首页 / 注意事项

⚠️ 使用注意事项

安全、负责任地使用 AI 编程工具的重要指引

🚨 重要提示

OpenClaw 是强大的 AI 工具,可以执行文件操作、运行命令等高权限任务。请务必在理解风险的前提下谨慎使用,不要在无监督的情况下对生产系统执行批量操作。

⚠️

权限与安全

关于文件权限

OpenClaw 可以读写您本地文件系统中的文件。请勿以 root 或管理员权限运行 OpenClaw,以防止意外修改系统关键文件。

✅ 推荐做法

  • 以普通用户权限运行,不要使用 sudo claude
  • 在执行批量文件操作前,先在测试目录中验证
  • 对重要文件提前做好备份(git commit 或手动备份)
  • 审查 AI 生成的 shell 命令后再执行
  • 设置 CLAUDE_ALLOW_PATHS 限制可访问目录

❌ 避免的行为

  • 不要直接在生产环境运行未经测试的 AI 生成代码
  • 不要在生产数据库上执行 AI 建议的 SQL 语句
  • 不要授权 OpenClaw 访问包含敏感数据的整个文件系统
🔒

数据隐私

严禁输入以下信息

您与 OpenClaw 的对话内容会发送到 Anthropic 服务器进行处理。请勿将以下内容粘贴到对话中。

🚫 绝对禁止输入

  • API 密钥、Token、Secret
  • 数据库密码、连接字符串
  • 用户个人信息(姓名、身份证、银行卡)
  • 企业商业机密文件
  • 医疗、金融等受监管数据
  • SSL/TLS 私钥证书

✅ 安全的做法

  • 用占位符替换真实密钥(如 YOUR_API_KEY
  • 使用 .gitignore 和 .claudeignore 排除敏感文件
  • 对用户数据进行脱敏处理后再输入
  • 企业用户联系 Anthropic 签署数据处理协议
  • 查阅 Anthropic 隐私政策

配置 .claudeignore 示例

# .claudeignore - 告诉 OpenClaw 忽略这些文件
.env
.env.*
secrets/
*.pem
*.key
config/production.yml
credentials.json
💰

费用控制

API 用量计费

OpenClaw 基于 Claude API 运行,按 Token 计费。长时间的对话、大型代码库分析会消耗较多 Token,请合理规划用量。

节省费用的技巧

  • 💡 使用 /compact 命令:对话过长时,使用 /compact 压缩历史记录,减少 Token 消耗
  • 💡 精确指定文件范围:只让 OpenClaw 读取必要的文件,避免全量扫描大型代码库
  • 💡 设置月度预算上限:在 console.anthropic.com 设置月度消费上限,避免意外超支
  • 💡 监控用量:定期查看 API Dashboard 了解使用趋势

设置用量上限

# 在配置文件中限制单次会话最大 Token
# ~/.claude/config.json
{
  "maxTokensPerSession": 50000,
  "warnAtTokens": 40000
}
🤖

AI 局限性

AI 不是万能的

OpenClaw 基于大语言模型,虽然能力强大,但存在固有局限性。理解这些局限性是安全有效使用的前提。

⚠️ AI 可能出错的场景

  • 复杂的业务逻辑理解
  • 特定领域的专业知识
  • 精确的数值计算
  • 最新的库/框架 API
  • 依赖运行时环境的判断
  • 超出知识截止日期的信息

✅ 最佳使用方式

  • 始终进行人工审查,不要盲目接受生成内容
  • 运行生成的测试来验证代码正确性
  • 对关键算法在不同输入下做边界测试
  • 不要让 AI 单独负责安全关键逻辑
  • 将 AI 作为辅助工具,而非替代专家
📦

依赖管理

注意自动安装依赖的风险

OpenClaw 可能会建议安装新的包或依赖。在执行 npm installpip install 等命令前,请仔细核查。

  • 🔍
    验证包的可信度:在安装前,检查 npm/PyPI 上的包下载量、维护状态和最近更新时间
  • 🔐
    检查供应链安全:使用 npm auditpip-audit 检测已知漏洞
  • 📌
    锁定版本:将依赖锁定到具体版本,避免自动升级引入破坏性变更
  • 🏖️
    沙箱测试:在隔离环境(虚拟机、容器)中测试新依赖,确认无恶意行为后再引入生产
🔄

版本兼容性

保持版本更新

定期更新 OpenClaw 可获得最新功能、安全修复和性能优化。同时注意重大版本升级可能带来的 Breaking Changes。

更新方式

# 检查当前版本
$ claude --version

# 更新到最新版(curl 安装方式)
$ curl -fsSL https://code.claude.com/install.sh | bash

# 更新到最新版(npm 安装方式)
$ npm update -g @anthropic-ai/claude-code

# 查看版本变更日志
$ claude changelog

版本管理建议

  • 在测试环境验证新版本后,再在生产工作流中升级
  • 关注官方 公告版块 获取版本更新通知
  • 团队成员统一使用相同版本,避免协作时的不一致
  • 重大版本升级前备份当前配置文件

安全使用检查清单

在开始使用 OpenClaw 之前,请确认以下事项:

已阅读并理解本注意事项页面
以普通用户权限(非 root/sudo)运行 OpenClaw
已配置 .claudeignore 排除敏感文件目录
API 密钥通过环境变量配置,未硬编码在代码中
在 Anthropic Console 设置了月度消费上限
当前工作目录已用 git 进行版本控制,有回退能力
了解 AI 局限性,会对生成内容进行人工审查
已订阅官方公告,及时获取安全更新通知

💜 最后的叮嘱

AI 工具是您的协作伙伴,而非替代品。保持批判性思维,对 AI 生成的内容负责任地审查,才能真正发挥 OpenClaw 的最大价值。如有疑问,欢迎在 社区论坛 提问。