1. 最核心：绝不暴露公网（风险第一杀手）
• 只绑 127.0.0.1 或内网IP
• 关闭默认 18789 端口对外监听
• 任何公网访问 = 几乎必被接管（已超17万暴露实例被扫描利用）
2. 权限死死锁住（能力越大风险越大）
• 永远用最低权限用户运行（非root、非管理员）
• 推荐：Docker + user namespace 或完整虚拟机隔离
• 禁止访问：系统目录、浏览器密码、钱包、私钥、密码管理器
• 高危操作（shell、写系统文件）必须手动确认或直接禁用
3. 输入来源彻底白名单 + 防注入
• 只允许特定聊天账号/群发指令（开启严格白名单）
• 关闭自动读取网页、邮件、任意文件内容的功能
• 严禁让它自主浏览不信任网址（提示词注入主攻途径）
4. 技能（Skills）与插件零信任
• ClawHub 技能市场已确认上千恶意包 → 只装自己审计过的，或彻底禁用第三方技能
• 所有新技能安装前：人工阅读 Markdown 内容 + 在沙箱环境测试
• 优先用官方/社区公认的 Guard、Shield 类防护插件（定期更新）
5. 日常必须执行的运维底线
• 每天跟进官方 GitHub + CNNVD 漏洞更新（已曝超百个高中危洞）
• API Key 设置硬限额 + 每日消费上限
• 敏感凭证全走环境变量，绝不写死配置文件
• 每周审计 memory 文件 + 已安装技能，删除任何可疑内容
OpenClaw 本质是“给了大模型系统执行权的高危代理”，安全度完全取决于你给它的权限有多小。
想极致方便 → 风险极高；想相对安全 → 必须当“养数字猛兽”来管，权限收多少，它就安全多少。
最保守建议：个人重要设备上别用；要玩就扔独立虚拟机/云服务器跑，里面不放任何真实敏感数据。