AI 智能体安全清单：让智能体处理真实数据前必须检查的 15 件事

OpenClaw 安全危机产出了一个有用的东西：搞清楚了 AI 智能体安全到底需要什么。2026 年 1 月之前，"AI 智能体安全"是个模糊的概念。3 月之后，它变成了一份清单。

这不是纸上谈兵。清单上的每一条都对应着 2026 年第一季度在实际环境中被利用过的真实漏洞。

网络暴露

1. 检查你的绑定地址。

```bash ss -tlnp | grep -E "(zeroclaw|openclaw|ollama)" ```

如果任何 AI 服务在 0.0.0.0（所有接口）上监听，且你的机器有公网 IP，那它就是对互联网开放的。立即改成 127.0.0.1。

OpenClaw 的默认绑定地址是 0.0.0.0。这一个默认值导致了 42,000+ 个暴露实例。ZeroClaw 默认绑定 127.0.0.1。

2. 扫描暴露的端口。

从你的网络外面（用 VPS 或 Shodan 之类的服务）：

```bash nmap -p 3000,11434,8080 your-public-ip ```

端口 3000（常见智能体 UI）、11434（Ollama）和 8080（常见 Web 界面）不应该对外可达，除非你已经配置了带正确认证的访问。

3. 用带认证的反向代理。

如果需要远程访问，把智能体放在 nginx 或 Caddy 后面并配好认证。永远不要直接暴露智能体。

认证和令牌

4. 轮换所有 API 密钥和令牌。

如果你的智能体从初始设置以来一直用同一套 API 密钥，现在就轮换。ClawHub 攻击收割了环境变量——如果你曾安装过第三方技能，任何智能体进程能访问的密钥都应视为可能已泄露。

5. 检查令牌过期时间。

OpenClaw 使用没有过期时间的 bearer token。偷到的 token 永远有效。ZeroClaw 使用带会话限制 token 的网关配对。如果你在用 OpenClaw，检查你的认证令牌是否会过期，并按时间表轮换。

6. 按范围分离凭据。

不要给智能体一个什么都能访问的 API 密钥。创建限定范围的凭据：知识库用只读密钥，智能体需要修改的特定服务用写入密钥，每个集成用独立密钥。

技能和扩展

7. 审计已安装的技能。

```bash # OpenClaw: openclaw skills list

# 对照已知恶意列表检查每一个： # github.com/koi-security/clawhavoc-indicators ```

ZeroClaw 用户：检查 config.toml 的 tools 部分。列在那里的每个工具都拥有其配置块中授予的权限——逐一确认每个都是有意添加的。

8. 移除不再使用的技能。

每个已安装的技能都是攻击面。如果你六个月前装了"solana-wallet-tracker"但从没用过，删掉它。不用的技能就像开着窗户"因为以后可能想透气"。

9. 验证技能来源。

OpenClaw 用户：检查每个已安装技能的作者。验证其 GitHub 个人资料是真实的，且创建时间早于技能发布。ClawHavoc 使用的是新创建的账号。

ZeroClaw 用户：这个问题不存在——没有可以安装的市场。

权限和沙箱

10. 检查文件系统访问。

你的智能体能访问哪些文件和目录？OpenClaw 技能默认拥有完整文件系统访问权限。ZeroClaw 使用 deny-by-default 的白名单。

```bash # 检查 ZeroClaw 的文件访问配置： grep -A 5 "[tools." ~/.zeroclaw/config.toml ```

你的智能体应该只访问它需要的目录。客服聊天机器人不需要访问 /etc/ssh。编程助手不需要访问你的浏览器配置。

11. 检查网络访问。

你的智能体能不能发起任意网络请求？如果能，被攻破的智能体可以把数据外泄到任何端点。ZeroClaw 的白名单模型限制出站连接只到显式允许的端点。

12. 检查进程权限。

智能体以什么用户运行？以 root 运行意味着智能体（和任何被攻破的技能）拥有完整系统访问权限。用专用的低权限用户运行智能体。

```bash # 检查： ps aux | grep zeroclaw # 第一列不应该是 'root' ```

数据保护

13. 加密记忆数据库。

你的智能体记忆包含你跟它的每一次对话。如果机器被偷或被攻击者访问，未加密的记忆就是数据泄露。

ZeroClaw 支持 SQLCipher 做静态加密。在 config.toml 中启用。

14. 检查环境变量里有什么。

```bash env | grep -iE "(key|token|secret|password|credential)" ```

对智能体进程可见的每个环境变量，智能体使用的每个技能/工具都能访问。把敏感凭据移到密钥管理器或 ZeroClaw 的加密配置存储中。

监控

15. 启用审计日志。

• •每次工具调用（什么工具、什么参数、什么结果）
• •每个外部网络请求（目标、载荷大小）
• •每次文件访问（路径、操作类型）
• •认证事件（成功和失败）

把这些日志接入你的监控栈，设置异常模式告警：不寻常的出站连接、意外的文件访问、非常规时间的工具调用。

快速评估

如果你想快速了解智能体的安全态势，回答三个问题：

1. 1.**它能从互联网访问吗？** 如果是，先修这个。
2. 2.**技能/工具能访问任何它想要的东西吗？** 如果是，加权限边界。
3. 3.**你有能显示入侵的日志吗？** 如果没有，启用日志。

这三个问题诚实回答，能捕获 OpenClaw 危机中 90% 被利用的漏洞。剩下 10% 是上面的详细清单。

安全不是一个状态，而是一种实践。每个季度、每次配置变更后、每次安装新扩展后跑一遍这份清单。花十分钟检查比出了事便宜得多。