OpenClaw 概述了在出现重大漏洞后加强安全性的关键步骤，包括文件系统保护、网络监控和插件信任。

OpenClaw 是 Peter Steinberger 开发的自主 AI 运行时，它发布了一份广泛的安全路线图，旨在解决长期存在的漏洞。该更新由 Jesse Merhi 撰写并于 2026 年 5 月 15 日发布，重点是让 OpenClaw 对用户来说更安全，同时保留其标志性的功能和灵活性。这是在经历了动荡的一年之后出现的，包括 ClawJacked 漏洞在内的多个高严重性缺陷威胁着用户的信任。

该路线图引入了多项关键举措，包括文件系统保护、网络出口控制和增强的插件完整性检查。这些措施旨在减轻 OpenClaw 访问本地文件、运行命令以及与外部系统交互的能力所固有的风险，这一组合对于用户来说是一把双刃剑。

使用 fs-safe 进行文件系统保护

为了解决路径遍历等跨边界错误，OpenClaw 推出了 fs-safe，这是一个安全文件系统模式的共享库。该工具可确保插件保留在指定的工作空间内，并防止它们写入未经授权的位置。虽然不是完整的沙箱解决方案，但 fs-safe 显着降低了插件代码访问其范围之外的敏感文件的风险。

此外，OpenClaw 正在将运行时状态数据（例如会话日志和插件状态）迁移到 SQLite 数据库中。这完全消除了许多文件系统调用，进一步加强了安全性。

使用代理线进行网络出口控制

另一个主要功能是Proxyline，这是一个路由层，可通过用户配置的代理引导所有网络流量。此设置可以更精细地控制网络出口、阻止私有 IP 范围、元数据端点和其他受限目的地。对于组织而言，这还增强了可观察性，提供对流量模式和企图违规行为的洞察。

虽然 Proxyline 并非万无一失（原始套接字和非标准模块可以绕过它），但它标志着传统 URL 验证方法的重大飞跃，传统 URL 验证方法容易受到 DNS 攻击。

强化 ClawHub 上的插件信任

插件仍然是 OpenClaw 最大的优势和最大的风险之一。为了解决这个问题，ClawHub 市场正在采用更严格的安全协议。新措施包括结合来自 VirusTotal 的信号、静态分析和手动审核，将插件分类为干净、可疑或恶意。如果插件被标记为恶意或被隔离，OpenClaw 现在将拒绝安装它。

对于在 ClawHub 之外采购插件的用户来说，扫描和出处检查等信任信号仍然可用，尽管该公司承认这仍然是一个需要进一步开发的灰色地带。

上下文命令批准

认识到“提示疲劳”问题（即用户绕过安全提示来加快工作流程），OpenClaw 正在完善其命令审批流程。该系统现在评估内部命令链的危险行为，例如隐藏在外壳包装内的破坏性行为。上下文批准政策也在制定中，以减少冗余提示，同时确保有意义的提示得到执行。

是什么推动了这些变化？

OpenClaw 对安全性的重新关注并不是凭空发生的。自 2025 年底病毒式崛起后，该平台面临着严格的审查。 WebSocket 劫持缺陷 (CVE-2026-25253) 和 ClawJacked 漏洞等漏洞暴露了数千个系统，引发了人们对该软件是否适合企业使用的担忧。 2026 年 3 月，中国政府以安全风险为由禁止在政府系统中使用 OpenClaw，思科研究机构对第三方插件中的系统漏洞发出了警报。

这些挑战影响了 OpenClaw 的采用。其代币交易代码为 OCLAW，波动剧烈。截至 2026 年 5 月 16 日，代币价格为 0.0003392 美元，过去 24 小时内下跌 8.18%。该代币的市值为 339,219 美元，突显了其与更广泛的人工智能竞争对手相比的利基地位。

展望未来

OpenClaw 的路线图体现了对“纵深防御”的明确承诺，尽管该项目承认无法承诺无风险运行。即将发布的版本可能会优先考虑企业合规性功能以及与外部安全工具（例如 3 月份宣布的 Crittara 执行权限框架）的更深入集成。

对于用户和投资者来说，问题是这些措施是否足以恢复信心。由于中国的禁令仍然有效，并且由于安全问题而导致采用速度放缓，OpenClaw 执行此路线图的能力可能决定其在人工智能个人助理市场的长期生存能力。