求完全不同。
本地推理的关键瓶颈是 VRAM。多数可用的本地模型至少需要 8 GB,而能够稳定处理真实任务的模型则需要 16-24 GB。对于 API 编排方案,一台搭配足够内存的现代 CPU 就够了。在开始安装之前,我们会先看看您现有的设备和想达到的目标,给出诚实的建议,判断哪条路径适合您。
在打过补丁的运行时上完成全新安装(2026.2.26+)#
我们从可信来源安装,并使用 2026.2.26 或更高版本的运行时,该版本已包含 CVE-2026-25253 披露之后的所有安全补丁。我们不使用可能捆绑过时运行时的一键安装程序。OpenClaw 启动之前,环境已是干净的。
网关身份验证、来源校验与网络分段#
在配置任何外部访问之前,先给网关加上身份验证。来源校验会拒绝来自未批准来源的请求。如果您需要从本地网络之外访问,我们会采用基于令牌的身份验证,而不是开放端口。
网络分段会限制 OpenClaw 进程在宿主机上能触达的范围。一旦智能体被攻破,不应该连带整个宿主系统也沦陷。
插件审核与 ClawHub 信任策略#
我们针对 ClawHavoc 的攻击特征逐一检查每一个插件:权限范围、网络行为、执行路径和发布者历史。我们还会配置一份 ClawHub 信任策略,在交付之后阻止未经批准的安装——让恶意 skill 不会在六周后、您已经放松警惕的时候偷偷溜进来。
MCP 集成#
我们为您工作流中真正重要的工具设置 MCP 集成:Google Workspace、Notion、GitHub、Slack,或是您自己的内部 API。每一项集成都遵循最小必要权限原则。
交接文档与补丁支持#
工作结束后,您会得到覆盖您精确部署情况的书面文档:运行时版本、网关配置、已安装插件及其获批的权限范围,以及维护说明。我们会在交付后提供一个可以提问的支持窗口,并可选订阅持续的补丁监控——在每次新安全版本要求您采取行动时通知您。
个人部署与企业部署#
我们提供两档结构化服务。如果您不确定哪档合适,意向表单会帮您梳理清楚。
个人:单用户家庭安装(399-999 美元)#
面向希望为个人用途——任务、研究、写作、家庭自动化——获得一套稳定且安全 OpenClaw 实例的个人用户。
包含:
- 硬件评估与模型选型建议
- 在打过补丁的运行时上完成全新安装
- 网关身份验证与基础网络加固
- 最多 5 个 skill 的插件审核
- 最多 3 个 MCP 集成(例如 Google Drive、Notion、GitHub)
- 书面交接文档
- 14 天邮件支持窗口
典型交付时间: 2-3 个工作日
完整范围见个人安装页面。
企业:多用户、合规意识、集成完备(2,500-6,000 美元及以上)#
面向在共享环境中运行 OpenClaw、集成业务系统、并需要满足基础数据处理要求的小型企业和团队。
包含个人档所有内容,另加:
- 基于角色权限的多用户访问控制
- 对完整初始插件栈的审核(不设上限)
- 与业务工具的集成:CRM、工单、内部数据库、Slack,或定制 API
- 面向生产环境的网络分段设计
- 合规意识配置(数据驻留、访问日志)
- 团队上手培训
- 60 天支持窗口,响应优先级更高
- 季度补丁巡检(首个季度包含)
典型交付时间: 3-5 个工作日
完整范围见企业安装页面。
流程是怎样的#
第一步:硬件与目标评估#
您填写一份简短的意向表单:硬件情况、希望 OpenClaw 做什么、需要连接哪些工具、是否已经尝试过安装。我们会审阅您的答复,并反馈一份推荐——涵盖合适的档次、需要注意的硬件事项,以及时间线。除非您自己希望,否则不需要销售通话。
第二步:远程或现场安装#
大多数部署通过屏幕共享远程完成,画面范围由您掌控。我们会和您一起走完安装过程,或者由您为关键技术步骤授权一段临时访问。对于西雅图都会区的企业部署,可以现场上门,不另收费。
第三步:加固、测试与插件复核#
完成基础安装之后,我们会按照加固清单逐项推进:运行时版本、网关身份验证、来源校验、网络分段、插件复核。我们会从外部连接测试网关,确认其行为正确。每一个获批的插件都会对照其声明的权限重新核对。不达标的不会交付。
第四步:交接、文档与支持窗口#
您会得到与您部署情况完全对应的文档包。我们会在一次简短的通话中与您走一遍。支持窗口从交付时开始:问题和意外事项会在一个工作日内得到回应。
常见问题#
请别人安装 OpenClaw 要多少钱?
个人安装 399 美元起。带合规要求和深度集成的企业部署最高可达 6,000 美元及以上。意向表单提供的信息足以让我们在任何工作开始之前给出准确报价。
不做加固直接运行 OpenClaw 安全吗?
如果它可以从本地网络之外访问,就不安全。CVE-2026-25253(CVSS 8.8)允许在未打补丁的实例上实现一键远程代码执行,并且默认网关无需身份验证。SecurityScorecard 在 2026 年初发现超过 135,000 个暴露实例。在一台没有端口转发的孤立本地机器上运行风险更低,但考虑到 ClawHavoc 供应链攻击,插件审核仍然重要。
在本地运行 OpenClaw 需要什么硬件?
对于本地推理方案,您需要一块至少 8 GB 显存的 GPU 来运行基础模型,运行能稳定应对复杂任务的模型则需要 16-24 GB。对于 API 编排方案,一台搭配 16 GB 内存的现代 CPU 通常就够了。我们在第一步评估您的硬件,并给出具体建议。
什么是 CVE-2026-25253?
这是一项 CVSS 评分 8.8 的令牌外泄漏洞,于 2026 年 2 月 1 日披露。它能够通过跨站 WebSocket 劫持实现远程代码执行,影响所有 v2026.1.29 之前的 OpenClaw 版本。如果您在 2026 年 1 月下旬之前安装,并且从未更新,您的实例极可能存在该漏洞。我们在每次部署中都会核实运行时版本与补丁状态。
可以远程帮我安装 OpenClaw 吗?
可以。个人安装通常需要 1-2 小时的屏幕共享。企业部署一般拆成两段会话完成。整个过程您都掌控着自己的机器:我们只引导流程,不会进行无人监督的访问。
交付后是否负责持续维护?
个人档包含 14 天的支持窗口。企业档包含 60 天,加上首个季度的补丁巡检。持续补丁监控作为任一档次的加购选项提供:在每次新安全版本要求采取行动时,您会收到通知,附带处理说明或报价。
如果我已经安装了 OpenClaw,只想做加固怎么办?
我们可以基于现有安装继续做。意向表单里有对应字段。根据当前配置,我们会告诉您:是直接在上面做加固合适,还是重装更快。无论哪种方式,加固的范围保持一致。
获取报价#
告诉我们您的硬件、目标,以及是否已经开始。我们会在一个工作日内发回一份明确报价。
想了解 OpenClaw 如何融入更大的自托管 AI 方案,请参阅我们的 自托管 AI 基础设施服务。如果您希望在承诺之前先了解 CVE 与攻击模式的技术背景,OpenClaw 安全加固指南 中有详细说明。
