最近，一款名为OpenClaw的开源AI工具从技术圈一直火到了法律圈，我的同事也第一时间做了尝试，并且给出了很高的评价。仿佛一夜之间，我们就迎来了能真正“干活”的AI个人助理，而且这个被叫做“龙虾”的AI因为部署在本地电脑，所以看起来在法律人看重的数据安全方面要比那些在线的AI更加可靠，事实是否真的如此呢？我们一起研究一下。

一、技术原理：A面与B面

要理解OpenClaw的风险，首先要拆解它的技术架构。龙虾虽然是本地部署，但在技术实现上至少包括A面和B面两个维度。

A面：本地部署的“控制中心”

OpenClaw的核心是一个名为*Gateway（网关）*的控制中心，它确实是运行在你自己的电脑或服务器上的[1]。这个网关就像一个大管家，负责连接你所有的设备和应用。它的架构可以理解为一个“中心-辐射式”模型：

中心（Hub）：就是这个Gateway，一个WebSocket服务器，是所有信息和指令的中转站。

辐射（Spokes）：包括两类：

控制端：你用来和AI对话的界面，比如Web UI、电脑上的命令行（CLI）、macOS或手机App。

执行端：AI需要操作的各种应用和服务，比如WhatsApp、Telegram、Slack、Gmail等，这些被称为“渠道”（Channels）。如果你的手机也作为节点（Node）连接进来，那你的手机本身也成了一个执行端。

所有的对话历史、工具执行记录、会话状态等，确实都默认存储在你本地设备上的SQLite数据库和JSONL文件中[2]。听起来，数据确实没有离开你的地盘。

B面：无法避免的“云端大脑”

问题来了，OpenClaw本身只是一个“调度系统”，一个“管家”，它自己并没有思考能力。它真正的“大脑”——大语言模型（LLM），比如OpenAI的GPT-4、Anthropic的Claude等，依然远在云端。这就构成了它的B面：任何一次有意义的交互，你的数据都必须离开本地，踏上前往云端模型的旅程。

整个工作流程是这样的：

你在手机上通过WhatsApp问了OpenClaw一个问题。

WhatsApp适配器将你的问题传给本地的Gateway。

Gateway将你的问题，连同相关的历史对话、工具信息等上下文，打包成一个Prompt。

关键一步：Gateway通过API，将这个完整的Prompt发送给远在美国的OpenAI或Anthropic的服务器。

云端大模型根据Prompt生成回答或指令。

Gateway接收到云端的响应，解析并执行相应的操作（比如回复消息、调用工具）。

正如AtomicMail的安全指南所指出的：“‘本地优先’不等于‘仅本地’。即使OpenClaw在你的电脑上运行，数据仍然可以通过遥测、云模型调用、日志、技能等方式泄露。”[3]

所以，所谓的“本地优先”，仅仅是指控制逻辑和原始日志在本地，但核心的、包含你所有对话内容的数据处理，依然发生在外部的、不受你控制的云服务商那里。这就引出了第一个核心风险：你的数据，包括所有你认为私密的对话，都会被发送给第三方模型公司。而这些公司的数据保留和使用政策，就成了悬在你头上的“达摩克利斯之剑”。

二、大门敞开：OpenClaw到底拿走了多少权限？

为了实现其强大的自动化能力，OpenClaw需要深入你数字生活的方方面面。一旦你给出了本地电脑的高级权限，就等于给了它一把能打开你房间的万能钥匙。微软的安全团队直言不讳地指出，OpenClaw应被视为“具有持久凭证的不受信任代码执行”[4]。

我们可以将OpenClaw在PC端和移动端获取的权限，归纳为以下几大类：

PC端权限：

在PC上，OpenClaw的权限几乎是无限的。它能运行shell命令，意味着它可以做任何你能在终端里做的事情。Jamf威胁实验室的报告指出，这种无限制的系统访问是其核心风险之一[5]。它可以轻松访问~/.ssh目录下的私钥，或者~/.aws/credentials里的云服务凭证。

移动端权限：

当你的手机作为“节点”（Node）连接到OpenClaw时，它就变成了一个强大的物理世界传感器和执行器。根据其官方文档和GitHub上的信息，移动端应用可以获取以下权限[6][7]：

摄像头和麦克风：可以拍照、录制视频和音频。这意味着你周围的环境可以被随时记录。

GPS位置：可以持续追踪你的地理位置，了解你的行动轨迹和生活习惯。

短信：在Android上，它可以读取和发送你的短信。

通讯录、日历、照片库：可以访问你最核心的个人数据。

屏幕录制：可以记录你在手机上的一切操作。

这些权限的开启与否，很多时候依赖于用户的默认设置。例如，在iOS和Android上，摄像头权限默认是开启的[6]。而移动端应用目前没有官方版本，需要用户自行编译或下载来源不明的APK文件，这本身就带来了一定的安全风险[8]。

第三方应用接口：

OpenClaw与第三方应用的集成方式，同样存在风险。以WhatsApp为例，它并非使用官方提供的商业API，而是通过一个名为Baileys的逆向工程库来模拟WhatsApp Web客户端的行为[9]。这种“灰色”方式不仅可能违反WhatsApp的服务条款，导致你的账号被封禁，更意味着其稳定性和安全性缺乏保障。

三、数据流失风险“三重门”

前面基本上搞清楚了OpenClaw的技术原理和权限版图，再进一步。我们可以将数据流失的风险归纳为“三重门”。

第一重门：对话数据外发至模型提供商

这是最直接、最不可避免的数据流出路径。如前所述，你的每一句对话，都会被打包发送给OpenAI、Anthropic或Google等云端模型提供商。这意味着，你与AI讨论的任何内容，无论是案件细节、合同条款，还是个人隐私，都将离开你的设备，进入这些科技巨头的服务器。

这里的核心问题在于，这些公司的数据政策对你而言是一个“黑箱”。根据公开信息：

OpenAI：API数据会保留30天用于监控滥用，但不会用于模型训练（除非你选择加入）[10]。

Anthropic：政策更为激进。2025年8月，Anthropic宣布，如果用户同意，他们会将用户数据保留长达五年，用于训练其未来的AI模型[11]。

对于法律行业这种高度敏感的领域，将可能包含客户机密的信息发送给第三方，并可能被用于模型训练，还是有较大的潜在风险的。

第二重门：本地数据明文存储与暴露风险

OpenClaw数据存储在你的本地设备上，主要位于~/.openclaw目录下。虽然数据在本地，但其存储和管理方式却仍然有一定的隐患。

明文存储API密钥：大量的安全报告指出，用户连接各种服务（如Slack、GitHub、Telegram）的API密钥和令牌，通常以明文形式存储在.env或JSON配置文件中[3][12]。一旦设备被恶意软件感染，攻击者可以轻易窃取这些凭证，进而接管你的所有关联账户。

完整的对话历史：所有的对话记录都以JSONL格式存储在~/.openclaw/sessions/目录下，同样是明文[2]。这意味着任何能够访问你文件系统的人或程序，都可以完整回顾你与AI的所有互动。

默认配置导致公网暴露：很多用户在部署OpenClaw时，由于配置不当，将其控制面板（默认运行在18789端口）直接暴露在公网上，且没有任何身份验证[12]。攻击者只需知道IP地址，就可以直接连接到你的AI管家，查看你的所有数据，并以你的名义执行操作。

第三重门：外部“skill”供应链

OpenClaw的生态系统依赖于一个名为“ClawHub”的技能（Skills）市场，用户可以下载并安装各种“技能”来扩展AI的能力。然而，这个技能市场目前处于一个近乎“无政府”的状态，很多恶意软件和安全漏洞，构成了严重的数据泄露和供应链攻击风险。

思科Talos团队将这种由“访问私有数据”、“暴露于不受信任内容”和“能够对外通信”构成的组合称为“致命三角”（Deadly Triangle），而OpenClaw似乎命中了这三个条件[13]。

这意味着，你每一次安装社区技能，都有可能让自己面临新的数据安全风险。

四、监管警示与隐私政策分析：官方怎么说？

面对如此严峻的安全形势，监管机构和OpenClaw官方又是如何表态的呢？

监管与行业的强硬警告

荷兰数据保护局（AP）：发布了措辞严厉的公开警告，敦促个人和组织“不要在包含隐私敏感或机密数据的系统上使用OpenClaw和类似的AI代理”[15]。

微软：建议用户“避免在包含敏感数据的主力工作或个人设备上运行OpenClaw”，并强调应将其部署在“完全隔离的环境中”[4]。

企业禁令：据Wired报道，包括Meta在内的多家科技公司已明确禁止员工在公司设备上使用OpenClaw，违者甚至可能面临解雇[16]。

这些来自监管和行业头部的声音，已经为我们敲响了警钟：OpenClaw在当前状态下，不适合用于任何严肃的、涉及敏感信息的场景。

OpenClaw的隐私政策

当我们审视OpenClaw自身的隐私政策和信任页面时，会发现一种“坦诚的免责”。在其官方的Trust页面上，OpenClaw公开承认了其构成的四大风险：提示注入、间接注入、工具滥用和身份风险[17]。它甚至坦言“没有‘完美安全’的设置”。

这种“透明度”值得肯定，但用户需要自行理解风险、正确配置、谨慎使用。对于绝大多数非技术背景的用户，尤其是法律专业人士而言，这很难做到。

更重要的是，OpenClaw作为一个开源项目，其核心代码遵循MIT许可证，这意味着软件是“按原样”提供的，不附带任何明示或暗示的保证，包括对适销性、特定用途适用性和非侵权性的保证。一旦出现数据泄露或安全事故，用户很难向项目方追责。

五、降低风险：给法律人的实操建议

作为法律人，我们不能因噎废食，但更不能掉以轻心。在探索使用这类强大AI工具时，必须为自己和客户的数据建立起坚固的“数字结界”。以下是笔者结合多方安全报告和自身理解，为同行们总结的十条实操建议：

物理隔离：不要在你处理工作的主力电脑或手机上安装和运行OpenClaw。 这是微软、荷兰AP等所有安全机构共同的、最核心的建议。请准备一台完全独立的、不包含任何敏感信息的物理设备（比如一台旧的笔记本电脑）专门用于实验。

数据源头控制：在这台隔离的设备上，不要登录任何你的个人或工作账户，包括邮件、云存储、社交媒体等。从源头上切断OpenClaw接触敏感数据的可能性。

使用本地模型：为了避免将对话数据发送到外部云服务商，请配置OpenClaw使用本地运行的大语言模型，如Ollama + Llama 3或Gemma。这虽然会牺牲一部分模型性能，但却是保障对话内容不出本地的唯一方法。

最小权限原则：在配置OpenClaw时，仅开启你绝对需要的工具和权限。默认情况下，禁用文件系统写入和shell执行权限。

技能审计：从ClawHub或任何社区市场安装任何第三方技能，最好进行严格的代码审计，事实上，ClawHub有社区审核，且官方建议代码审计。

启用“人在环路”：对于任何敏感操作（如发送消息、执行命令），在OpenClaw的配置中启用“Human-in-the-Loop”（人在环路）模式，要求在执行前必须得到你的手动确认。

参考文献

[1] Paolo, P. (2026, February 11). OpenClaw System Architecture Overview. https://ppaolo.substack.com/p/openclaw-system-architecture-overview

[2] LumaDock. (2026, February 17). OpenClaw data privacy: GDPR, HIPAA and compliance guide. https://lumadock.com/tutorials/openclaw-privacy-compliance

[3] AtomicMail. (2026, February 26). Using OpenClaw AI Safely: Full Privacy & Security Guide. https://atomicmail.io/blog/using-openclaw-ai-safely-full-privacy-security-guide

[4] Microsoft Security. (2026, February 19). Running OpenClaw safely: identity, isolation, and runtime risk. https://www.microsoft.com/en-us/security/blog/2026/02/19/running-openclaw-safely-identity-isolation-runtime-risk/

[5] Jamf Threat Labs. (2026, February 9). OpenClaw AI Agent Vulnerabilities: Detection and Removal for Mac. https://www.jamf.com/blog/openclaw-ai-agent-insider-threat-analysis/

[6] OpenClaw Docs. Camera Capture. https://docs.openclaw.ai/nodes/camera

[7] OpenClaw GitHub. openclaw/apps/ios/README.md. https://github.com/openclaw/openclaw/blob/main/apps/ios/README.md

[8] GitHub Issue #2724. Where to get iOS/Android node companion app?. https://github.com/openclaw/openclaw/issues/2724

[9] GitHub. Baileys Library. https://github.com/WhiskeySockets/Baileys

[10] OpenAI. API data usage policies. https://openai.com/policies/api-data-usage-policies

[11] TechCrunch. (2025, August 28). Anthropic users face a new choice – opt out or share your data for AI training. https://techcrunch.com/2025/08/28/anthropic-users-face-a-new-choice-opt-out-or-share-your-data-for-ai-training/

[12] JFrog. (2026, February 2). Giving OpenClaw The Keys to Your Kingdom? Read This First. https://jfrog.com/blog/giving-openclaw-the-keys-to-your-kingdom-read-this-first/

[13] Cisco Blogs. (2026, February 13). Personal AI Agents like OpenClaw are a Security Nightmare. https://blogs.cisco.com/ai/personal-ai-agents-like-openclaw-are-a-security-nightmare

[14] Trend Micro. (2026, February 23). Malicious OpenClaw Skills Used to Distribute Atomic macOS Stealer. https://www.trendmicro.com/en_us/research/26/b/openclaw-skills-used-to-distribute-atomic-macos-stealer.html

[15] Autoriteit Persoonsgegevens. (2026, February 21). AP warns of major security risks with AI agents like OpenClaw. https://www.autoriteitpersoonsgegevens.nl/en/current/ap-warns-of-major-security-risks-with-ai-agents-like-openclaw

[16] Wired. (2026, February 25). Why Tech Companies Are Banning OpenClaw. https://www.wired.com/story/openclaw-banned-by-tech-companies-as-security-concerns-mount/

[17] OpenClaw Trust. Trust Page. https://trust.openclaw.ai/