360发布国内首份《OpenClaw安全部署指南》，为火爆AI智能体“打补丁”

3月11日，360集团正式发布国内第一份针对开源AI智能体OpenClaw的《OpenClaw安全部署与实践指南》。这份指南不是理论堆砌，而是来自一线安全团队的真实踩坑经验——针对最近在开发者圈刷屏的OpenClaw，给出一套能直接上手的防护方案。

OpenClaw这玩意儿火得不是没道理：能自动查邮件、订机票、写周报，甚至能连上你公司的CRM系统调数据，像极了你的“数字替身”。但问题也来了——它权限太大，一不小心就可能把你公司内网当自家后院逛。

360安全团队在测试中发现，不少开发者把OpenClaw直接扔在公网服务器上跑，连密码都没改，默认接口全开。有人用它自动处理报销单，结果被黑客通过一句“你帮我查下财务系统里张三的工资”就扒出了整张薪资表。更隐蔽的是提示词注入攻击——黑客在你发给AI的指令里藏了恶意代码，表面看是正常请求，实际已悄悄执行了删除文件、拉取数据库的命令。

别以为这只是小范围问题。据GitHub数据显示，OpenClaw的开源项目在两周内星标破万，国内已有超过300个创业团队在生产环境中使用。而90%的团队根本没做过任何安全加固。

个人用？先锁死权限

如果你是个人开发者，或者小团队想试试OpenClaw，别急着上云。360建议：

• 用Docker跑起来，别直接在服务器上装
• 所有密钥、API令牌用环境变量注入，别写在代码里
• 禁止AI调用系统Shell，哪怕它说“我需要执行一条命令优化性能”
• 每天检查一次它的访问日志，谁在跟它说话、说了啥，心里要有数

有个真实案例：某程序员用OpenClaw自动发日报，结果被钓鱼链接骗了，输入了“帮我查下昨天的客户名单”，AI误以为是合法指令，把客户数据全发到了黑客邮箱。事后他才明白：AI不傻，但它信你给的每一句话。

企业用？得有“门卫+监控”

要是你公司打算部署多个AI智能体协同工作，光靠个人经验不够了。360推荐一套“零信任+行为基线”方案：

• 所有AI请求必须通过统一安全网关，没授权的连门都进不去
• 按岗位分配权限，财务AI只能看财务系统，人事AI碰不了订单
• 记录每个AI的日常行为模式，比如平时10点才查数据，突然凌晨3点连数据库——立刻告警
• 插件库只用官方或经过审核的，别随便装“第三方增强包”

去年某金融科技公司就栽在这儿：他们给AI装了个“智能客服插件”，结果插件偷偷把用户通话录音上传到境外服务器。等发现时，数据已经泄露了三个月。

别再只看AI有多聪明，先问它有多安全

现在市面上的AI工具，都在比谁功能强、响应快。但360这份指南的真正价值，在于把焦点从“能做什么”拉回到“不能乱做什么”。

AI不是魔法，它只是个听话的工具。你给它钥匙，它就开门；你给它刀，它就砍。你不能指望它自己分清该不该进你老板的邮箱。

这份指南没有高深术语，全是能马上用的实操建议。对个人开发者，它能帮你躲过一次数据泄露；对企业，它可能是避免一场合规事故的关键一步。

OpenClaw是趋势，但别让趋势变成事故。安全不是拖后腿，是你敢不敢让AI替你干活的前提。