把AI体请进电脑,就像把家里所有的钥匙交给了一个陌生人。它能帮你打扫房间、整理文件,但万一它“起了坏心”,或者被坏人利用了,你的家就不再安全了。
这不是危言耸听。国家互联网应急中心已经发布提示,指出OpenClaw的默认配置“极为脆弱”,攻击者一旦得手,能轻易获取系统控制权。微软安全团队也警告,OpenClaw目前不适合直接在标准个人电脑上运行。
那么,普通人养AI到底该怎么保护自己的数据?别怕,下面这几招,手把手教你。
第一招:给它一个“小房子”,别让它进主屋。
最安全的做法,是给OpenClaw一个独立的、与世隔绝的环境。具体有两种方式:
使用虚拟机:下载VirtualBox或VMware这类免费软件,在你的电脑里“造”一个虚拟的电脑。把OpenClaw装在这个虚拟机里,它就只能看到虚拟机里的文件,碰不到你的私人照片、工作文档、银行信息。就像给虾搭了个鱼缸,它在里面随便折腾,也弄不脏你的客厅。
用旧电脑:如果你有闲置的旧电脑,或者花几百块买一台二手的,专门用来跑OpenClaw。这台电脑里不放任何重要文件,就算出了事,损失的也就是这台机器。
第二招:给“钥匙”上锁,设置权限边界。
OpenClaw需要API密钥才能工作,这些密钥就像“通行证”。原则很简单:只给它最低权限。
比如,如果你只是想让它帮你整理文档,就别给它绑定支付接口的密钥。很多平台允许你创建多个API密钥,每个密钥可以单独设置权限范围。花几分钟研究一下,把权限降到最低,自然就小了风险。
第三招:别把隐私信息“喂”给它。
有些用户为了让AI更好地处理个人事务,直接告诉它身份证号、家庭住址、银行卡号。这是大忌。即便OpenClaw本身是安全的,这些信息也会经过第三方服务器,谁也无法保证中途不被截取。
能用代号就用代号,能模糊处理就模糊处理。比如,想让AI帮你订机票,告诉它“从北京到上海,3月15日出发”,完全不需要告诉它你的身份证号和护照号,这些信息应该留在支付环节,而不是交给AI。
第四招:设置预算,防止“钱包被掏空”。
OpenClaw执行任务时会消耗Token,算力一烧就是钱。有用户一周烧掉1亿Token,一个月花费超1万元。更可怕的是,如果被恶意诱导,它可能持续消耗你的API额度。
在API后台设置每日/每月消费上限,比如每天不超过5元。这个设置一旦生效,就算程序出现了问题,也不会收到天价账单。大部分平台都支持这个功能,用之前一定要设好。
第五招:用完就关,别一直开着。
OpenClaw不需要24小时运行。不执行任务的时候,果断关闭程序、断掉网络连接。这就好比出门前锁好门窗,虽然麻烦,但能避免很多意外。
一个简单的自查清单:
我是否把OpenClaw装在虚拟机或旧电脑里?
我是否只给了它最低权限的API密钥?
我是否从未向它输入过身份证号、银行卡号等敏感信息?
我是否设置了API每日消费上限?
我是否在不使用时关闭了程序?
如果你的答案全是“是”,那你的“虾”基本是安全的。如果有一个“否”,建议赶紧补上。
数据泄露的代价,远比一台设备、一笔Token费要大得多。养虾之前,先把安全功课做足,才能安心享受它带来的便利。