"养龙虾"背后的安全陷阱:Claude Code 泄露给出的 OpenClaw 安全使用教程
📖 来源:五分钟程序室 | 2026-04-02
🔗 原文链接:微信公众号
📋 目录
- 背景:两件事接连发生
- Claude Code 泄露了什么?六道安全防线
- OpenClaw 的问题:门本来就是开的
- 最危险的不是 AI,而是插件
- 真实案例:默认配置里裸奔
- OpenClaw 安全加固五步指南
- 总结:我们缺的不是更强的 AI
背景
过去半年,OpenClaw 几乎成了 AI 圈最火的"新玩具"。但就在"养龙虾"热潮达到顶点时,两件事接连发生:
- 3月31日,Claude Code 因为一个极其低级的配置失误,意外泄露了 51.2 万行源码
- 4月1日,国家知识产权局公开点名提醒:包括 OpenClaw 在内的 AI 智能体工具,存在"权限过高、插件投毒、信息泄露"等风险
我们不得不重新思考一个问题:当 AI 开始拥有执行命令、访问文件、连接网络的能力时,我们真的准备好了吗?
Claude Code 泄露了什么?
Claude Code 这次泄露,最讽刺的地方在于:它暴露的并不只是源码,而是一整套顶级 AI Agent 的安全设计。就像有人意外捡到了一家银行保险库的施工图纸。
答案是六道防线:
第一道:别让"钥匙"出现在门口
Claude Code 采用了非常严格的"功能开关"机制:
- 还没正式上线的功能,不允许被打包进生产版本
- 开发环境允许调试,但正式环境必须关闭所有调试接口
更有意思的是,Claude Code 甚至设计了**"反蒸馏"机制**——当系统怀疑有第三方在偷偷抓取数据时,它会故意返回假的工具定义来污染对方数据。
但偏偏,最基础的地方出了问题。发布时忘记关闭 source map 生成,一个 59.8MB 的调试文件被打进了 npm 包。再强的安全体系,也挡不住有人把钥匙忘在门口。
第二道:AI 也需要"失忆"和"隔离"
很多人以为 AI 越聪明、记得越多越好。但对于智能体来说,"记得太多"反而是危险的开始。
Claude Code 采用了三层记忆结构:
| 记忆层级 | 内容 |
|---|---|
| 工作记忆 | 只保存当前任务所需的信息 |
| 主题记忆 | 按领域保存长期知识 |
| 核心记忆 | 存放系统规则、用户偏好和关键配置 |
API Key、环境变量、用户凭证只允许存在于"核心记忆"里;普通任务只能看到与当前工作相关的内容。
Claude Code 甚至还会主动"怀疑自己的记忆"——每次调用记忆之前,都会重新验证:这个信息还对吗?有没有过期?是不是被之前的错误推理污染了?
第三道:给每个子代理关进自己的房间
Claude Code 把每个子代理都"关进自己的房间":
- 写代码的子代理,看不到你的账号密码
- 搜索网页的子代理,拿不到本地文件
- 帮你整理邮件的子代理,不知道你的系统命令权限
每个子代理都有时间限制、资源限制和权限边界。即使某个子代理被诱导利用,攻击者也很难横向扩散。
第四道:就算 AI 想乱来,也必须被关在笼子里
一条命令真正运行前,需要经过四层限制:
- 解析命令结构
- 判断是否属于允许范围
- 检查是否命中危险模式
- 放进资源受限的沙箱里执行
以下操作会被直接拦截:
rm -rf / # 删除根目录
curl xxx | bash # 下载后自动执行
cat ~/.ssh/id_rsa # 读取 SSH 密钥
find / -name "*.conf" # 扫描系统文件第五道:不要让一个插件拖垮整个系统
Claude Code 内部约 40 个工具模块,每个工具都被设计成彼此隔离。每个工具都有严格的"输入规范",任何超出范围、格式不正确、带有恶意特征的输入都会被直接拒绝。
这其实是在做一件很朴素的事:不要相信 AI,也不要相信用户输入。
第六道:最后一道防线,是不相信 AI 自己
即使 AI 已经生成了结果,它还会再经过一次"输出审查",自动扫描:
- API Key、私钥、Token
- 身份证号
- 邮箱、手机号等隐私信息
发现后,会自动替换、隐藏或者拒绝输出。
OpenClaw 的问题
如果 Claude Code 的问题是"忘了锁门",那么 OpenClaw 更像是:门本来就是敞开的。
| 默认配置 | 风险 |
|---|---|
默认监听 0.0.0.0 | 所有人都能访问 |
| 默认不启用身份认证 | 任何人可直接接管 |
| API Key 明文存储 | 攻击者轻松获取 |
| 聊天记录不加密 | 隐私完全暴露 |
现实是,全球已经有超过 27 万个 OpenClaw 实例,正这样"裸奔"在互联网上。
OpenClaw 的四层架构,每一层都可能被攻击:
| 层级 | 功能 | 风险 |
|---|---|---|
| 网关层 | 接收来自微信、飞书等消息 | 可能被伪造消息绕过 |
| 智能体层 | 理解任务、生成决策 | 可能被提示词注入 |
| 技能层 | 通过插件扩展能力 | 插件可能带毒 |
| 执行层 | 调用系统、文件、网络 | 一旦被拿下等于拿下整台电脑 |
最危险的不是 AI,而是插件
安全研究显示,在 ClawHub 已上架的 3016 个插件里:
| 风险类型 | 比例 |
|---|---|
| 包含恶意代码 | 约 10% |
| 访问不可信第三方内容 | 约 18% |
| 运行时动态下载并执行外部代码 | 约 3% |
你以为安装的是"自动整理文件",实际上它可能顺手:
- 上传你的聊天记录
- 读取浏览器 Cookie
- 窃取 API Key
- 在后台下载木马
⚠️ 一个插件市场,如果缺乏审核和权限控制,本质上就像是在自己的电脑里开放了一个陌生人随意进出的后门。
真实案例
3月,深圳一位程序员发现账户突然多出 1.2 万元账单。
最后查明:不是模型出了问题,而是 OpenClaw 把 API Key 明文写在配置文件里,又把服务直接暴露在公网。攻击者几乎没费什么力气,就"接管"了他的 AI。
更可怕的案例:
- 有用户明确要求"未经许可,不要进行任何操作",但 OpenClaw 仍然继续执行,最终删除了数百封邮件
- 有用户在群聊中遭遇网络暴力,AI 不仅泄露了用户的 IP、单位和姓名,还拒绝执行"报警"请求
当一个 AI 不仅会说话,还会执行命令、控制系统、访问文件,它就不再只是一个工具。它已经开始像一个真正的"代理人"。
安全加固五步指南
第一步:先把门关上 🔒
如果你已经部署了 OpenClaw,第一件事不是安装插件,而是先检查:它是不是已经暴露在公网。
立刻做三件事:
# 1. 把监听地址从 0.0.0.0 改成 127.0.0.1
# 2. 开启身份认证
# 3. 用防火墙限制来源 IP如果一定要远程访问:
- ✅ 使用 VPN
- ✅ 使用 SSH 隧道
- ✅ 使用反向代理并加登录验证
- ❌ 不要直接暴露服务
第二步:不要把 API Key 写进配置文件 🔑
最安全的方式:
| 方法 | 安全等级 |
|---|---|
| 系统环境变量 | ⭐⭐⭐ |
| 专门的密钥管理工具 | ⭐⭐⭐⭐ |
| Docker Secret | ⭐⭐⭐⭐ |
| 云厂商密钥服务 | ⭐⭐⭐⭐⭐ |
同时,把配置文件权限设为 chmod 600:只有你自己能读。
第三步:给它一个"假电脑" 🖥️
不要直接在主电脑上运行 OpenClaw。最好的做法是放进隔离环境:
Docker 容器限制:
- 只能访问指定目录
- 不能随便联网
- 不能读取系统文件
- 不能接触浏览器 Cookie、SSH 密钥和个人数据
更严格的情况,可以直接使用虚拟机。即使 AI 失控、插件带毒,被影响的也只是那个"假电脑"。
第四步:插件宁可少,也不要乱装 🔌
安装前,请至少确认四件事:
- ✅ 插件是不是官方推荐
- ✅ 作者是否可信
- ✅ 有没有公开源码
- ✅ 是否真的需要这个功能
如果一个插件要求读取所有文件、获取浏览器权限、连接外部服务器、自动执行 Shell 命令——你至少应该问自己一句:"它凭什么需要这些权限?"
最安全的插件,不是"最好用"的那个,而是"权限最少"的那个。
第五步:定期看日志 📊
真正的攻击,往往不是突然发生,而是先出现异常信号:
- AI 突然频繁联网
- 出现你没下过的插件
- 有陌生的 IP 访问
- 执行了你没有发出的命令
- Token 使用量突然暴涨
建议至少每周检查一次:
- 访问日志
- 插件列表
- API 调用记录
- 账户消费情况
⚠️ 记得定期更换 API Key。即使你觉得没有泄露,也最好一个月换一次。在 Agent 时代,真正危险的往往不是你看得见的问题,而是那些已经发生但你还不知道的事情。
总结
Claude Code 的源码泄露暴露了一个事实:即使是顶级 AI 公司,也可能因为一个小小的配置错误,把整个系统的安全设计暴露给全世界。
而 OpenClaw 的问题则进一步提醒我们:很多普通用户正在使用一个权限更高、约束更少、默认更危险的 AI。
过去,我们使用聊天机器人,最多只是担心它"说错话"。但现在,我们开始使用的是一种能够运行命令、操作文件、自动联网、控制电脑的智能体。
一个普通员工出了问题,最多删错一份文件;一个拥有系统权限的 AI 出了问题,可能删掉的是你的整个硬盘、你的服务器,甚至你的公司数据。
AI Agent 的时代已经来了。我们无法阻止"养龙虾"成为潮流,也无法阻止越来越多的人把工作交给 AI。
但至少,我们应该先学会一件事:
不要把一只会自己行动的"龙虾",直接放进你的电脑里自由乱跑。
📖 本文整理自「五分钟程序室」公众号,原文发布于 2026-04-02
🌐 更多 AI 教程请访问:AiTimes 智能时代