很多人在实践OpenClaw接入Ollama本地模型时,往往忽略了数据外泄的几个关键环节。实际上,要想彻底实现本地推理不联网、不调用云端,必须从四个维度同步加固:服务绑定、路径白名单、内存加密、网络隔离。任何一个环节出现疏漏,都可能导致数据悄无声息地流向云端,前功尽弃。

要保障OpenClaw对接Ollama时所有推理请求100%留在本地、不对外传输、不依赖云端模型,必须从服务绑定、路径白名单、内存加密、网络隔离四个层面同步发力。任何一环被忽略,都可能引发数据静默外传的风险,务必全面覆盖。
强制绑定本地回环地址
首先编辑~/.openclaw/config.yaml配置文件,定位到network配置段落。
操作步骤非常清晰:将bind字段显式修改为127.0.0.1:18789。这里有一个极易踩坑的关键点——该字段不能留空,也绝对不要填0.0.0.0或localhost。因为后者在特定DNS解析环境下可能被解析为IPv6地址,从而绕过隔离策略,导致之前的配置形同虚设。
修改完成后保存文件,接着执行openclaw restart重启服务,否则配置无法生效。
如何验证配置已正确生效?在终端运行lsof -i :18789命令,输出结果中必须仅显示openclaw-gateway进程,且LISTEN列明确标注为127.0.0.1:18789。如果出现*:18789,则说明绑定未成功,此时应优先检查YAML缩进是否为两个空格,是否混入了tab字符。
切断Ollama云端通道
接下来执行openclaw onboard进入初始化引导流程。
当光标移动到More…选项时按下回车键→选择Ollama→再次回车确认。在后续出现的模型服务商列表中,【必须选中 Ollama (Cloud and local open models)✅】,这个选项才是真正的本地优先模式。切忌误选Ollama Cloud,虽然两者名称相近,但实际效果有天壤之别。
接下来进入连接模式选择界面:使用方向键选中Local only(推荐你选这个)✅。这是唯一能够彻底禁用Ollama云端API的模式选项。需要特别注意的是,Cloud + Local看似两全其美,实则暗藏隐患——每次请求都会先向Ollama最新服务器发起健康检查,存在元数据泄露的风险。
端口地址保持默认的http://127.0.0.1:11434,直接回车确认即可。这里同样不建议改成http://localhost:11434,因为部分Ollama旧版本可能触发DNS回环重定向,意外建立IPv6连接,让之前的隔离工作功亏一篑。
启用沙盒路径白名单
这一步是防止内部泄露的关键防线。编辑~/.openclaw/permissions.json文件,删除其中所有包含"/"或"/home"的路径条目。
白名单的配置原则是极致精简:只保留业务必需的目录,例如:
— "/tmp/openclaw-workspace/"(read:true, write:true)
— "/opt/models/qwen3.5/"(read:true)
不要嫌步骤繁琐,这是最后一道物理隔离屏障。保存配置后执行openclaw monitor --list-permissions命令,确认输出结果中不包含/etc、/root、/home/user/Documents等高危路径。
如果发现AI在Web UI中尝试执行cat /proc/cpuinfo命令,该操作会被直接拒绝。日志文件~/.openclaw/logs/security.log会记录DENIED filesystem access to /proc/cpuinfo——这条日志就是白名单机制正常工作的铁证,建议截图保存备查。
验证内存与流量双隔离
这一步是为了让安全验证更加可靠,建议三种方法全部执行一遍。
方法一:Wireshark抓包验证
启动Wireshark抓包工具,选择物理网卡(注意不是Loopback回环接口),过滤条件设置为tcp.port == 11434 or tcp.port == 18789。执行一次PDF解析任务,观察捕获窗口——【必须零条出站包】,如果发现任何目的IP非127.0.0.1的数据包,说明某处配置已被绕过,需立即返回第一步重新检查。
方法二:内存加密强制清空
任务执行完毕后立即运行:
sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'
该操作会清空页缓存、dentries和inodes,防止OCR文本片段残留在RAM交换区造成信息泄露。如果系统提示权限不足,请先执行sudo -i切换为root用户后再操作。
方法三:Docker沙箱强制启用
在OpenClaw技能配置中,所有host字段必须显式设置为sandbox,示例如下:
host: "sandbox"
如果不做显式声明,默认会使用L1沙箱,但部分旧版OpenClaw存在fallback逻辑漏洞。通过显式声明可以有效堵住这个缺口,追加一层安全保障,让整个配置更加安心。
