安装OpenClaw需要注意什么? 安装小龙虾有什么风险?

最近有人因为沉迷使用OpenClaw，忽视了安全问题，导致信用卡被盗刷，损失惨重。更有一些用户遭遇病毒植入，导致苹果设备被劫持，个人资料和云备份信息被窃取。

这一系列事件提醒我们，虽然OpenClaw在许多开发者和用户中火爆，但其背后隐藏的安全隐患也同样严峻。

那安装OpenClaw需要注意什么？安装小龙虾有什么风险？

遇到的安全问题

恶意安装包与假冒网站

假冒网站已经开始出现在OpenClaw的周围，许多冒牌网站的UI看起来与官网非常相似，但你下载的安装包并没有保障。最常见的情况是，某些用户误信了类似的安装命令：npm i -g openclawai

虽然 "openclaw" 和 "openclawai" 看起来相似，但后者实际上是一个恶意的npm包，装上它后，电脑上就会部署远程访问木马（RAT）。该木马会窃取你设备上的所有信息，包括敏感数据和账户信息。

U盘安装器的安全隐患

现在还出现了“U盘安装器”，号称只需插入U盘，系统就能自动安装OpenClaw。这听起来似乎很方便，但这背后可能藏着极大的安全风险。你无法确定U盘中到底安装了什么程序，可能是木马、后门或病毒，甚至可能被用来窃取你的个人资料和隐私数据。

如何安全使用OpenClaw？

使用官方渠道和手动安装

为了避免恶意软件，最好的方法是从官方渠道获取OpenClaw并手动安装。如果你没有足够的技术背景，可以参考一些技术博主的安装教程。最基本的技术要求是，能够执行命令行，检查设备的网络状态，了解自己运行的命令会不会将服务暴露到公网。

如果你不想手动安装，建议选择一些国内厂商提供的“傻瓜式”安装方式。

1、AutoClaw（本地部署，底层使用自家的GLM-5）

官网地址：https://autoglm.zhipuai.cn/autoclaw/

2、Kimi Claw（云端部署，底层使用Kimi-k2.5）

官网地址：https://www.kimi.com/bot

保证使用安全版本，避免使用私人电脑

有个重要的建议是：坚决不要在个人设备上使用OpenClaw。开发团队在发布OpenClaw 3.8版本时，修复了多个安全漏洞，而这些漏洞可能影响到你的邮件、浏览器和其他敏感信息的安全。建议等OpenClaw的版本更加稳定，再进行使用。

不开放公网端口

OpenClaw的某些版本存在配置问题，默认监听的端口 0.0.0.0:18789 可能暴露你的设备给公网。很多人在安装时忽视这一配置，导致自己在不知情的情况下将设备暴露给了黑客。

为保证安全，强烈建议启用认证机制，并不要将公网端口暴露给外部。可以使用OpenClaw提供的工具检查你的设备是否暴露在公网：OpenClaw公网暴露检测工具

避免安装陌生的Skills

很多人安装OpenClaw后会希望通过安装其他Skills来扩展其功能。虽然官方有一个Skill商店（Clawhub），但商店中的一些Skills并不安全。很多恶意开发者通过发布带有后门的Skills，窃取用户的敏感信息或甚至执行恶意操作。

不要安装任何不熟悉或来源不明的Skills，尤其是来自非官方渠道的Skills。保证只使用经过验证的安全功能，避免安装任何未经审核的内容。

设置Token消耗上限，避免过度消费

OpenClaw调用时会消耗大量Token，如果不加以控制，很容易超出预算。大多数平台允许设置API Key的消费上限。设置适当的上限，可以有效避免钱包里的资金被无限消耗。

建议定期检查Token消耗记录，若发现异常消耗，及时暂停相关任务并排查是否是某个Skill引发的高额消耗。

安全使用OpenClaw的四个关键建议

1、不要安装陌生的Skills，特别是来自非官方来源的Skills；

2、设置Token消耗上限，并定期监控消耗记录，防止钱包损失；

3、不开放公网上的端口，使用认证机制保证安全；

4、不要使用私人电脑。如果必须使用，保证设备没有暴露在公网。

虽然OpenClaw为开发者带来了强大的功能，但随之而来的安全风险也不可忽视。我们在享受便利的同时，必须时刻警惕潜在的威胁。只有采取正确的安装和使用方式，才能保证我们的个人信息和财产安全。