夜雨聆风作为一个能直接执行系统命令、读写文件的框架,openclaw权限极高,我们必须在思想上把它当作一个拥有高权限的远程访问工具来对待。
配置openclaw的核心安全原则,可以概括为三个词:隔离、最小化、可审计。
🛡️ 1. 隔离:让“龙虾”住进“专有房间”
首先,也是最重要的一步,就是把openclaw和其他服务分开,避免它影响到日常使用。
使用专用设备或虚拟环境:国家互联网应急中心(CNCERT)等机构明确建议,不要在日常办公电脑上安装
openclaw。把它放在一台不常用的备用电脑、一个Docker容器或虚拟机(如VMware/VirtualBox)里,是防止它意外访问或修改个人数据的物理手段。
🔒 2. 最小化:限制“龙虾”的行动范围和权限
这是最关键的一环,限制openclaw的“手脚”,即使它犯错,造成的破坏也有限。
防火墙端口隔离:
openclaw网关默认的18789和19890端口,绝对不要暴露在公网。在防火墙中,应配置为仅允许本机(127.0.0.1)或内网可信IP访问。若必须公网访问,务必通过反向代理(如 Nginx)加 HTTPS 和强认证进行前置保护。严格限制可用工具:这是“最小化”原则的核心。在
openclaw.json配置文件中,你可以精细地控制 AI 能调用的所有工具。全局拒绝:
tools.deny可以明确禁止一批高风险工具,它的优先级最高。配置示例:
json
"tools":{
"profile":"full",
"deny":[
"exec",// 禁止执行任意系统命令
"browser",// 禁止浏览器控制
"process",// 禁止进程管理
"cron",// 禁止修改定时任务
"web_search",// 禁止联网搜索
"file_write"// 禁止写入文件
]}核心工具分析:下表列出了
openclaw的一些核心工具及其风险等级,你可以根据此表制定自己的deny列表。
exec | 极高 | 强烈建议禁止 | |
process | 高 | 强烈建议禁止 | |
browser | 高 | 建议禁止 | |
cron | 高 | 建议禁止 | |
web_search | 中 | 建议禁止 | |
file_write | 中 | 建议谨慎评估 | |
message | 中 | ||
canvas | 低 | ||
nodes | 低 | ||
read | 低 |
注意:
exec和process工具之所以风险极高,是因为它们赋予了 AI 直接操作操作系统的能力,一旦被恶意提示词诱导或配置失误,攻击者可直接在服务器上运行恶意代码。
禁用高危特性:运行
openclaw config set skills.autoInstall false来禁止技能自动安装,这能有效阻止恶意技能被无意中加载。精简系统提示词:检查你配置文件中的
systemPrompt字段,确保没有不必要的、过长的提示词。这不仅关乎安全,也能提升AI的响应速度。
🔑 3. 身份认证与访问控制:确认“访客”身份
强制开启网关认证:无论网关在哪儿,都必须开启认证。使用
openclaw security audit命令会检查此项。你可以用openssl rand -base64 32生成一个足够复杂且随机的gateway.auth.token。严格执行“最小信任”原则:永远不要让你不信任的人直接与你处于同一 AI 会话中。对于多用户或共享场景,最佳实践是为每个用户创建独立的操作系统账户和独立的网关实例。你也可以利用
channel配置的dmPolicy和groupPolicy等字段,通过“白名单”机制来限制访问。
🔎 4. 审计与监控:给“龙虾”装上“摄像头”
定期运行安全审计:养成习惯,在更改配置或网络环境后,运行
openclaw security audit命令。它可以扫描并标记出常见的安全隐患,如认证暴露、权限过高等。配合--deep或--fix参数可以进行更深入的分析或尝试自动修复。实施文件完整性监控:对于重要部署,可以考虑使用
auditctl等工具监控openclaw的关键目录(如配置文件目录、skill目录)的变化,以便及时发现异常的文件篡改。保持最新版本:
openclaw迭代很快,新版本通常会修复已知的安全漏洞。请务必订阅官方渠道,并及时更新。
🧪 5. 沙箱逃逸风险:一个需要警惕的已知问题
openclaw的沙箱机制虽然旨在隔离运行,但历史上也发现过几个沙箱逃逸的漏洞。
CVE-2026-32048:该漏洞允许攻击者从沙箱会话中创建不受限制的子进程,从而绕过沙箱限制。
CVE-2026-27646:这是一个更严重的认证绕过漏洞,可使攻击者通过
/acp spawn命令直接跳出沙箱,访问宿主机的ACP运行时。CVE-2026-32002:此漏洞使得沙箱内的
image工具可以无视tools.fs.workspaceOnly的限制,从而读取沙箱目录外的文件。
这些漏洞的存在再次强调了及时升级到最新版、以及将openclaw部署在独立虚拟环境中的重要性。
💎 总结
确保openclaw的安全性是一个持续的过程,而非一次性配置。以下是总结的关键步骤清单:
【环境隔离】:使用Docker或虚拟机部署,绝不在日常电脑上运行。
【权限收敛】:在配置文件中通过
tools.deny明确拒绝exec,process,browser,cron等高危工具。【最小化操作】:禁用技能自动安装,精简系统提示词。
【访问控制】:确保网关强认证,利用渠道的“白名单”功能限制对话方。
【定期审计】:定期运行
openclaw security audit,并及时更新版本。
请记住,安全配置没有终点,根据使用场景的变化持续调整和迭代,才是守护你数字世界的最佳方式。
