OpenClaw 安全与成本控制

在扩张之前先读这一页

橙色皮书有一个很明确的态度：OpenClaw 很强，但绝对不能被当成玩具来对待。安全和成本控制不是后期优化，而是基础运维。

安全模型从“不信任”开始

基础原则是：

• 未知用户先配对再信任
• 群组 Session 和私聊长期记忆隔离
• Gateway 默认尽量只留在本地
• 一旦要离开本机，就必须有显式认证
• 不需要的工具能力就关掉

这套心智应该比任何漂亮 UI 都更优先。

你真正需要知道的安全事件

橙色皮书明确列出了几类具体事件：

• CVE-2026-25253：暴露且未认证实例上的严重远程代码执行路径
• ClawHavoc：大规模 Skills 供应链攻击
• 互联网上大量未认证暴露 Gateway
• 与 OpenClaw 使用有关的一批 Google 账号封禁事件
• 冒充官方安装器的恶意 npm 包

正确反应不是恐慌，而是停止把它当作“随便跑跑的 Agent 小玩具”。

最开始该做什么

如果你是第一次上手，最安全的基线很简单：

1. 先本地运行。
2. 打开显式 Gateway 认证。
3. 一次只配一条模型路径和一条渠道路径。
4. 第三方 Skill 全部先看源码。
5. 升级和改配置前先备份。

Skill 本质上就是高信任代码

你应该这样理解：

• Skill 不是“装饰性插件”
• Skill 继承了你的实例信任边界
• 恶意 Skill 可以影响文件、行为和后续决策

这也是为什么 AIClawGuide 第一阶段的 Skills 市场只做人工策展，而且只收免费/开源条目。

失控账单是怎么来的

橙色皮书提到的典型恐怖故事，是 Agent 夜里因为自动任务或推理循环，把高价模型一直打到第二天早上。

通常这些事故同时满足几个条件：

• 没有 Fallback
• 没有日预算限制
• 没有区分高价值和低价值任务
• 没有用本地或免费模型承接后台工作

推荐控制方式

最推荐的默认控制方式是：

• 强主力模型负责难任务
• 便宜 Fallback 处理日常流量
• 免费或本地模型负责 Cron 和心跳
• 明确设置每日预算上限

这就是为什么 Sonnet → Haiku → DeepSeek 这样的组合在社区里反复出现。

实用起步清单

• 开启 Gateway 认证
• 不要随便暴露裸端口
• 优先用 Tailscale 或 SSH 转发，而不是直接公网开放
• 升级前先备份
• 设置每日预算
• 安装 Skill 前先审代码
• 保持更新

如果你只做到这些，就已经比很多公开暴露的失败案例安全得多。

下一步看什么

• 阅读 推荐模型栈
• 进入 Skills 中心
• 阅读 OpenClaw vs Claude Code