夜雨聆风四个默认配置,拼出一条完整攻击路径
框架层加固:平台兜底之外,仍需主动完成的部分平台解决了基础设施的问题,但 OpenClaw 自身的配置加固需要你亲自动手。五个方向: 1. 网络访问:把大门敞开变成只认钥匙 检查 OpenClaw.json,确保服务未监听在 0.0.0.0。建议监听 127.0.0.1:18789 并通过 SSH 隧道访问,同时配置 IP 白名单和 Token 认证。 2. 权限控制:给 OpenClaw 刚好够用的权限,一分不多 禁止 root 运行,创建专用账户;配置文件权限设为仅所有者可读;禁用 Skill 自动安装,防止恶意技能自动加载。 3. Skill 审计:装插件之前先过一道安检 使用官方审计工具(skill-vetter 或 yidun-skill-sec(虾壳)),自动化检测 Skill 中的高危行为(如读取敏感目录、执行 shell、外联未知域名),建议开启全局自动扫描。 4. 日常运维:加固不是一次性动作 开启审计日志,定期审查可疑操作;定期运行系统体检;及时更新框架和插件版本。 5. 应急响应:为极端场景做好兜底 标准流程:隔离(限制入方向流量或关闭 18789 端口)→ 暂停服务(保留现场)→ 轮换凭证(LAS 用户可在控制台一键完成)→ 分析排查 → 从干净环境重建恢复。 先守住安全基线,再释放龙虾的全部能力 基础设施层的安全交给平台,框架层的加固按指南逐项完成。如果你的 OpenClaw 已经跑在云服务器上,建议今天就对照加固指南检查一遍。如果还没有部署,不妨从一个安全基线更高的起点开始。
点击「阅读原文」立即体验七牛云 LAS。
朋友们都在看
