OpenClaw 是什么？养龙虾安全吗？

OpenClaw 是什么？它有哪些用途？

OpenClaw 是由 Peter Steinberger 创建的开源自主 AI 个人助手。与大多数在云端运行的 AI 工具不同，OpenClaw 最初设计为在您自己的设备上本地运行，可直接访问它所安装的系统。

此工具的核心用途是充当 AI 模型与您现有软件之间的桥梁。OpenClaw 通过网关系统将大型语言模型连接至本地文件、应用程序和服务，使 AI 能够超越文本回复的局限，执行具体操作，例如读取文档、写入文件或触发工作流。

OpenClaw 还可与即时通讯平台集成，让用户通过熟悉的聊天界面与它交互，无需单独的操作面板。连接后，助手能够跨对话保持持久记忆，持续追踪进行中的任务、记住此前的指令，并在不同会话间延续工作，无需每次从头开始。

OpenClaw、Moltbot 和 Clawdbot 有什么区别？为何叫“龙虾”？

OpenClaw 历经多次改名，给外界带来了不少困惑。OpenClaw、Moltbot 和 Clawdbot 这三个名称，实际上指的是同一款软件在不同开发阶段的称呼。

该项目于 2025 年 11 月以 Clawdbot 为名首次发布。在引发关注后不久，由于 Anthropic 提出商标申请，认为 Clawdbot 与其 Claude AI 模型名称过于相近，项目随即更名为 Moltbot。项目吉祥物（一只名为 Molty 的太空龙虾）正是 Moltbot 时代的产物，至今仍在社区中沿用。

2026 年 1 月下旬，项目再度改名，正式定名为 OpenClaw，并沿用至今。尽管多次更名，AI 智能体的核心功能始终未变。这些变化属于行政层面的调整，而非技术层面的重构，目的是避免品牌混淆，而非重新定义工具的用途。

值得一提的是，多次更名并未影响用户的热情。据报道，OpenClaw 的代码仓库在发布后数周内便突破 10 万 GitHub Star，跻身增长最快的开源项目之列。它在中文社区里还有一个广为流传的别称——“养龙虾”。

这个说法源自用户的实际使用过程：要让 OpenClaw 真正派上用场，用户需要不断通过指令对其进行调教和训练，同时还需要承担调用 AI 模型或租用服务器的成本，整个过程就像在“饲养”一只数字龙虾。

OpenClaw 如何工作？

OpenClaw 被归类为窄域 AI。它是在本地运行的高度智能自主助手，并根据您配置的工具和权限自动执行特定任务。它不是能够理解、学习或完成任意人类智识任务的通用人工智能。

在具体运行机制上，OpenClaw 以 Node.js 服务的形式运行于您的本地设备。这项服务充当 AI 模型（如 Claude 或 GPT）与系统中的应用程序、文件及服务之间的“网关”。AI 模型生成指令，OpenClaw 将其转化为操作系统可执行的操作。

您通过已连接的聊天应用与 OpenClaw 交互，无需登录单独的操作界面。例如，您可以通过关联的即时通讯应用发送消息，OpenClaw 便可响应并执行读取文件、写入内容、打开浏览器或触发预设工作流等操作。

OpenClaw 遵循自主执行原则。一旦完成配置，只要相关操作在您设定的规则和权限范围内，它便可无需逐步指令地自动执行。

其中一种实现方式是 OpenClaw 的“心跳”（heartbeat）功能。心跳允许系统按设定的时间间隔运行，评估当前状态，并在无需新消息触发的情况下继续执行已配置的任务。

根据配置方式的不同，OpenClaw 可以读写文件、执行 Shell 命令、控制浏览器会话、管理日历和发送邮件。该项目开源免费，但许多集成功能依赖第三方 AI 服务。要使用这些服务，您需要提供自己的 API 密钥，可能附带用量限制或额外费用。

养龙虾能为您做些什么？

养龙虾可作为智能代理，跨您所连接的应用和服务完成多步骤任务。它不仅能回答问题，还能执行产生实际结果的操作，例如创建文件、发送消息或更新日程。根据配置方式，OpenClaw 能够：

• 自动化工作流：执行“收集输入、生成输出、保存至文件夹、在聊天中通知我”等完整流程；
• 读取并汇总内容：审阅您提供的文档或网页，并返回结构化摘要、关键要点或待办事项；
• 发送消息和通知：任务完成或定时检查发现匹配结果时，通过已连接的即时通讯平台推送更新；
• 管理信息：存储笔记、追踪进行中的任务，并利用持久记忆在多个会话中延续工作。
• 按计划触发操作：在设定时间执行例行任务，例如创建每日提醒、准备状态更新或检查指定数据源；
• 通过技能（插件）扩展功能：通过扩展组件连接外部工具和服务，实现基础安装之外的更多操作。

OpenClaw 支持哪些设备和操作系统？

OpenClaw 的设计初衷为运行于标准个人计算环境。由于它以本地服务的形式运行，主要要求是设备能够运行 Node.js 并维持持久的后台进程。

OpenClaw 支持以下平台：

• macOS：OpenClaw 提供原生 macOS 配套应用，包含菜单栏界面以及语音唤醒（Voice Wake）和按键通话等语音功能；
• Windows：OpenClaw 通常通过适用于 Linux 的 Windows 子系统（WSL2）在 Windows 上运行，这也是 OpenClaw 官方安装指南强烈推荐的方式；
• Linux：Linux 非常适合将“网关”作为持续运行的本地服务，尤其适用于服务器或长期运行的设备；
• Docker：OpenClaw 可通过项目提供的 Docker 配置，在各主流操作系统上的 Docker 中运行，便于可重复部署及与主机环境隔离。

比操作系统更重要的是宿主机上存储的内容。如果 OpenClaw 运行在您的主力电脑上，并获得了对日常账号和文件的访问权限，助手就会继承该环境的所有敏感性。许多用户会将 OpenClaw 部署在专用设备上，或使用权限受限的专用用户配置文件，以此规避风险。

此工具对硬件性能的要求并不高。OpenClaw 本身不会在本地运行 AI 代理，除非您专门配置为如此。大多数处理工作通过已连接的 AI 服务完成，本地设备负责协调、文件访问和任务执行。

OpenClaw 可以连接哪些应用和服务？

OpenClaw 通过集成功能将其网关与您已有的应用相连，使助手能够在一处接收指令，在另一处执行操作。许多用户首先连接一款聊天应用作为控制入口，再根据需要添加邮件、日历和文件访问等服务。支持的服务包括：

• WhatsApp
• Telegram
• Discord
• Slack
• Microsoft Teams
• iMessage
• Signal

如果您将 OpenClaw 连接至家居自动化服务，它可以支持智能家居安全例程，例如设备状态检查或预定义操作。如果这些例程延伸至更广泛的物联网基础设施，建议将集成范围限制在您希望助手控制的设备和指令之内。

养龙虾的 5 大安全风险

养龙虾本身并非不安全，但您也不应该将 OpenClaw 视为普通的聊天机器人。由于它能够访问本地文件、连接账号并执行操作，其安全性在很大程度上取决于配置方式和运行环境。从 AI 安全和网络安全的角度来看，OpenClaw 更接近于拥有账号访问权限的通用软件，而非只读助手——这意味着您必须从一开始便认真考量权限、集成和数据访问等问题。

1. 提示词注入漏洞

提示词注入是一类攻击手法，通过在 AI 系统处理的内容中嵌入隐藏指令来实施。由于 OpenClaw 可以读取外部内容并据此采取行动，一旦系统处理不可信的输入，提示词注入便可能成为安全隐患。一次成功的提示词注入攻击可能影响模型的输出，或将其引导至非预期的操作和响应。

如果 OpenClaw 被授予敏感数据访问权限，或被允许通过已连接的服务触发操作，风险将进一步上升。例如，已连接聊天应用中的一条消息，可能试图覆盖用户意图，诱使助手泄露数据或执行原始请求之外的任务。

有一点需要注意的是，提示词注入并非 OpenClaw 独有的问题，它是将语言模型连接至文件、账号和系统级操作的众多 AI 工具所共同面临的挑战。

2. 凭证和 API 密钥暴露

OpenClaw 与第三方服务协作时，通常需要用户在设置过程中输入 API 密钥或其他凭证。API 密钥允许 OpenClaw 代表用户对外部服务进行身份验证并执行操作。

如果凭证以明文形式存储或在宿主设备上以其他方式暴露，拥有设备访问权限的恶意行为者便可将其窃取。这意味着攻击者甚至无需入侵 OpenClaw 本身，直接使用相同凭证登录已验证的服务即可。

3. 系统权限过高

为了执行任务，OpenClaw 可能需要在其所在设备上获取较为广泛的权限。根据配置情况，这些权限可能包括访问本地文件、执行 Shell 命令以及控制浏览器会话——这些都是自动化工具所具备，且极为强大的能力。

过于宽泛的权限会带来最大的安全风险。如果攻击者通过被入侵的集成、恶意插件或不可信的输入影响助手的行为，这些访问权限可能被滥用于执行用户未授权的操作。

这也是权限升级值得警惕的原因。如果 OpenClaw 最初只拥有有限访问权限，但能够触发授予更高权限的工具或进程，攻击者便可能将其推入更高权限的状态。最安全的配置方式是保持权限范围尽可能窄、限制命令执行，并尽量将 OpenClaw 与敏感账号和系统区域隔离。

4. 技能/插件的供应链风险

OpenClaw 可通过社区构建的技能和插件进行扩展，进一步拓展助手的功能。这种模式在开源软件中十分常见，但也引入了网络安全领域熟知的供应链风险。

插件以 OpenClaw 所获权限运行。因此，如果某个技能的源代码存在安全漏洞，或该技能本身出于恶意目的，便可能滥用这些权限来读取数据、执行命令或向外部发送信息。实际上，即便 OpenClaw 本身按设计正常运行，一个恶意插件也可能表现得如同恶意软件。

最安全的默认原则是：假设插件能够执行宿主进程所能执行的一切操作。仅从您信任的来源安装插件，将插件数量保持在最小范围内，并避免向插件授予凭证或系统命令的访问权限，除非工作流有明确需求。

5. 数据外泄风险

当一个系统既能访问私密信息，又能与外部通信时，数据外泄便有可能发生。在安全研究领域，这种组合有时被描述为漏洞的“致命三角”：工具可以访问私密数据、执行操作，并将信息发送到环境之外。

如果 OpenClaw 被配置为读取文件、保持持久记忆并与外部服务交互，上述条件便可能同时满足。在这种设置下，一个暴露的 API 密钥、一个不可信的插件，或一个被入侵的已连接账号，都可能为攻击者提供提取存储上下文的途径，包括此前的对话记录、笔记或任务历史。

中国、香港、新加坡对 OpenClaw 的公开安全提示

OpenClaw 走红之后，相关的公开安全讨论也很快多了起来。围绕权限、数据访问与网络暴露面的话题，多地的应急响应中心、监管机构和安全厂商陆续发布了风险提示与使用建议。如果您正在评估是否部署 OpenClaw，了解这些公开信息可能会对您有帮助（以下内容均整理自公开来源，仅供参考，不构成法律或合规建议）。

中国内地：监管机构与应急中心发布的提示

工业和信息化部网络安全威胁和漏洞信息共享平台较早针对 OpenClaw 发布了风险预警，提醒该工具在默认或不当配置下可能存在较高安全风险。

国家互联网应急中心（CNCERT）随后于 2026 年 3 月发布了《关于 OpenClaw 安全应用的风险提示》，重点提及该工具在架构设计、默认配置、漏洞管理及插件生态方面的若干注意事项。同月，CNCERT 与中国网络空间安全协会联合发布《OpenClaw 安全使用实践指南》，就运行环境隔离、最小权限配置和插件审计等方面给出了具体使用建议。

据彭博社、路透社等媒体报道，部分企事业单位也针对员工在办公环境下使用 OpenClaw 制定了内部管理要求。具体执行口径以各机构内部规定为准。

香港：政府机构与 HKCERT 的公开提示

据香港特区政府新闻公报，2026 年 3 月中旬，数字政策办公室向各政府部门发出提示，建议现阶段暂不在连接政府网络的电脑上安装 OpenClaw。创新科技及工业局局长孙东在同期公开场合介绍了相关安排，并就运行环境隔离、凭证管理与安全补丁更新等方面，向私人机构及个人用户提出了一般性安全建议。

随后，香港电脑保安事故协调中心（HKCERT）发布了一份面向公众的技术警示，列出了与 OpenClaw 相关的几类公开攻击面：

• 第三方 skills（技能/插件）的供应链投毒；
• 伪冒的 GitHub 仓库与受污染的搜索结果；
• 一条已被官方修复的高严重性漏洞链。

安全厂商 Trend Micro 此前披露的 macOS 平台相关案例，也被 HKCERT 引用作为参考。这些信息可作为部署 OpenClaw 时的参考清单，帮助您理解需要重点防护的环节。

新加坡：通过既有治理框架处理

截至本文发稿，公开资料中未见新加坡政府针对 OpenClaw 发布专门的限制措施。当地对 AI 助手类工具的治理，目前主要依托信息、通信及媒体发展管理局（IMDA）的 AI 治理框架、《个人资料保护法令》（PDPA）以及现有的网络安全相关法规处理。

免责声明：以上信息均整理自公开报道与官方公告，仅用于帮助读者了解 OpenClaw 在不同地区的公开安全讨论背景，不构成任何法律或合规建议。企业用户在部署前，建议结合自身所在司法管辖区的具体规定及内部信息安全政策另行评估。

如何更安全地使用 OpenClaw？

如果您将 OpenClaw 视为拥有设备和账号访问权限的自动化软件，而不是普通的聊天机器人，您的使用就会更加安全。在将它用于日常工作流之前，您应该先缩减权限、隔离运行环境并限制出站连接。以下 10 个步骤将帮助您做到这一点：

1. 1.从最小权限开始：仅向 OpenClaw 授予特定工作流所需的文件、应用和服务的访问权限。初始设置时，避免授予系统级权限。
2. 2.在沙盒环境中运行：使用沙盒技术，例如独立用户账号、虚拟机或容器化方案，限制 OpenClaw 在遭到入侵或集成被滥用时所能访问的范围。
3. 3.默认将插件和技能视为不可信：每个插件均以主进程相同的权限运行。仅安装您实际需要的插件，并删除不再使用的插件。
4. 4.妥善保管密钥：安全存储 API 密钥和令牌，避免将其置于明文配置文件中，并定期轮换密钥（尤其是在尝试新集成时）。
5. 5.限制自动操作：避免 OpenClaw 在无需审查的情况下执行高权限操作。对可能具有“破坏性”或涉及敏感内容的操作，保留明确的确认步骤。
6. 6.假设外部内容可能含有恶意企图：电子邮件、消息、文档和网页均可能携带隐藏的恶意指令。限制 OpenClaw 被允许自动处理的输入范围。
7. 7.限制对个人可识别信息的访问：除非工作流有明确需求，否则不要将 OpenClaw 连接至包含个人可识别信息（PII）的账号或文件夹。
8. 8.监控日志和活动：定期审查日志，确认 OpenClaw 执行了哪些操作、联系了哪些服务以及操作时间。留意任何异常命令、新增集成或异常出站请求。
9. 9.保持系统更新：定期更新 OpenClaw、其插件及宿主系统。随着项目不断演进和新功能的加入，定期更新的重要性也随之提升。
10. 10.使用独立账号进行测试：使用测试账号而不是生产环境凭证来尝试新技能或工作流。

通过网状网络私密托管 OpenClaw

在本地运行 OpenClaw 本身已能减少对第三方服务器的暴露。您还可以进一步通过在自有设备上托管助手，并通过网状网络进行私密访问，来强化访问控制。如需采用这种方式，我们关于如何通过网状网络设置 OpenClaw AI 助手的指南将为您逐步说明配置流程。

通过网状网络，您可以在 Windows、macOS 或 Linux 上部署 OpenClaw，并通过加密连接远程访问其界面，无需通过外部聊天平台路由指令，实现直接、私密的访问。其主要安全优势在于保持助手自托管、限制可访问入口，同时由网状网络保护传输中的流量。

OpenClaw 能免费使用吗？

是的，您可免费使用 OpenClaw。该项目以 MIT 许可证发布，您可以免费安装、在本地运行并进行修改，无需支付任何费用。

然而，许多配置方案仍会产生费用。OpenClaw 与第三方 AI 服务协作，这意味着您可能需要为所选的模型服务商提供自己的 API 密钥。这些服务商通常按用量计费，如果您频繁运行自动化任务或全天保持 OpenClaw 活跃，费用可能相当可观。此外，您还需要硬件来运行 OpenClaw，无论是您自己的电脑、专用设备还是托管服务器。

您应该使用 OpenClaw 吗？

您可以使用 OpenClaw，但请将它视为强大的自动化软件，而不是日常使用的聊天机器人。OpenClaw 最适合能够谨慎配置、管控其访问权限并持续维护的用户。

OpenClaw 适合这些人群：

• 具备一定技术能力，并了解它的安全影响。
• 可以在独立设备或隔离环境中运行 OpenClaw，而不是安装在主力设备上。
• 希望亲身体验能够执行多步骤任务的自主 AI 助手。
• 了解如何限制权限、保护 API 密钥，并随着规模扩大持续管控配置。

OpenClaw 不适合这些人群：

• 从未使用过 API 密钥、反向代理或沙盒技术，且希望拥有“开箱即用”的体验。
• 计划将其安装在存有敏感工作文件、财务记录或个人文档的设备上。
• 偏好“设置后即忘”的个人 AI 助手，无需定期更新、监控，或调整配置即可无人值守运行。
• 希望将数据暴露降至最低，且不希望助手连接到任何账号或服务。