让 OpenClaw 受控运行： SLS 一键接入与审计

OpenClaw 是 2026 年最受关注的开源 AI Agent 平台之一。它允许大语言模型直接操作文件系统、执行 Shell 命令、浏览网页、收发消息——将 LLM 的推理能力转化为真实的系统操作。这种“自主执行”能力是其核心价值，也是其核心风险。

2026 年初，多家安全厂商集中披露了一批 OpenClaw 相关漏洞和事件，数据触目惊心：

行业报告说明了外部威胁态势。而对 OpenClaw 自身代码仓库的审计则揭示了另一个维度——项目本身在高频修复安全问题。通过基于 Git 历史与 commit message 的安全语义分析，可以量化一段时间内与安全相关的代码变更规模与分布，从而判断攻击面集中在哪些层次。

对 OpenClaw 最近 60 天（2026-01-05 至 2026-03-05）的 14,254 个 commits 进行筛选与分类，平均每天约 2.45 个安全修复，得到如下风险等级分布：

Critical 与 High 合计 50 个，约占明确安全修复的 34%，说明中高危问题在观测窗口内持续被发现与修复。按代码模块分布，风险高度集中在入口与执行层：

tools/ 与 gateway/ 两项合计 61%，对应 Agent 的「谁来调」与「能执行什么」两条主战线。

综上，这些数据说明两件事：

第一，OpenClaw 在代码层面持续投入安全修复，响应及时，且多数安全相关提交在 message 中带有可识别的风险类型，便于追溯与复盘，说明项目在「运行时安全」上已有较好实践。

第二，AI Agent 的攻击面天然宽广——工具执行层（tools/）与网关层（gateway/）正是「自主操作」与「多入口接入」的代价所在；静态代码审计只能覆盖已提交的变更，无法穷尽运行时的行为变异、配置组合与外部输入驱动的攻击路径。

OpenClaw 在架构上提供了多道预防性控制（Preventive Controls）：工具策略管道（Tool Policy Pipeline）在调用前做策略决策、Owner-only 封装对敏感操作做权限绑定、循环检测器识别无进展的会话、命令 allowlist/denylist 限制可执行命令集合。这些机制在正常配置下能有效缩小攻击面，但从安全工程角度看，它们属于同一信任域内的执行时校验，存在以下几类固有局限：

因此，运行时防护相当于「城墙」——能挡住绝大多数已知攻击路径，但无法保证配置永不出错、也无法覆盖未知绕过与逻辑性误用。在安全架构上，需要与之互补的「哨兵」对 Agent 的调用方、消耗、工具调用序列与结果做持续可观测与审计。

可观测性正是处于「哨兵」的职责：用日志、指标与链路数据对 Agent 行为持续观测，支撑审计追溯与使用合规，并借助异常检测回答「谁在调、花了多少、具体做了什么」——在策略失效或遭遇新型攻击时及早发现并在影响扩大前响应。

可观测性建立在 Logs + Metrics + Traces 三支柱之上，在 OpenClaw 场景下，三者与数据源的对应关系及各自要回答的核心问题如下：

三支柱缺一不可：仅有 Metrics 无法回答「谁、因何」导致成本飙升；仅有 Session 日志无法从全局感知系统健康与异常拐点；仅有应用运行日志则看不到 Agent 的业务行为与工具调用序列。三者协同才能同时支撑安全审计、成本管控与运维排障。

阿里云日志服务（SLS）作为可观测领域的基础底座，在 OpenClaw 场景下具有以下天然的优势：

强大的数据接入能力，与 OpenClaw 技术栈原生对齐

LoongCollector 具备强大的 OneAgent 采集能力，对日志与 OTLP 协议均有原生支持。Agent Session 日志因承载模型交互上下文而往往较长，LoongCollector 提供针对长文本日志的高性能采集能力；与 OpenClaw 内置的 diagnostics-otel 插件零改造对接，Metrics 与 Traces 经 OTLP 直接写入 SLS。

查询分析与处理算子丰富

Session 日志为 JSON 嵌套格式（如 message.content、message.usage.cost、message.toolName），SLS 提供 SQL + SPL 计算引擎及丰富的解析、过滤、聚合算子，可对嵌套字段做索引与实时分析，无需额外 ETL 处理。

安全与合规能力

RAM 权限管控、敏感数据脱敏与加密存储，满足审计留痕与合规要求；SLS 持有网络安全专用产品安全检测/认证证书（原安全专用产品销售许可证），便于在等保与行业合规场景下作为可观测与审计底座使用。告警通道支持钉钉、短信、邮件等，便于安全事件与成本/异常告警的及时触达与响应。

全托管、按量计费与弹性伸缩

日志分析一站式：「采集 → 存储 → 索引 → 查询 → 仪表盘 → 告警」一条龙，Logstore / MetricStore 全托管。小规模 Agent 日志量不大、按量计费成本低；流量上来也能自动弹性，无需预留容量与手动扩容，无需自建 Elasticsearch、Prometheus 等。

可见，SLS 在对接 OpenClaw 可观测数据，支撑审计 + 成本 + 异常检测 + 安全合规 + 运维等多场景，适合作为 OpenClaw 受控运行的可观测与审计底座。

因此，SLS 推出 OpenClaw 一站式接入方案：

• 通过接入中心向导式配置采集路径与解析方式，自动生成并下发生效，实现 Session 日志、应用日志与 OTLP 遥测的统一入口、统一 Project。一站式接入，显著降低多数据源割裂带来的复杂度与运维成本。

• 一份 Session 数据既可做安全审计，也可做成本与行为分析，满足多场景复用。

• 预置的审计大盘、成本大盘与运行指标大盘实现开箱即用的受控运行观测闭环。

SLS 侧：

• 开通阿里云日志服务（SLS），创建 Project（如 openclaw-observability）

• 确保 ECS / 服务器已安装 LoongCollector

Session 日志是安全审计的核心数据源，记录了每一轮对话、每一次工具调用、每一笔 Token 消耗。

接入步骤：

1. 创建 logstore，并选择接入卡片

2. 机器组配置，建议使用标识型机器组

3. 自动填充内置采集配置

4. 自动生成内置索引与报表

5. 接入验证与日志格式

SLS 为 OpenClaw 提供了预置的仪表盘，覆盖安全审计、成本分析、行为分析、运行指标四个维度。

Agent 的行为透明度直接关联系统安全与合规风险，且异常行为往往在造成实际损害之前已有迹可循。安全审计大盘是 OpenClaw 受控运行的核心看板，聚焦于回答“Agent 在做什么、有没有高危动作、谁在执行越界操作”这一核心问题，从行为总览、高危命令、提示词注入、数据外泄等维度展开，提供实时行为监控、威胁识别与事后溯源的完整能力。

安全审计统计概览

总览页以指定时间窗口内的多维高危操作计数为核心，将 OpenClaw 的安全态势压缩为一屏可读的风险快照。高危命令执行、网页请求外发、命令行外发、通信工具外发、敏感文件访问、提示词注入等七项指标并列呈现，配合环比数据，帮助安全团队在无需深入明细的情况下快速判断当前风险水位是否异常。

尤为值得关注的是提示词注入事件后的高危操作计数。普通高危操作可能源于任务本身的合理需求，而注入后触发的高危行为则是强烈的威胁信号，这意味着注入的恶意指令已驱动 Agent 付诸执行。即便存在误判，此类信号也应触发最高级别的人工复核，而非等待进一步确认。因此，“注入后工具调用的会话数”是整个总览中威胁置信度最高的信号，3 个此类会话的优先级往往高于数百次普通高危命令。

下方高风险会话表以 Session 为单位聚合各维度风险计数，通过综合风险评分自动排序，将最需要人工介入的会话置顶呈现。安全团队无需逐条筛查日志，直接从风险最高的 Session 开始溯源，大幅压缩从发现到响应的时间窗口。

Skills 使用分析

Skills 使用分析从攻击面视角审视 OpenClaw 的能力边界。Skills 是 OpenClaw 的原生能力扩展机制，也是恶意提示词注入的主要攻击入口，使用者往往在不经意间安装了存在安全漏洞或内嵌恶意指令的 Skill，为攻击者提供了可操控的能力入口。因此，Skills 的调用分布并非单纯的使用统计，更是攻击路径分析的重要依据。

使用分布饼图帮助安全团队快速建立 Skills 调用的基线认知：哪些 Skills 属于高频主流调用，哪些属于边缘低频。一旦某个非常见 Skills 的占比突然上升，或出现从未见过的新 Skills，往往意味着 Agent 正在被引导至非预期的能力路径，需要及时介入排查。

新增 Skills 表格的价值尤为关键。新引入的 Skills 尚未经过充分的安全评估，其权限边界与行为模式对安全团队而言仍是盲区。按首次调用时间逆序排列，可第一时间捕获环境中新出现的 Skills，在其被滥用之前完成审查。

高危命令调用监控

OpenClaw 的创新能力之一是自主执行系统命令，这也使其成为攻击者的理想跳板。一旦 Agent 遭受提示词注入或被恶意 Skill 操控，攻击者即可借助 Agent 的系统访问权限执行删除文件、提升权限、渗出数据等破坏性操作，且全程以 Agent 身份发起，极难与正常任务行为区分。

高危命令调用监控的核心价值在于在运行时防护之外建立独立的可观测层。OpenClaw 的工具权限体系已在运行时层面实施管控，但策略配置错误、权限边界界定模糊或未覆盖的边缘场景，都可能导致高危命令在运行时层面悄然通过。可观测层独立于防护机制运行，确保即便运行时出现疏漏，高危操作也不会彻底失察。

时间线视图的意义不只是计数，而是帮助安全团队识别行为模式。孤立的单次高危命令与短时间内的密集调用，风险含义截然不同。后者往往是 Agent 被操控后系统性执行恶意指令的典型特征，需要立即介入。明细表则提供完整的溯源上下文，支持安全团队从异常信号快速追溯到具体会话与原始命令。

提示词注入检测

提示词注入是驱动 AI 执行有害行为的核心攻击手段。无论攻击路径如何，用户直接输入、Skills 调用返回还是 web_fetch、read 等工具读取的外部数据，恶意指令终究需要汇入提示词才能对 Agent 施加影响。提示词是所有攻击路径的最终汇聚点。

注入来源的分布可以帮助判断实际风险的性质。用户直接输入的注入通常是有意为之，而通过 toolResult 携带的注入，用户往往并不知情。对于 OpenClaw 这类个人助理型 Agent，间接注入才是主要威胁——用户安装的 Skills 或访问的外部内容均可能成为注入载体，且难以被用户主动识别和规避。

注入分类的价值在于识别攻击意图，而不只是标记异常。同样是注入事件，ROLE_HIJACK 和 JAILBREAK 意味着攻击者在试图突破 Agent 的行为边界，HIDDEN_INSTRUCTION 则代表更隐蔽的植入手法，这些类型的响应优先级和处置方式各不相同。持续观察分类分布的变化，也有助于发现针对特定攻击面的集中尝试。

明细表记录每条注入事件的触发工具、会话上下文与原始内容，支持安全团队从分类统计快速下钻至具体事件，完成从模式识别到溯源响应的完整闭环。

敏感数据外泄检测

数据外泄在 Agent 场景下往往不是单一事件，而是一条由多个步骤构成的行为链：Agent 被引导读取敏感文件、内容进入模型上下文、再通过后续工具调用完成外传。单独观察任意一个环节都难以判断威胁，只有将文件访问与外发行为关联起来，才能还原攻击的完整意图。

敏感数据外泄检测采用漏斗式分析思路，逐层收窄噪声，精准定位真实威胁。第一层对敏感文件访问进行全量记录，按 SSH_KEY、ENV_FILE、CREDENTIALS、CONFIG_SECRET、HISTORY 五类资产分类，建立访问基线。第二层对外发行为按渠道（API_CALL、MESSAGE_SEND、WEB_ACCESS、EMAIL）独立追踪，识别潜在的数据出口。第三层将两者在时间维度上关联，若同一 Session 内敏感文件访问与外发操作在短时间窗口内相继出现，则标记为高优先级渗出事件。

这一机制的核心价值在于因果定位而非单点告警。Agent 读取 SSH_KEY 不一定是威胁，发起 API_CALL 也不一定是威胁，但两者在同一 Session 内以分钟级间隔先后发生，且外发参数中携带敏感文件内容，威胁置信度则大幅提升。行为链分析表直接呈现 access_time 与 outbound_time 的时间差及完整的调用参数，让安全团队无需手动关联日志即可完成溯源判断。

{  "id": "qwen3.5-plus",  "name": "Qwen3.5 Plus",  "cost": {    "input": 0.8, // 取自最低阶梯输入价格    "output": 4.8, // 取自最低阶梯输出价格    "cacheRead": 0.4, // 取input一半进行估算    "cacheWrite": 0  },}

4.2.1 整体概览与模型分布

大盘顶部提供整体 Tokens与整体费用的 1 天对比：今日 vs 昨日用量（单位：万 tokens）、今日 vs 昨日费用（单位：元），以及环比比例，便于快速判断当日是否出现用量或费用突增。环比是成本异常的第一道信号——若日环比突破预设阈值（如 ±30%），通常意味着出现了 Prompt 膨胀、循环调用或异常会话，应立即下钻排查。

4.2.2 按 Provider / Model 的消耗趋势（时序）

模型 Tokens 趋势与模型费用趋势两条时序图（1 周相对）共享时间轴与图例，按模型分色展示各模型在时间维度上的 Token 消耗与费用变化。需要重点关注的是 Token 激增——这往往不只是成本问题，更可能是安全与稳定性的风险信号：Prompt 注入导致上下文被恶意填充、工具调用陷入死循环、或会话因未触发循环检测而持续膨胀，都会在趋势图上表现为某条曲线的陡峭上升。两张图按模型分色呈现，模型切换会直接反映为颜色构成的变化，无需额外推断即可确认切换时间点与涉及模型，便于判断是否为预期变更。

4.2.3 按会话与按主机/Pod 的 Top 消耗（柱状图）

柱状图构成 2×2 布局，从会话与主机（或 Pod，容器场景）维度回答“谁在花钱、哪台机器或容器在花钱”，与具体的责任主体相关联：

• Top Tokens By Session / Top Cost By Session：过去 1 周各会话的 Token 合计与费用按降序排列。实践中 Agent 的成本分布往往呈长尾特征——少数会话占据绝大部分消耗，识别这些“头部会话”是成本优化的第一步。

• Top Tokens By Host / Top Cost By Host：按主机（实例）或 Pod 聚合的 Token 与费用，用于多实例部署下的成本分析与风险定位。在企业环境中，主机或 Pod 通常与特定团队、业务线或用户绑定，结合资产归属即可将消耗数据映射到具体责任方——既能支撑成本分摊，也能在某台实例消耗异常时快速锁定潜在的风险使用者或失控会话。

4.2.4 模型 Tokens 详情表（成本明细）

模型 Tokens 详情表（1 周相对）按模型列出：totalTokens、inputTokens、outputTokens、cacheReadTokens、cacheWriteTokens，以及对应的 totalCost、inputCost、outputCost、cacheReadCost、cacheWriteCost。支持排序与筛选，可直接回答“哪个模型花了最多钱、输入/输出各占多少”。其中 inputTokens 与 outputTokens 的比值反映 Agent 的交互模式：输入占比过高说明 Prompt 或上下文冗余，输出占比过高则可能是模型生成了大量无效内容；cacheReadTokens 占比则直观体现缓存策略的收益——占比越高、实际计费越低，为 Prompt 工程与缓存调优提供量化依据。

行为分析大盘以会话为基本单位，对 OpenClaw 的运行行为进行全量记录与分类统计，回答“Agent 在当前时间窗口内做了什么”这一基础但关键的问题。

会话统计

顶部计数卡片将工具调用按行为类型拆解为命令执行、后台进程、网页请求、通信工具、文件读写等维度，提供整体行为构成的快速快照。其中调用异常单独列出，便于第一时间判断系统稳定性。

下方会话统计表以 Session 为粒度展开，记录每个会话在各行为维度上的调用量。截图中首行 Session 的工具调用总数达 1925 次，其中命令执行 1364 次、文件读写 561 次，与其他 Session 相比量级悬殊，此类异常活跃的 Session 往往值得优先审查。表格按最后活跃时间排序，结合各维度的调用分布，可快速识别行为模式异常的会话。

工具调用量统计和错误分析

工具调用是 Agent 与外部世界交互的唯一通道，其调用量与错误率的变化直接反映 Agent 的运行健康状态。工具调用时间线按工具类型分色展示各时间段的调用频次构成，异常尖峰是排查问题的第一入口，结合工具类型的构成变化，可快速判断是哪类操作驱动了调用激增。错误率趋势图与调用量时间线共享时间轴。错误率高峰不一定与调用量高峰重合，两者的时间差往往能揭示问题的真实来源：是某类工具在特定时段持续失败，还是某次任务引入了异常的调用模式。

全量工具调用日志则提供每次调用的协议错误、执行状态与返回内容，支持从趋势异常快速下钻至具体失败调用，定位根因。

外部交互

外部交互记录 Agent 在运行过程中发起的所有对外行为，包括 API 调用、网页访问、消息发送、邮件外发等，按会话、工具名与交互类型分类呈现。

对于 Agent 而言，外部交互既是完成任务的必要手段，也是潜在的风险出口。全量记录外部交互行为，一方面帮助团队掌握 Agent 的实际能力边界与使用习惯，另一方面在出现异常时提供完整的行为上下文，支持跨工具、跨会话的关联分析与溯源。

内置大盘提供的是通用维度的审计与观测视图。在实际安全运营中，大盘往往是「发现问题」的起点而非终点——当审计大盘标记出一个高风险会话、Token 趋势图出现异常尖峰、或运行指标告警触发时，往往需要进一步从统计概览下钻到具体事件，还原完整的行为链并确认根因。SLS 的查询分析引擎为这一过程提供了灵活的自定义探索能力。

自定义探索的前提是理解数据结构。SLS 接入方案已根据审计分析需求预建索引，用户无需额外配置即可直接查询。以下两类日志构成了自定义分析的核心数据源：

Session 日志 — 记录 Agent 的完整业务行为，是安全审计与成本分析的主要依据。

Runtime 日志 — 记录网关与各子系统的运行状态，是排障与系统健康分析的数据基础。

典型场景：审计大盘的「高风险会话」列表标记了一个高危 Session，安全团队需要还原该会话的完整交互过程，确认威胁是否属实。

多实例部署环境下，各 OpenClaw 实例的日志集中写入同一 SLS Logstore。自定义探索的第一步是按 Session ID 隔离，将视野收敛到单个会话，明确「谁在何时触发了哪些请求、调用了哪些工具、模型如何响应」，为合规举证提供清晰边界。

完成会话过滤后，利用 SLS 的上下文预览功能，可按原始顺序还原该会话内的完整行为链——用户输入、模型推理、工具调用请求、工具执行结果，先后关系一目了然。这一能力在审计场景中尤为关键：它不仅能帮助识别异常调用顺序（如敏感文件读取紧接外发操作），还为安全事件的复现与证据留存提供了完整的上下文视图。

典型场景：运行指标大盘告警提示错误率突增，需要从海量 Runtime 日志中快速定位故障模块与根因。

SLS 支持全文检索与结构化字段检索的组合，配合时间范围可逐层收敛排查范围。典型的排障路径分为两步——先缩小范围，再量化分布：

第一步：逐层过滤，锁定问题

1. 按日志级别过滤：使用 _meta.logLevelName: ERROR or _meta.logLevelName: WARN or _meta.logLevelName: FATAL 过滤所有错误与警告日志，将注意力集中到异常事件。

2. 按子系统下钻：在错误日志中叠加字段条件，例如 0.subsystem: plugins，将范围收敛到具体子系统——如下图所示，两步过滤即可快速定位到 diagnostics-otel 插件加载失败的错误日志。

第二步：SQL 聚合，量化全局分布

关键词筛选定位的是单条事件，而 SQL 聚合分析则将单条日志上升为全局统计视图。例如，对 subsystem 字段做分组聚合，可直观呈现各子系统的错误分布，快速识别集中性异常，为进一步排查指明方向。

前面我们基于可观测数据介绍了数据的接入、内置大盘与自定义探索，在实际运维与审计中，可观测数据之间并非孤立使用，而是遵循一个固定的协作模式，逐层收敛、互相印证：

OTEL Metrics → 应用日志（错误上下文）→ Session 审计日志（完整行为链）。典型排查路径如下：OTEL 指标发现异常（如延迟飙升、Token 激增、错误率突增）；随即在应用日志中定位对应时间窗口的错误详情（Webhook 超时、认证失败、网关异常）；最后下钻到 Session 审计日志，还原该会话的完整工具调用序列、模型交互内容与成本消耗，确认根因并留存审计证据。

07

总结

Cloud Native

回答“你的 OpenClaw 真的在受控运行吗？”需要同时回答几个问题：谁在触发调用、花了多少钱、做了哪些操作、行为是否可追溯可审计。

行业安全报告和 OpenClaw 自身的代码审计数据都表明，AI Agent 的攻击面天然宽广——60 天内 147 次安全修复，tools/ 和 gateway/ 模块合计占比 61%。运行时防护不可或缺，但仅靠防护不足以声称受控；必须建立持续可观测体系，用数据回答上述问题。

本文展示了如何利用 SLS 接入中心，一键完成 OpenClaw 可观测数据（Session 审计日志、应用日志）的接入，通过内置大盘实现开箱即用的安全审计、成本监控和运行观测。可观测体系的价值不止于发现问题，更在于将 Agent 的运行状态持续纳入可量化、可追溯的管理框架——这是 AI Agent 从“能用”走向“可信赖”的必经路径。