很多人部署 OpenClaw 时最兴奋的是“它能做什么”,真正决定你能不能长期用下去的,往往是“它会不会失控”。
01 OpenClaw 的安全模型
OpenClaw 的默认理念可以概括成一句话:默认不信任。
DM 配对保护
陌生用户第一次通过任意渠道给你发私信时,默认不会直接进入对话,而是先拿到配对码。只有你批准后,对方才能继续用。
这一步主要防止:
- 陌生人滥用 Agent
- API 额度被刷爆
- 私聊入口变成匿名开放接口
群组沙箱
群聊环境里,OpenClaw 默认更保守。
- 每个群独立 Session
- 不加载你的长期私聊记忆
- 默认只响应
@提及
所以它天然在保护一件事:你在私聊里说过的话,不应该轻易漏到群里。
工具访问控制
这里有几类典型开关:
| 配置项 | 作用 |
|---|---|
allowlist | 只允许指定工具 |
denylist | 禁止指定工具 |
browser | 完全关闭浏览器自动化 |
canvas | 关闭可视化能力 |
nodes | 关闭本地设备控制 |
如果你把 OpenClaw 接到了企业 IM 或多人环境,这些限制一定要提前想清楚。
强制认证
从 v2026.3.7 起,Gateway 认证要求显式设置。
{
"gateway": {
"auth": {
"mode": "token",
"token": "your-secret-token"
}
}
}这是一个很重要的信号:项目方已经不再接受“默认裸跑”这种做法。
02 你必须知道的安全事件
CVE-2026-25253
| 项目 | 说明 |
|---|---|
| 类型 | 远程代码执行 |
| 评分 | 8.8 / 10 |
| 原因 | WebSocket origin 绕过 |
| 影响 | 未认证且暴露公网的实例 |
| 状态 | 已修复 |
这类漏洞的危险之处在于:攻击者可以在你的机器上执行真实命令,不只是“偷点聊天记录”那么简单。
ClawHavoc 供应链攻击
这起事件在 Part 5 已经讲过,但这里要再记一次,因为它说明了 Skills 的风险不是抽象概念,而是真实发生过的大规模问题。
Anthropic OAuth 封禁
这不是传统漏洞,但属于真实风险事件。大量用户因为用 OAuth 方式接订阅账号而遭遇封禁或警告,因此更推荐走 API Key。
Google 账号封禁波及
一些高频使用 Gmail / Google 相关 Skill 的用户会触发平台风控,导致整套 Google 服务受影响。
大量未认证暴露实例
安全研究者曾发现大量 OpenClaw 实例直接把 Gateway 暴露在公网,而且没有任何认证配置。这类错误一旦叠加 RCE 风险,后果很严重。
03 为什么账单会失控
OpenClaw 的费用和普通聊天机器人完全不是一个量级,因为它往往不是“问一次答一次”,而是:
- 一次任务中多轮思考
- 多次工具调用
- 读写上下文和记忆
- 长时间后台运行
- 定时任务不断触发
所以一个看起来普通的需求,比如“帮我检查邮件”,背后可能已经走了多次 API 调用。
极端情况下,用户睡前一切正常,第二天醒来发现账单到了 $1,100。
04 最重要的省钱手段:Fallback 链
Fallback 不只是“主模型挂了再切换”,更是主动把不同难度任务分配给不同成本模型。
{
"agents": {
"defaults": {
"model": {
"primary": "anthropic/claude-sonnet-4-6",
"fallbacks": [
"anthropic/claude-haiku-4-5",
"deepseek/deepseek-chat"
]
}
}
}
}不同策略的大致成本感知
| 策略 | 相对成本 |
|---|---|
| 全用 Claude Sonnet | 100% |
| Sonnet + Haiku | 约 50% 到 60% |
| Sonnet + Haiku + DeepSeek | 约 5% 到 20% |
| 纯 DeepSeek | 约 5% |
| 本地模型 | 接近 0 |
对多数用户来说,Sonnet -> Haiku -> DeepSeek 已经是非常实用的一条链。
05 给账单加护栏:预算上限
除了 Fallback,第二个必须上的就是预算限制。
{
"agents": {
"defaults": {
"budget": {
"maxTokensPerDay": 500000,
"maxCostPerDay": 5.0
}
}
}
}即使你预算并不紧,这个限制也很值得开。因为真正可怕的不是“模型贵”,而是 Agent 在循环任务里不停烧钱。
06 免费与低成本方案
本地模型
如果你有 16 到 32 GB 内存,本地模型可以承担:
- 心跳任务
- 定时任务
- 轻量问答
- 一部分工具型 Agent 工作
服务器成本其实不是重点
这里的结论也很明确:服务器现在通常都很便宜,真正长期拉开差距的,是模型调用方案。
推荐混合策略
最均衡的一套通常是:
- 复杂任务:Claude Sonnet
- 日常对话:DeepSeek-V3
- 心跳 / 定时任务:Gemini Flash 或本地 Ollama
- 预算护栏:每天上限
- 兜底:三级 Fallback
07 生产环境最小清单
如果你准备认真长期用,至少把下面这些做了:
- 只在需要时暴露网络访问
- Gateway 必须有认证
- 群聊默认只响应提及
- 高风险工具默认收紧
- 第三方 Skills 安装前先审代码
- 配置 Fallback
- 配置每日预算上限
- 重要账号与主力设备分离
OpenClaw 的确强,但它不是“装上就能放心放养”的东西。理解这一点,才算真正会用。