夜雨聆风OpenClaw
个人终端安全手册
在 Mac / Linux 上本地部署 OpenClaw、再对接飞书,能够亲身体会到动手操作机器人的乐趣。但安全没跟上,等于给风险留了后门。这份《OpenClaw 个人终端安全加固手册》为你提供从安装准备到运行维护的全流程安全加固指南。
安装前准备
系统要求检查
# 检查当前用户(避免使用 root)whoamiid# 检查防火墙状态(请替换正确路径)sudo /path/to/socketfilterfw \--getglobalstate# 检查 SSH 配置(如已启用)cat /etc/ssh/sshd_config
创建专用目录
# 使用标准用户目录,避免系统目录mkdir -p ~/.openclawcd ~/.openclaw# 设置初始安全权限chmod 700 ~/.openclaw
安全安装
下载与验证
# 从官方渠道下载# 可以先到node官方安装npmnpm install -g openclaw# 验证安装openclaw --versionopenclaw doctor
初始化安全通道
# 初始化配置(使用非默认端口)openclaw init# 立即修改默认配置cd ~/.openclaw
飞书接入
在飞书开放平台创建应用时,采用应用权限最小化原则:
机器人权限:仅开启必要权限,如:读取消息、发送消息
文档权限:按需开启,如需操作文档再开启
用户权限:仅读取基本信息,不要开启管理员权限
OpenClaw 飞书配置
channels:feishu:# 使用飞书应用的App ID和Secretapp_id:"cli_xxxxxxxxxxxxx"app_secret:"${APP_SECRET}"# 使用环境变量引用# 启用工具权限(按需开启)tools:doc:false# 默认关闭,需要时再开启drive:false# 默认关闭wiki:false# 默认关闭task:false# 默认关闭perm:false# 默认关闭(敏感权限)# 限制允许的用户(重要!)allowed_users:-"ou_xxxxxxxxxxxxxxxx"# 只允许特定用户访问
~/.openclaw/config.yam
用户白名单配置
{"version":1,"allowFrom": ["ou_xxxxxxxxxxxxxxx"],"denyFrom": [],"requireApproval":true}
~/.openclaw/credentials/feishu-allowlist.json
API密钥安全管理
(环境变量)
创建密钥文件
# 创建安全的密钥存储目录mkdir -p ~/.openclaw/secretschmod 700 ~/.openclaw/secrets# 创建环境变量文件cat>~/.openclaw/secrets/env<<'EOF'# OpenClaw 环境变量配置# 此文件权限应为 600# Moonshot API Keyexport MOONSHOT_API_KEY="sk-xxx"# Feishu App Secretexport FEISHU_APP_SECRET="xxxx"# OpenClaw Gateway Tokenexport OPENCLAW_GATEWAY_TOKEN= \"$(openssl rand -hex 32)"EOFchmod 600 ~/.openclaw/secrets/env
修改配置文件引用环境变量
providers:moonshot:api_key:"${MOONSHOT_API_KEY}"gateway:token:"${OPENCLAW_GATEWAY_TOKEN}"channels:feishu:app_secret:"${APP_SECRET}"
~/.openclaw/config.yaml
启动时加载环境变量
# OpenClaw 环境变量if [-f ~/.openclaw/secrets/env];thensource ~/.openclaw/secrets/envfi
API密钥安全管理
(macOS keychain)
存入密钥
# 将密钥存入 macOS Keychainsecurity add-generic-password \-s "openclaw-moonshot" \-a "$USER" -w "sk-xxxxxx"security add-generic-password \-s "openclaw-feishu" \-a "$USER" -w "xxxxxx"# 获取密钥security find-generic-password \-s "openclaw-moonshot" -w
创建启动脚本
#!/bin/bash# 从 Keychain 加载密钥export MOONSHOT_API_KEY=\$(security find-generic-password \-s "openclaw-moonshot" -w)export FEISHU_APP_SECRET=\$(security find-generic-password \-s "openclaw-feishu" -w)# 启动 OpenClawopenclaw gateway start
~/.openclaw/start.sh
文件权限加固
关键文件权限检查清单
#!/bin/bash# 执行权限加固脚本OC_DIR="$HOME/.openclaw"# 1. 主目录chmod 700 "$OC_DIR"# 2. 配置文件chmod 600 "$OC_DIR/config.yaml"# 3. 凭证目录chmod 700 "$OC_DIR/credentials"chmod 600 "$OC_DIR/credentials/*"# 4. 密钥目录if [ -d "$OC_DIR/secrets" ]; thenchmod 700 "$OC_DIR/secrets"chmod 600 "$OC_DIR/secrets/*"fi# 5. Cron 目录chmod 700 "$OC_DIR/cron"chmod 600 "$OC_DIR/cron/*"# 6. 备份目录chmod 700 "$OC_DIR/backup"
网络安全配置
Gateway 配置
gateway:enabled:true# 使用强随机 token(至少 32 字符)token:"${OPENCLAW_GATEWAY_TOKEN}"# 仅监听本地地址(重要!)host:"127.0.0.1"port:3000# 启用 TLS(如需要远程访问)# tls:# cert: "/path/to/cert.pem"# key: "/path/to/key.pem"
~/.openclaw/config.yaml
防火墙配置
# 启用防火墙sudo /path/to/socketfilterfw \--setglobalstate on# 阻止所有入站连接(除了允许的应用)sudo /path/to/socketfilterfw \--setallowsigned off# 查看防火墙状态sudo /path/to/socketfilterfw \--getglobalstate# 验证端口监听# 检查 OpenClaw 端口监听情况lsof -i :3000# 应该只显示 127.0.0.1:3000,# 不应有 0.0.0.0:3000
安全部署不是多装几个软件,而是:目录与权限收好、密钥Never进明文配置、网关只对本机说话、飞书白名单 + 最小权限。
安全提示
OpenClaw 等开源 AI 智能体在默认或不当配置下可能带来较高安全风险,甚至引发网络攻击和信息泄露。
部署和使用时务必做好隔离环境、不要用科研办公电脑直接安装;收敛网络暴露,警惕Skills投毒和提示词注入风险;强化身份认证、保护敏感凭据,并谨慎安装第三方插件,持续关注官方安全公告与补丁更新,共同守护校园网络与数据安全。
文字 | 高佳宝
排版 | 高佳宝
审核 | 王钊 姚星昆 崔佳
|
听说转发 点赞 在看的2026都会好运哦
