夜雨聆风最近“龙虾”实在太火了,在Windows上折腾了一整天,终于初步跑通了。一些需要注意的安全点,整理出来给大家参考👇
点击阅读原文可以获取全部安装资料
https://pan.quark.cn/s/7f74ed2ff731
🚨 OpenClaw 安全漏洞汇总(个人部署版)
默认配置裸奔风险
官方示例配置里可能包含测试Token或弱密钥,部署前务必替换所有默认值,尤其是API密钥、数据库连接串。Channel凭证泄露
配置Telegram/飞书等Bot时,Token、Secret一旦硬编码在配置文件且不小心公开(比如上传到GitHub),别人就能接管你的Bot。建议用环境变量或密钥管理服务。Docker容器逃逸
如果用Docker部署,注意不要以root运行,且限制容器权限(比如--read-only、--cap-drop=ALL),防止容器被攻破后影响宿主机。日志敏感信息暴露
OpenClaw在处理消息时可能记录对话内容,若日志未加密且长期留存,可能泄露用户隐私或内部数据。记得配置日志轮转和脱敏。依赖库漏洞
项目依赖的一些Python包可能存在已知漏洞(比如CVE),部署前建议用pip-audit或safety扫描一遍。CORS配置不当
如果启用了Webhook或对外暴露API接口,CORS设置过于宽松可能导致跨站请求伪造。务必限制可信域名。
Windows 安装与使用指南
环境准备
Node.js: 需要 Node 22 或更新版本
操作系统:
Windows: 推荐使用 WSL2 (Ubuntu)
macOS: 原生支持
Linux: 原生支持
(可选)安装Docker Desktop,但Windows上直接用Python跑也挺快
Windows 安装流程
方法一:使用安装脚本(推荐)
# 在 PowerShell 中运行iwr-useb https://openclaw.ai/install.ps1 | iex方法二:使用 npm 安装
npm install -g openclaw@latest方法三:使用 WSL2(强烈推荐)
1. 安装 WSL2 Ubuntu • 打开 PowerShell(管理员)运行: wsl --install• 重启电脑并完成 Ubuntu 设置 2. 在 WSL2 中安装 OpenClaw # 更新系统sudo apt update && sudo apt upgrade -y# 安装 Node.js 22curl -fsSL https://deb.nodesource.com/setup_22.x | sudo -E bash -sudo apt-get install -y nodejs# 安装 OpenClawcurl -fsSL https://openclaw.ai/install.sh | bash
运行新手引导
# 在 WSL2 终端中运行openclaw onboard --install-daemon新手引导会帮助你:
• 配置模型和认证(推荐使用 Anthropic API Key) • 设置 Gateway 运行模式 • 配置聊天渠道 • 安装后台服务(systemd)
启动 Gateway
# 查看服务状态openclaw gateway status# 手动启动openclaw gateway --port 18789# 重启服务openclaw gateway restart验证安装
openclaw statusopenclaw health📢 OpenClaw 是什么?
OpenClaw 是一个适用于任何操作系统的 AI智能体Gateway网关,支持 WhatsApp、Telegram、Discord、飞书等多种聊天应用。你可以把它理解为一个统一的消息路由中心,方便将AI能力接入不同平台。
💡 最后提醒:部署虽有趣,安全别大意!如果你也打算“养龙虾”,记得把上面的漏洞挨个排查一遍。
欢迎评论区交流踩坑经验~
点击阅读原文可以获取全部安装资料
https://pan.quark.cn/s/7f74ed2ff731