兄弟们,这几天我被问烦了。
微信群、公司群、技术群,十个人里八个在问:”OpenClaw 怎么用啊?””装完了但是不会配置””我电脑变好卡”。
剩下两个在问:”OpenClaw 怎么卸载啊?”
我寻思你们也是人才。热搜一刷,”AI 神器””一键部署””改变生产力”,二话不说 一把梭。装完了,打开网页,激动地输入第一个问题:
“今天天气怎么样?”
然后就没有然后了。
我知道你心里在想什么 —— “万一以后用到呢?”
兄弟,你装了仨月了。用了几次?诚实点。
但比”占空间”更严重的是这几个事:
1. 工信部都发预警了,你还装着?
没开玩笑。国家互联网应急中心 + 工信部在 3 月 10 日发布了《关于 OpenClaw 安全应用的风险提示》。新华网都转了。
核心意思就一句话:配置不当极易引发网络攻击和信息泄露。
你扪心自问,你配置当了吗?
2. 三个月爆了至少 3 个高危 RCE 漏洞
RCE 是什么?Remote Code Execution —— 远程代码执行。意思是别人可以在你电脑上执行任意命令。
OpenClaw 默认部署通常带 root 权限。你品,你细品。
3. Skills 商店 = 没人审核的应用市场
ClawHub(OpenClaw 的 Skill 商店)的审核模式是”先发布后治理”。翻译成人话就是:随便上传,出了事再说。
绿盟科技已经确认了多个恶意 Skills,装上就偷你 API Key、OAuth Token。
你装了几个 Skill?还记得是从哪抄的命令装的吗?
4. 改过三次名,残留文件满地
这玩意儿因为商标问题,在 1 月份从 Clawdbot 改名 Moltbot,又改名 OpenClaw。你如果是早期用户,恭喜你,电脑里可能有三套残留目录:
每一个里面都可能存着你的 API Key 和聊天记录。
好了不openclaw docker 教程骂了,教你卸。按顺序来,别跳步骤。
第一步:先看看你是怎么装的
不知道自己怎么装的?你看,我说什么来着。
第二步:用官方命令卸载
如果提示命令不存在,说明你的 PATH 里没有,或者你根本没装完就放弃了(我理解)。跳到第三步手动清。
第三步:Docker 用户必做
那个 参数很重要。不加的话容器删了,数据还在。就像你分手了但没搬走,房租照交。
第四步:清理残留目录(最重要!)
OX Security 的研究确认了:官方卸载命令不会清理凭证和配置文件。
是的你没看错。卸了等于没卸。
第五步:清理 npm 全局包
第六步:轮换你的密钥(很多人忽略这步)
你在 OpenClaw 里配置过的 API Key,全部视为已泄露。
不是吓你。那些 Key 以明文形式存在本地配置文件里,而你可能装过来路不明的 Skills。
去对应平台的后台,revoke 旧 Key,生成新的。5 分钟的事,不做的话哪天 Key 被盗刷,账单能让你哭出来。
顺便说一嘴,这次被坑完我就学乖了 —— 以前 OpenAI 一个 Key、Anthropic 一个 Key、Google 又一个 Key,到处粘贴,泄露面巨大。后来我把所有模型调用都改走一个聚合接口(我用的 ofox.ai),就一个 Key 管所有模型,要 revoke 也只需要换一个。这种事情经历一次就够了。
第七步:检查定时任务
有些 Skills 会偷偷注册 crontab 或 launchd 任务,卸载后还在后台跑。
有就删。没有最好。
如果你是 8G 内存 + 256G 硬盘的 MacBook Air 用户(别不好意思,大把人是),我给你算一下 OpenClaw 占了你多少:
256G 的盘,系统占 30G,微信占 20G,你再来个 OpenClaw 全家桶……剩下空间装个 Xcode 都费劲。
8G 内存就更惨了。Docker 常驻 2G,Chrome 再吃 3G,剩 3G 给系统和你写代码。难怪你觉得电脑卡。
卸完 Docker Desktop 那一刻,你的风扇会第一次安静下来。
帮同事卸载时踩的几个坑:
- 不等于 。新版 Docker 是 (没有横杠),老版是 。用错了不报错但也不生效。问就是被坑过。
- 别在 Finder 里直接删 Docker 卷。Docker 的存储是虚拟磁盘( 或 ),直接删文件可能导致 Docker Desktop 打不开。乖乖用命令行。
- 有些 Skills 带自更新机制。卸了 OpenClaw 本体,但 里的 Skill 脚本可能设了自动更新,自己在后台偷偷拉代码。一定要删干净。
- Windows 用户别忘了检查”服务”。有些安装脚本会注册 Windows 服务,任务管理器里看不到,得去 里找。
公平说几句好话。如果你:
- 确实在用 OpenClaw 做 Agent 自动化,而且配了网络隔离
- 了解 Docker 安全基线,做了最小权限配置
- 知道自己装了哪些 Skills,每个都审查过源码
那你继续用,没问题。OpenClaw 本身的设计思路是好的,问题出在安全默认配置太松 + 生态审核太弱 + 大量用户根本不看文档就装。
但话说回来,能做到上面三点的人,不需要看我这篇文章。
我不是黑 OpenClaw。它确实是个有想法的项目。
但现实是,90% 的人装它就是因为刷到了热搜,跟着一篇”保姆级教程”无脑复制命令,装完发现自己根本用不到,或者不敢给它任何权限(说明你还有安全意识)。
你拿 root 权限跑一个你不理解的程序,只为了问个天气,图啥?
卸了吧。
说真的,你如果就是想调个 AI 接口写代码、做翻译、跑 Agent,根本不需要本地部署这么重的东西。改个 指向聚合 API 服务(比如 ofox.ai 这种),几行代码的事:
又不吃内存又不占磁盘,Key 集中管理也安全。非要本地跑一个你不懂的 Docker 容器?
对了,实在不会操作的,评论区留言,给个远程费我帮你卸。童叟无欺。💰
参考资料:
- 新华网:国家互联网应急中心关于 OpenClaw 安全应用的风险提示
- OX Security:You Can’t Just “Delete” OpenClaw
- 绿盟科技:OpenClaw 近期生态安全事件解读
作者:ofox.ai
链接:https://juejin.cn/post/
来源:稀土掘金
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/272527.html原文链接:https://javaforall.net
