安全养虾指南
背景
随着 OpenClaw 生态的快速普及,“养龙虾"已成为 AI 应用的新趋势。然而,OpenClaw 在安全设计方面存在较大缺陷,可能带来以下风险:
- 数据安全:恶意删除邮件和存储信息
- 账号安全:API 密钥或电子钱包密码被窃取
- 插件安全:大量恶意 Skill 藏匿于社区中
2026 年 3 月 11 日,工业和信息化部网络安全威胁和漏洞信息共享平台发布关于防范 OpenClaw 开源智能体安全风险的"六要六不要"建议,呼吁用户:
- 六要:使用官方最新版本、严格控制互联网暴露面、坚持最小权限原则等
- 六不要:不使用第三方镜像版本或历史版本、不将智能体实例暴露到互联网、部署时不使用管理员权限账号等
📜 官方原文参考:详细政策解读与完整安全倡议,请参阅新华网报道:《防范 OpenClaw 开源智能体安全风险》
JVS Claw 安全保障
JVS Claw 针对上述安全风险做了专项保障,守护用户的"养虾安全”。
金融级数据安全标准
平台采用金融级数据安全标准,通过以下方式防范数据泄漏风险:
- 数据隔离:为每个用户分配独立的容器化云端运行环境,实现与其他用户的物理/逻辑隔离,确保数据互不干扰
- 传输加密:平台内所有通信均采取端到端加密
- 落盘加密:云端存储卷默认加密,即使物理硬盘被盗也无法读取数据
- 权限最小化:默认禁止访问用户本地局域网或个人电脑文件,仅在用户主动上传或授权挂载目录时才开放权限
零知识原则
JVS Claw 严格遵循"零知识"原则,用户的 JVS IM 聊天记录与云电脑操作日志均存储在私有实例中,官方无法查看,切实保障用户数据安全。
恶意 Skill 排查
针对社区恶意 Skill 乱象,平台采取以下排查措施:
- 核对插件列表,排查已知恶意 Skill
- 进行文件哈希校验,判断是否感染
- 排查异常数据上传行为