夜雨聆风编者按:OpenClaw 的安全隐患不是"可能发生",而是"正在被利用"。这套加固方案把攻击门槛从"小白级"提升到"专业级",值得每个 VPS 用户立即执行。
开篇:你的 OpenClaw 可能正在裸奔
如果你在公网 VPS 上运行 OpenClaw,现在有一个坏消息:你的 AI Agent 可能比想象中更脆弱。
根据 2026 年 2 月社区披露的安全问题,OpenClaw 主要面临三大风险:
提示词注入攻击(最严重):恶意网页或消息中隐藏的指令可能 trick 你的 Agent 执行未授权操作
网络暴露风险:Gateway 直接绑定公网 IP、弱 auth token、SSH 端口被持续扫描
凭证泄露隐患:工具权限过大 + 会话管理不当 = 攻击者拿到你的 API Key 和 SSH 访问权
Reddit 上有用户直言:"OpenClaw 的安全性比我预期的更糟糕"。但好消息是,通过正确的配置,你可以把 OpenClaw 变得"防弹"(bulletproof)且"隐形"(invisible)。
技术解读:如何打造"防弹 + 隐形"的 OpenClaw
第一层:网络隔离(Tailscale Serve)
核心思路:不暴露任何公网端口,所有流量走加密 Mesh 网络。
# 错误做法:直接绑定 0.0.0.0:8888
gateway.bind = "0.0.0.0:8888"
# 正确做法:绑定 localhost + Tailscale Serve
gateway.bind = "127.0.0.1:8888"
tailscale serve --tls --funnel 127.0.0.1:8888效果:
• 公网扫描器看不到任何开放端口 • 只有通过 Tailscale 认证的设备才能访问 • 流量端到端加密,中间人无法窃听
第二层:提示词注入防护(ACIP + PromptGuard)
社区共识方案:
• 输入清洗:在 Agent 处理任何外部内容前,用正则过滤可疑指令模式 • 指令分离:System Prompt 与用户数据严格隔离,用 XML 标签包裹外部输入 • 输出验证:执行敏感操作前,检查输出是否包含未授权指令 • 人工审批:对 exec、文件写入、网络请求等高风险工具设置 security=full
# config.yaml 示例
security:
mode: "full" # 所有工具调用需人工审批
autoAllowSkills: false # 禁止自动授权新技能
strictInlineEval: true # 严格的内联评估第三层:最小权限原则
关键配置:
• 会话级凭证:每个会话使用独立的 API Key,泄露后影响范围可控 • 工具权限收缩:只开放必要的工具,禁用危险工具(如 exec 在生产环境) • 凭证轮换:设置 token 有效期(建议 24-48 小时),自动轮换
第四层:硬件隔离(推荐)
社区强烈建议:不要在主力机上运行 OpenClaw。
推荐方案:
• 树莓派:物理隔离,即使被攻破也只损失一个 Pi • 专用 VPS:选择支持私有网络的 VPS 服务商(如 Hostinger、Contabo) • 虚拟机:用 QEMU/KVM 创建隔离环境,限制网络访问
实用建议:5 步安全配置清单
按照以下顺序执行,2 小时内完成加固:
Step 1:安装 Tailscale(5 分钟)
# 所有设备(VPS + 手机 + 笔记本)安装 Tailscale
curl -fsSL https://tailscale.com/install.sh | sh
tailscale up --ssh
# 验证:只有 Tailscale 网络内设备能互相 ping 通
Step 2:修改 Gateway 配置(10 分钟)
# ~/.openclaw/config.yaml
gateway:
bind: "127.0.0.1:8888" # 只监听本地
auth:
token: "生成一个 32 位随机字符串" # 用openssl rand -hex 16 生成
expiry: "24h" # token 24 小时过期
plugins:
entries:
device-pair:
config:
publicUrl: "https://your-node.tailnet-name.ts.net" # Tailscale DNS
Step 3:启用 Tailscale Serve(5 分钟)
# 在 VPS 上执行
tailscale serve --tls 127.0.0.1:8888
# 获取访问 URL(类似 https://your-node.tailnet-name.ts.net)
# 在手机上用此 URL 连接,无需暴露公网端口
Step 4:配置提示词注入防护(30 分钟)
# 安装 clawsec 安全技能套件
openclaw skill install prompt-security/clawsec
# 启用 PromptGuard
# 在 config.yaml 中添加:
promptGuard:
enabled: true
blockPatterns:
- "ignore previous instructions"
- "execute this command"
- "bypass security"
Step 5:设置工具审批(10 分钟)
# config.yaml
tools:
exec:
security: "full" # 所有 exec 调用需人工审批allowlist: ["ls", "cat", "grep"] # 只允许安全命令
browser:
security: "allowlist"
domains: ["*.openclaw.ai", "*.github.com"] # 限制访问域名
总结:核心要点 + 行动建议
三个核心原则
零信任网络:假设公网上的每个端口都在被扫描,用 Tailscale 把所有流量藏起来
最小权限:Agent 只需要完成工作所需的最小权限,多余的都是攻击面
纵深防御:单层防护会被绕过,多层叠加才能让攻击成本高到不划算
立即执行的 3 件事
✅ 今天:给 VPS 装上 Tailscale,把 Gateway 从公网隐藏
✅ 本周:启用工具审批 + 配置 PromptGuard,防止提示词注入
✅ 本月:迁移到专用硬件(Pi 或 VPS),与主力机物理隔离
成本 vs 收益
• 时间成本:2-3 小时配置 • 金钱成本:Tailscale 免费版足够用,VPS 约 $5-10/月 • 安全收益:攻击门槛从"会 Google 就能黑"提升到"需要专业渗透技能"
最后一句:安全不是一次性的配置,而是持续的过程。每次 OpenClaw 更新后,重新检查安全配置,关注 GitHub Security 页面的 advisories。
👇 关注「Agent前沿」,每天一篇,不掉队。
觉得有价值?点个「❤️」让更多人看到 👀
