将AI引入电脑,就像把家里的钥匙交给陌生人。它可以帮助你清理房间和整理文件,但如果它被恶意使用,家中的安全就会受到威胁。
这并不是无的放矢。国家互联网安全部门已发布风险提醒,指出OpenClaw的默认设置非常薄弱,一旦被攻击者利用,将轻易获取系统控制权。微软安全团队也警告,OpenClaw目前不适合在个人电脑上直接运行。
普通用户如何保护自己的数据?以下几条建议帮助你。
第一条:创建一个独立环境,不让它进入主系统。
最安全的方式是为OpenClaw提供一个隔离的环境。可以通过两种方式实现:
使用虚拟机:下载VirtualBox或VMware等免费的软件,在电脑上创建一个虚拟机。将OpenClaw安装在这个虚拟机中,它只会访问虚拟机内的文件,无法接触到你的私人照片、工作文档和银行信息。就像给虾创造了一个鱼缸,它可以在里面自由活动,而不会弄脏你的客厅。
使用旧电脑:如果有闲置的旧电脑,或者花钱买一台二手电脑专门用来运行OpenClaw。这台电脑里不放任何重要文件,即使出现问题,损失的也只是这台机器。
第二条:锁住“钥匙”,设置权限限制。
OpenClaw需要API密钥才能运行,这些密钥如同通行证。原则是:赋予它最低权限。
例如,如果只是想让它整理文档,就不要给它绑定支付接口的密钥。许多平台允许创建多个API密钥,每个密钥可单独设置权限。花几分钟时间了解一下,将权限降到最低,自然减少风险。
第三条:不要输入隐私信息。
一些用户为了让AI更好地处理事务,直接提供身份证号、家庭住址和银行卡号。这是一个严重的错误。即使OpenClaw本身安全,这些数据在传输过程中也有可能被截获。
使用代号或模糊处理信息是明智之举。比如,让AI帮助订票时,只需告知“从北京到上海,3月15日出发”,无需提供身份证号和护照号,这些信息应仅在支付时提供。
第四条:设置预算,避免无谓支出。
OpenClaw在执行任务时消耗Token,费用随之增加。有用户一周消耗1.4亿Token,月花费超过1万元。更糟的是,若被恶意诱导,它可能不断消耗你的API额度。
在API后台设置每日或每月的消费上限,例如每天不超过5元。这个设置一旦启用,即使程序出现问题,也不会面临巨额账单。大多数平台都支持这个功能,使用前务必设置好。
第五条:完成后关闭程序。
OpenClaw不需要24小时运行。在不执行任务时,及时关闭程序并断开网络连接。这就像出门前锁好门窗,虽然麻烦,但能避免许多意外。
自查清单:
我是否将OpenClaw安装在虚拟机或旧电脑上?
我是否只给了它最低权限的API密钥?
我是否从未输入过身份证号、银行卡号等敏感信息?
我是否设置了API每日消费上限?
我是否在不使用时关闭了程序?
如果你的答案都是“是”,那么你的系统基本安全。如果有任何“否”,建议尽快改正。
数据泄露的代价远超一台设备或一笔Token费用。在使用AI之前,确保安全措施到位,才能安心享受其带来的便利。
