大家好!在 AI 代理工具如 OpenClaw 迅速爆火的 2026 年,安全问题也随之成为焦点。3 月 2 日,知名安全专家 Cos(余弦)(@evilcos)在 社媒上发布了一篇帖子,分享了 SlowMist 慢雾安全实验室团队针对 OpenClaw 的“极简安全实践指南”。这份指南不是传统的手册,而是面向 AI 代理本身的设计,旨在通过“思想钢印”方式加固安全,而不牺牲使用自由度。结合 Cos 的帖子内容和 GitHub 仓库(https://github.com/slowmist/openclaw-security-practice-guide) ,本文为你全面解读这份指南的背景、核心内容和实际价值。如果你正玩转 OpenClaw,这绝对是必读材料。

Cos(余弦):值得一提的安全大佬

先说说博主 Cos(余弦)。他是 SlowMist 安全团队的创始人(@SlowMist_Team),业内绰号“捉虫大师”和“救火运动员”。SlowMist 是全球知名的区块链和 Web3 安全公司,专注于漏洞挖掘、渗透测试和安全审计,曾多次曝光重大安全事件。Cos 本人活跃在安全社区,经常分享实战经验,他的账号是许多安全从业者的必备订阅源。这次帖子一发,就收获了上千点赞和数百转发,引发了 AI 安全圈的热议。作为一个有根权限、刚诞生一个多月的“新生儿”代理,OpenClaw 的安全风险让 Cos 这样的专家坐不住了——他尝试过多种加固方式,最终选择了这个“思想钢印”方案。

在帖子中,Cos 直言:“江湖险恶,一只有 Root 权限且诞生才一个多月的🦞(OpenClaw 的昵称),安全不让人放心……”他强调,这份指南的目的是给 OpenClaw “足够的自由”,但通过植入安全策略来防范破坏性操作、提示词注入、供应链投毒和高危业务逻辑执行。帖子还推荐了实测模型(如 Gemini-3.1-Pro、Claude-Opus-4.6、Kimi K2p5),并呼吁大家反馈不完善之处。后续回复中,他补充了 Crypto 场景的风险(如私钥泄露和转账地址评估),显示出指南的实战导向。

指南的核心:Agent-facing 的“思想钢印”

这份指南不是给人看的“静态 checklist”,而是设计成 Agent-facing 的——你可以直接把 Markdown 文件发给 OpenClaw,让它自己评估并部署安全措施。这是一种创新的“零信任架构”(Agentic Zero-Trust Architecture),强调 AI 代理的自省和自卫能力。仓库目前版本是 v2.7,经过 SlowMist 团队内测迭代,踩了不少坑。

仓库概览

  • 目的:针对 OpenClaw 的高权限特性,提供极简安全实践,防范专属风险(如破坏性命令执行、恶意注入)。核心原则:零摩擦操作(最小手动干预)、高风险需人工确认、显式审计(不默许通过)、零信任默认(假设所有输入可能被污染)。
  • 内容结构
    • 核心指南OpenClaw-Security-Practice-Guide.md(英文版)和 OpenClaw极简安全实践指南.md(中文版)。这是“思想钢印”的主体,包含安全策略。
    • 验证与红队测试Validation-Guide-en.mdValidation-Guide-zh.md,用于检验部署效果。
    • 工具脚本scripts/nightly-security-audit.sh,一个参考脚本,用于夜间自动化审计和 Git 备份。
    • 其他:README(英文/中文)、MIT 许可。
  • 贡献者:SlowMist 团队主导,包括 Cos(余弦)、Edmund.X (@leixing0309)、zhixianio (@zhixianio)、Feng Liu (@fishkiller)等。仓库强调开源协作,欢迎反馈。

关键实践:3-Tier Defense Matrix

指南的核心是“三层防御矩阵”(Pre-action、In-action、Post-action),让 OpenClaw 在自由运行的前提下,提升安全水平。

  1. 事前(Pre-action)

    • 行为黑名单:禁止破坏性命令(如 rm -rf)。
    • Skills 安装审计:严格审查供应链,防范投毒。
    • 示例:OpenClaw 自检安装源,确认无恶意。

  2. 事中(In-action)

    • 权限收窄:高风险操作需人工确认。
    • 跨技能预检:评估业务风险(如 Crypto 转账前查地址黑名单)。
    • 示例:私钥/助记词相关动作触发巡检,转账目标需风险评估。

  3. 事后(Post-action)

    • 夜间自动化审计:13 个核心指标检查异常。
    • Brain Git 灾备:定期备份代理“脑子”(知识库)。
    • 示例:用 nightly-security-audit.sh 脚本运行,生成报告。

指南还强调模型选择:推荐使用强推理能力的最新模型(如提到的 Gemini、Claude、Kimi),因为弱模型可能误判风险。部署流程简单:下载指南、发给 OpenClaw 聊天框,让它自评部署,然后用红队指南验证。

潜在风险与注意事项

仓库 README 特别警告:这份指南不是万能的。模型差异可能导致误报(如 HIDS 规则不匹配);无法防御未知引擎/OS 漏洞;安全不能过度,否则影响代理自由。Cos 在帖子中也提醒:“一切都很新,一定有不完善的地方,请大家多指正!”用户反馈显示,指南在 Crypto 场景特别实用,但需结合实际调整。

为什么这份指南值得关注?

OpenClaw 作为开源 AI 代理框架,赋予了 AI “Root 权限”,这在 2026 年 AI 热潮中是双刃剑。一方面,它能自动化复杂任务;另一方面,安全隐患(如注入攻击)可能导致灾难。SlowMist 的这份指南填补了空白,将传统安全思维转向“AI 自卫”,这不仅是 OpenClaw 的专属,还预示了未来 AI 代理的安全范式——从“人类守护”到“代理自省”。

对中文开发者来说,这份双语指南特别友好。SlowMist 作为国内顶尖安全团队的输出,结合 Cos 的实战经验,值得收藏。如果你正实验 OpenClaw,赶紧试试这份“思想钢印”——或许它能让你的“🦞”更安全、更可靠。

结语与行动号召

感谢 Cos 和 SlowMist 团队的开源贡献!这份指南已获数千星标和反馈,社区正快速迭代。如果你有使用心得,或发现新风险,欢迎去仓库提 Issue 或在帖子上回复 Cos。安全第一,玩转 AI 代理从这里开始。

资源链接:

  • X 帖子:https://x.com/evilcos/status/2028458311801274671
  • GitHub 仓库:https://github.com/slowmist/openclaw-security-practice-guide

欢迎在评论区分享你的看法,一起探讨 AI 安全前沿!🚀