不要在你的主机上运行 OpenClaw 🛡️

本文最初发表于 SkyPilot Blog，由 Alex Kim 撰写。

🤖 什么是 OpenClaw？

OpenClaw 是一个自托管的 AI 代理，可连接 WhatsApp、Telegram、Slack、Discord 等数十种服务。它在短短几周内突破了 21.5 万 GitHub Star。

它运行一个持久的"网关"进程，将大型语言模型（主要是 Anthropic 的 Claude）连接到你的消息平台。你像发短信一样和它聊天，它会使用强大的工具执行任务：

• 🖥️ Shell 执行 — 在主机上运行命令
• 🌐 浏览器自动化 — 通过 Playwright 浏览网站、填写表单、截屏
• 📁 文件操作 — 读取、写入和编辑文件
• 🔌 100+ 服务集成 — Gmail、GitHub、Notion、Spotify、日历等
• 🧠 持久记忆 — 基于向量的跨对话记忆
• ⏰ 定时任务 — 类似 Cron 的自主定时运行

OpenClaw 还驱动着 Moltbook，一个 AI 代理社交网络，上线第一周就拥有 77 万+ 活跃代理。被纽约时报、经济学人和 CACM 报道。

⚠️ 为什么不应该在主机上运行？

OpenClaw 赋予 AI 代理与你几乎相同的访问权限。代理可以：

• 以你的用户身份（或 root）执行 shell 命令
• 读取 SSH 密钥、.env 文件、浏览器 Cookie
• 使用你的凭证发送邮件和调用 API
• 安装软件和修改系统配置

一次提示词注入——隐藏在邮件或网页中的恶意指令——就能将所有权限反转对你不利。

Andrej Karpathy 警告："把我的私人数据/密钥交给一个 40 万行 vibe coded 的怪物，而且它正在被大规模攻击，这一点都不吸引人。"

🔓 已发现的真实漏洞

OpenClaw 维护者自己也承认："不存在'完美安全'的设置。"

🏗️ 隔离方案对比

☁️ 使用 SkyPilot 在云端部署

SkyPilot 是一个开源框架，可在任何云上运行工作负载。一条命令即可在 AWS、GCP、Azure 等上启动 OpenClaw。

第 1 步：安装 SkyPilot

pip install 'skypilot[aws]'
sky check

第 2 步：启动 OpenClaw

sky launch -c openclaw openclaw.yaml --env ANTHROPIC_API_KEY

SkyPilot 会配置虚拟机、安装 OpenClaw、生成认证令牌并启动网关。

第 3 步：通过 SSH 隧道访问

ssh -L 18789:localhost:18789 openclaw

然后打开 http://localhost:18789 — 无端口暴露在公共互联网！

💬 连接消息渠道

ssh openclaw
openclaw onboard

或直接连接：

openclaw channels login --channel whatsapp
openclaw channels login --channel telegram
openclaw channels login --channel discord

🔄 管理集群

sky stop openclaw    # 暂停（保留状态）
sky start openclaw   # 恢复
sky down openclaw    # 永久销毁

✅ 隔离的好处

• 🔐 凭证留在本地 — SSH 密钥、Cookie、VPN 凭证永不触及虚拟机
• 💥 影响范围有界 — 入侵仅限于裸 Linux + OpenClaw
• 🚫 无开放端口 — 仅 SSH 隧道，避免 21,000+ 暴露实例的问题
• 🧹 真正的清理 — sky down 完全销毁一切
• 💰 成本低 — 约 $0.03–0.05/小时，24/7 运行不到 $30/月（对比 $599+ Mac Mini）

🎯 总结

OpenClaw 是首批在演示之外获得真正采用的 AI 代理之一。但安全权衡是真实的——提示词注入问题未解决，漏洞已被实际利用，工具设计需要广泛的系统访问权限。

**云端虚拟机让 OpenClaw 远离你的个人数据。**使用 SkyPilot YAML 可在任何云上自动化部署。

更多信息请 star SkyPilot GitHub 仓库，关注 @skypilot_org，或加入 SkyPilot Slack。