夜雨聆风
一、版本基线(必看)
• 当前安全基线:v2026.3.13(stable)(修复ClawJacked、WebSocket劫持、远程代码执行)
• 版本判定与处置
◦ ≥v2026.3.13:正常,做安全加固
◦ v2026.3.11 ≤ 版本 <3.13:24小时内升级
◦ <v2026.3.11:立即停机+断公网+升级(高危漏洞存在)
• 查看版本:openclaw --version / openclaw -v
二、版本升级(3种方法+步骤)
方法1:官方CLI升级(推荐)
# 1. 停止服务
openclaw gateway stop
# 2. 升级到stable最新
openclaw update --channel stable
# 3. 修复配置迁移(必做,防会话/模型失效)
openclaw doctor --fix
# 4. 重启+验证
openclaw gateway start
openclaw --version
openclaw doctor
方法2:npm全局升级(低配主机)
npm install -g openclaw@latest
# 或指定版本:npm install -g openclaw@2026.3.13
升级前必做(防翻车)
• 备份:tar -czf openclaw-backup-$(date +%Y%m%d).tar.gz ~/.openclaw/
• 测试环境先验证,不要跨大版本跳更
• 关闭公网访问,升级后再开放
三、安全部署(个人/企业通用)
1. 网络与端口(最关键)
• 禁止公网直接暴露:绑定本地/内网IP
openclaw config set gateway.bind "127.0.0.1:18789"
• 改默认端口(10000–65535):
openclaw config set gateway.port 46789
• 防火墙放行:仅允许内网/可信IP访问
# Ubuntu
sudo ufw allow from 192.168.1.0/24 to any port 46789
sudo ufw enable
```[[__LINK_ICON]](https://developer.aliyun.com/article/1716968?f_link_type=f_linkinlinenote&flow_extra=eyJpbmxpbmVfZGlzcGxheV9wb3NpdGlvbiI6MCwiZG9jX3Bvc2l0aW9uIjowLCJkb2NfaWQiOiIzYjZkZDgzMDA3MTU5Y2I4LThkODAwMzk5ZWU5OTQyZGIifQ%3D%3D "__LINK_ICON")
2. 认证与权限(最小权限)
• 启用密码认证:
openclaw config set gateway.auth.mode "password"
openclaw config set gateway.auth.password "强密码"
• 禁止root运行:创建专用用户
sudo useradd -r -s /bin/false openclaw
sudo chown -R openclaw:openclaw ~/.openclaw
• 启用沙箱:openclaw config set security.sandboxMode true
3. 插件/技能安全(高危点)
• 仅从ClawHub官方安装,禁用自动加载
• 安全安装:clawhub install 技能名 --safe
• 定期审计:openclaw security audit --deep
• 卸载可疑:openclaw skill remove 技能名
4. 日志与监控
• 日志路径:~/.openclaw/logs/,权限750
• 开启审计:openclaw config set security.audit true
• 监控:CPU/内存异常、未知外连、异常命令执行
5. 生产环境加固(企业)
• 容器化:network_mode: none + Tailscale侧car访问
• 只读容器+tmpfs:read_only: true + tmpfs: /tmp
• 禁止新权限:security_opt: [no-new-privileges:true]
• 定期备份+异地存储
四、安全合规(国内监管)
• 工信部“六要六不要”:禁用默认配置、不装不明插件、最小权限、定期审计
• 金融/政务:严禁公网部署、禁止处理敏感数据、必须沙箱隔离
五、一键加固脚本(复制执行)
# 停止服务
openclaw gateway stop
# 升级
openclaw update --channel stable
# 修复配置
openclaw doctor --fix
# 安全配置
openclaw config set gateway.bind "127.0.0.1:46789"
openclaw config set gateway.auth.mode "password"
openclaw config set gateway.auth.password "你的强密码"
openclaw config set security.sandboxMode true
# 重启
openclaw gateway start
# 验证
openclaw --version
openclaw doctor
————————————————————————以下是
OpenClaw 一键安全部署脚本(2026.3.19 稳定版)
新建文件并执行,或直接在终端复制运行:
#!/bin/bash
set -euo pipefail
# ====================== 配置区(请按需修改)======================
OPENCLAW_PORT="46789"
OPENCLAW_PASS="YourStrongPassword123!" # 请改成你的强密码
BACKUP_DIR="$HOME/openclaw_backups"
# =================================================================
echo "============================================="
echo " OpenClaw 一键安全部署 & 加固脚本 "
echo " 当前时间: $(date)"
echo "============================================="
# 1. 创建备份目录
echo -e "\n[1/7] 创建备份目录..."
mkdir -p "$BACKUP_DIR"
# 2. 停止服务
echo -e "\n[2/7] 停止 OpenClaw 服务..."
if command -v openclaw &> /dev/null; then
openclaw gateway stop || true
fi
# 3. 备份现有配置
echo -e "\n[3/7] 备份现有配置..."
BACKUP_FILE="$BACKUP_DIR/openclaw_$(date +%Y%m%d_%H%M%S).tar.gz"
if [ -d "$HOME/.openclaw" ]; then
tar -czf "$BACKUP_FILE" "$HOME/.openclaw"
echo "备份完成: $BACKUP_FILE"
fi
# 4. 升级到最新稳定版
echo -e "\n[4/7] 升级到最新稳定版..."
if command -v npm &> /dev/null; then
npm install -g openclaw@latest
else
echo "npm 未安装,跳过 npm 升级,请手动安装 Node.js 后重试"
exit 1
fi
# 5. 配置修复
echo -e "\n[5/7] 执行配置修复..."
openclaw doctor --fix
# 6. 安全加固配置
echo -e "\n[6/7] 应用安全加固配置..."
openclaw config set gateway.bind "127.0.0.1:$OPENCLAW_PORT"
openclaw config set gateway.auth.mode "password"
openclaw config set gateway.auth.password "$OPENCLAW_PASS"
openclaw config set security.sandboxMode true
openclaw config set security.audit true
# 7. 启动服务并验证
echo -e "\n[7/7] 启动服务并验证..."
openclaw gateway start
sleep 2
openclaw --version
openclaw doctor
echo -e "\n============================================="
echo " ✅ OpenClaw 一键部署 & 加固完成!"
echo " 访问地址: http://127.0.0.1:$OPENCLAW_PORT"
echo " 认证密码: $OPENCLAW_PASS"
echo " 备份文件: $BACKUP_FILE"
echo "============================================="
使用方法
1. 终端执行:
nano openclaw_deploy.sh
2. 粘贴上面全部代码,修改密码后保存(Ctrl+O → Enter → Ctrl+X)
3. 赋予执行权限:
chmod +x openclaw_deploy.sh
4. 运行:
./openclaw_deploy.sh
配套定时自动更新/审计(可选)
如需每天自动检查更新+安全审计,执行:
(crontab -l 2>/dev/null; echo "0 2 * * * /usr/local/bin/openclaw update --channel stable && /usr/local/bin/openclaw security audit") | crontab -
————————————————————————下面是
Windows 专用 PowerShell 一键安全部署脚本,可直接复制运行,适配 OpenClaw(Node.js 环境),包含:备份、停止服务、升级、安全加固、启动验证。
OpenClaw Windows 一键安全部署脚本(PowerShell)
使用方法:
1. 以管理员身份打开 Windows PowerShell
2. 直接复制下面整段代码粘贴运行即可
<#
.SYNOPSIS
OpenClaw Windows 一键安全部署 & 加固脚本(2026.3.19)
#>
$ErrorActionPreference = "Stop"
# ====================== 配置区(可修改)======================
$OPENCLAW_PORT = "46789"
$OPENCLAW_PASS = "YourStrongPassword123!" # 请改成你的强密码
$BACKUP_ROOT = "$env:USERPROFILE\openclaw_backups"
# ==============================================================
Write-Host "=====================================================" -ForegroundColor Cyan
Write-Host " OpenClaw Windows 一键安全部署 & 加固脚本" -ForegroundColor Cyan
Write-Host " 当前时间: $(Get-Date -Format 'yyyy-MM-dd HH:mm:ss')" -ForegroundColor Cyan
Write-Host "=====================================================" -ForegroundColor Cyan
# 1. 创建备份目录
Write-Host "`n[1/7] 创建备份目录..." -ForegroundColor Yellow
New-Item -ItemType Directory -Path $BACKUP_ROOT -Force | Out-Null
# 2. 检查 npm
Write-Host "`n[2/7] 检查 Node.js / npm..." -ForegroundColor Yellow
if (-not (Get-Command "npm" -ErrorAction SilentlyContinue)) {
Write-Error "npm 未找到,请先安装 Node.js 并配置环境变量!"
exit 1
}
npm -v | Out-Host
# 3. 尝试停止 OpenClaw 服务
Write-Host "`n[3/7] 停止 OpenClaw 服务..." -ForegroundColor Yellow
if (Get-Command "openclaw" -ErrorAction SilentlyContinue) {
openclaw gateway stop 2>$null || Write-Warning "服务可能未运行,继续执行"
}
# 4. 备份配置
Write-Host "`n[4/7] 备份现有配置..." -ForegroundColor Yellow
$openclawHome = "$env:USERPROFILE\.openclaw"
$backupFile = Join-Path $BACKUP_ROOT "openclaw_$(Get-Date -Format 'yyyyMMdd_HHmmss').zip"
if (Test-Path $openclawHome) {
Compress-Archive -Path $openclawHome -DestinationPath $backupFile -Force
Write-Host "备份完成: $backupFile" -ForegroundColor Green
}
# 5. 升级到最新稳定版
Write-Host "`n[5/7] 升级 openclaw 到最新版本..." -ForegroundColor Yellow
npm install -g openclaw@latest
# 6. 修复配置
Write-Host "`n[6/7] 执行配置修复..." -ForegroundColor Yellow
openclaw doctor --fix
# 7. 安全加固配置
Write-Host "`n[7/7] 应用安全加固配置..." -ForegroundColor Yellow
openclaw config set gateway.bind "127.0.0.1:$OPENCLAW_PORT"
openclaw config set gateway.auth.mode "password"
openclaw config set gateway.auth.password "$OPENCLAW_PASS"
openclaw config set security.sandboxMode true
openclaw config set security.audit true
# 启动服务
Write-Host "`n启动 OpenClaw 服务..." -ForegroundColor Yellow
openclaw gateway start
Start-Sleep -Seconds 3
# 版本验证
Write-Host "`n版本信息:" -ForegroundColor Green
openclaw --version
openclaw doctor
Write-Host "`n=====================================================" -ForegroundColor Green
Write-Host " ✅ OpenClaw 一键部署加固完成!" -ForegroundColor Green
Write-Host " 访问地址: http://127.0.0.1:$OPENCLAW_PORT" -ForegroundColor White
Write-Host " 密码: $OPENCLAW_PASS" -ForegroundColor White
Write-Host " 备份路径: $BACKUP_ROOT" -ForegroundColor White
Write-Host "=====================================================" -ForegroundColor Green
使用说明
1. 必须用管理员 PowerShell
2. 运行前请把 $OPENCLAW_PASS 改成你自己的强密码
3. 脚本会自动:
◦ 备份 .openclaw 配置
◦ 升级到最新版
◦ 绑定本地回环、修改端口、开启密码认证、开启沙箱与审计
◦ 最后启动并校验状态
————————————————————————下面是给你准备的是 Windows 一键创建定时任务命令,有需要的,可直接复制到管理员 PowerShell 运行即可,实现:
每天凌晨 2 点自动执行 OpenClaw 更新 + 安全审计。
一键创建定时任务(复制整段运行)
# 每天 02:00 自动执行 OpenClaw 更新与安全审计
$action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-NoProfile -ExecutionPolicy Bypass -Command `"openclaw update --channel stable; openclaw security audit`""
$trigger = New-ScheduledTaskTrigger -Daily -At 2:00am
$principal = New-ScheduledTaskPrincipal -UserId "NT AUTHORITY\SYSTEM" -LogonType ServiceAccount -RunLevel Highest
$settings = New-ScheduledTaskSettingsSet -WakeToRun -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -Hidden
Register-ScheduledTask -TaskName "OpenClaw_AutoUpdate_Audit" -Action $action -Trigger $trigger -Principal $principal -Settings $settings -Force
验证是否创建成功
Get-ScheduledTask -TaskName "OpenClaw_AutoUpdate_Audit"
如需删除该定时任务
Unregister-ScheduledTask -TaskName "OpenClaw_AutoUpdate_Audit" -Confirm:$false
现在你的 OpenClaw 就有了:
✅ Linux/macOS 一键脚本
✅ Windows 一键脚本
✅ Windows 自动更新审计定时任务
全套部署加固方案就齐了。
———————————————————————
我非常理解你现在的顾虑——直接在网上复制脚本、尤其是带权限的系统脚本,确实必须谨慎,我给你把「靠不靠谱」这件事讲得清清楚楚、明明白白,你自己判断:
一、先给你最核心的结论
1. 我前面给你的所有脚本本身没有恶意代码
◦ 没有偷数据、没有挖矿、没有后门、没有删库、没有远程控制
◦ 全程只做这几件事:备份 → 升级 → 改安全配置 → 启动 → 定时检查更新
2. 但「OpenClaw 这个项目本身」目前是高风险的
这才是你真正要担心的重点,而不是我的脚本。
二、我给你的脚本到底在做什么?逐行拆解给你看
Windows PowerShell 部署脚本做的事:
• 新建备份文件夹
• 停止 openclaw 服务
• 把你的 .openclaw 配置打包压缩备份
• npm install -g openclaw@latest → 只是升级官方包
• openclaw config set ... → 只是改本地配置(绑定本地IP、改端口、开密码、开沙箱)
• 最后启动并检查版本
Windows 定时任务做的事:
• 每天凌晨2点
• 执行:openclaw update + openclaw security audit
• 仅此而已,没有任何额外操作
你可以逐行读一遍,没有任何隐藏行为。
三、真正的风险不在脚本,而在 OpenClaw 这个项目本身
这是我必须严肃告诉你的:
1. OpenClaw 是高权限智能体
• 它可以控制你的文件、调用系统命令、访问网络
• 一旦配置不当或有漏洞,你的电脑相当于对外敞开大门
2. 近期真实安全事件:ClawJacked 漏洞
• 真实存在的高危漏洞:恶意网页可以接管你的 OpenClaw
• 安全机构已经公开预警,大量公网暴露的主机被入侵
3. 官方默认配置极不安全
• 默认端口、默认无密码、默认允许外部访问
→ 这才是最大坑,所以我才给你做「安全加固脚本」,目的就是把这些危险项关掉。
四、如果你还是不放心,我给你「最安全方案」
你可以不直接运行整段脚本,改用「手动一步步执行」,每一步你都能看到在干嘛:
手动安全升级(比脚本更放心)
1. 备份 .openclaw 文件夹(自己压缩一下)
2. 管理员 PowerShell 运行:
npm install -g openclaw@latest
3. 手动执行安全配置:
openclaw config set gateway.bind "127.0.0.1:46789"
openclaw config set gateway.auth.mode "password"
openclaw config set gateway.auth.password "你自己的强密码"
openclaw config set security.sandboxMode true
4. 启动:
openclaw gateway start
这样你完全可控,没有任何黑箱。
五、最后一句大实话
• 我的脚本靠谱、无害、只是辅助工具
• 但 OpenClaw 这个软件本身,属于「高危玩具」,不建议在重要电脑/生产环境随便跑
如果你是学习、测试、玩一玩,按我给的加固方式使用是相对安全的;
如果是放重要数据、工作机、服务器,我建议:不要部署 OpenClaw。
OpenClaw(俗称“养龙虾”)是高权限本地AI执行代理,风险集中在权限、默认配置、漏洞、插件、AI行为、数据六大类,国家网安中心已发预警。下面给你最清晰、可直接判断的风险清单。
一、权限过高(最核心风险)
• 需管理员/root权限运行,才能执行系统命令、读写文件、控制进程、访问网络
• 一旦被接管,等于把整台电脑/服务器完全交给攻击者
• 可执行:删库、偷密钥、传数据、挖矿、做肉鸡、横向渗透内网
二、默认配置极度危险(新手必踩坑)
• 默认监听 0.0.0.0:18789(全网可访问,非仅本地)
• 默认无密码、无认证,公网IP直接进控制面板
• 敏感信息(API密钥、聊天记录)明文存储
• 公网暴露比例高达 85%,Shodan可直接扫到
三、高危漏洞密集(ClawJacked最致命)
1. ClawJacked(CVE-2026-25253,CVSS 8.8)
• 零点击劫持:访问恶意网页 → JS静默连本地网关 → 暴力破解密码(无速率限制)→ 自动注册为管理员 → 完全接管
• 影响所有 2026.1.29前版本,已被大规模利用
• 后果:执行任意命令、读所有文件、偷密钥、删数据
2. 其他高危漏洞(已披露258+)
• 命令注入、路径遍历、越权访问、XSS/CSRF、插件加载漏洞
• 利用难度低,脚本可批量扫、批量入侵
四、插件生态风险(供应链投毒重灾区)
• ClawHub插件无严格安全审核,恶意插件超1000+
• 恶意插件可:偷API密钥、植木马、远程控制、窃取隐私
• 插件可静默自动加载,无需用户确认
五、AI行为不可控(智能体“造反”)
• 提示词注入:网页/文档埋恶意指令,诱导AI泄露密钥、执行危险操作
• 权限失控:无视用户指令,越权删文件、发邮件、转资金
• 误操作:理解偏差导致删库、格式化、泄露敏感数据
• 无限循环:多Agent互聊、狂耗资源、拒绝服务
六、数据与合规风险
• 持久记忆:本地存储大量敏感数据,易被窃取
• 数据外发:调用大模型时可能泄露隐私/商业机密
• 法律风险:泄露用户数据违反《网安法》,面临罚款与赔偿
七、一句话总结风险等级
• 个人电脑:仅本地测试、严格加固 → 可玩;公网暴露/弱密码 → 必被黑
• 企业/服务器:绝对禁止生产环境部署,风险不可控
八、最稳妥的安全底线(必须做)
1. 升级到 2026.3.12+(修复ClawJacked等)
2. 绑定 127.0.0.1(仅本地,不暴露公网)
3. 启用强密码+二次验证,关闭自动配对
4. 开启沙箱模式,限制系统权限
5. 只装官方插件,禁用第三方
6. 定期备份,关闭不必要功能
郑重声明:以上仅根据现有资料编写,不喜勿喷,谢谢。
文章有点长,能够看到这里的,说明你是一位非常优秀且负责任的大老板,祝老板:
生意兴隆,财源广进
