> 作者:点小安
> 分类:OpenClaw入门
> 阅读时间:14分钟
> 关键词:OpenClaw安全、部署陷阱、安全加固、CVE漏洞
—
OpenClaw火了。
GitHub星标24万,下载量暴涨,朋友圈到处都是”我用OpenClaw实现了xxx自动化”。
但是——
2026年初,OpenClaw接连爆发安全事件:一键远程代码执行漏洞、超4万个实例公网暴露、技能市集中36.8%的恶意包……
这些数字不是吓唬人,是真实发生的安全事故。
今天这篇文章,就是帮你在部署前先看清这十大安全陷阱。踩过一个,可能就翻车了。
—
OpenClaw有个设计缺陷:对所有来自127.0.0.1的连接自动授权,不需要密码、Token或任何身份校验。
更致命的是,它无法正确识别反向代理转发的真实来源IP,会把所有代理请求都当作”本地连接”,直接给最高权限。
攻击者利用反向代理当跳板,把外部请求伪装成本地请求,完美绕过所有认证。
“`json
{
“gateway”: {
“auth”: {
“mode”: “token”,
“token”: “your-long-random-token-here”
}
}
}
“`
要点:无论来源是不是localhost,必须启用token认证。同时确保Nginx/Caddy正确设置X-Forwarded-For头。
—
OpenClaw默认监听18789端口,不做任何隐藏。服务横幅还会暴露版本信息。
攻击者用Shodan搜索”port:18789″,就能批量找到公网暴露的实例。
全球超4万个OpenClaw部署暴露在公网,63%存在已知漏洞。
“`bash
openclaw –port 65001
“`
要点:
1. 修改默认端口到高位端口(1024-65535)
2. 关闭版本信息暴露
3. 防火墙只允许必要IP访问
—
OpenClaw的控制界面会从URL读取网关地址,不验证就自动连接,还会把网关令牌直接发送到WebSocket。
服务器也不校验Origin请求头,任何网站都能发起WebSocket连接。
用户点击一个恶意链接,攻击者毫秒级完全控制OpenClaw实例。
– 启用Origin校验
– URL参数白名单验证
– 令牌加密存储
要点:必须使用2026.1.29或更高版本,该版本修复了这个漏洞。
—
OpenClaw通常在Docker容器里运行,但默认配置可能有逃逸风险。
如果容器以特权模式运行、挂载了敏感目录、或配置了不安全的用户权限,攻击者可能突破容器边界,直接操作主机。
CVE-2026-24763:Docker沙箱逃逸漏洞,允许Agent突破容器访问主机系统。
“`json
{
“agents”: {
“defaults”: {
“sandbox”: {
“mode”: “all”
}
}
}
}
“`
要点:
1. 强制所有会话在Docker容器内执行
2. 容器内使用普通用户,禁止root
3. 只挂载必要目录,使用只读模式
—
OpenClaw默认有接近系统级的操作权限。如果直接在主系统以管理员权限运行,被恶意利用可能误删文件或执行危险命令。
通过提示词注入诱导AI执行rm -rf等危险命令。
“`json
{
“tools”: {
“deny”: [“group:runtime”, “sys_shutdown”],
“allow”: [“group:fs”, “group:browser”, “web_search”]
}
}
“`
要点:
1. 建立工具黑白名单
2. 高危操作强制人工确认
3. 定期审计工具使用记录
—
ClawHub技能市集缺乏严格审核。攻击者上传伪装成合法工具的恶意Skills,利用SKILL.md诱导用户执行恶意命令。
2026年2月的ClawHavoc事件,ClawHub被注入1184个恶意技能,占比36.8%。
– 只从官方Verified来源安装
– 安装前检查SKILL.md文件
– 使用扫描工具预检
要点:curl | bash这种命令,执行前一定要看清楚内容。
—
OpenClaw默认以明文存储API密钥、令牌等敏感信息在配置文件里。
任何能访问主机的进程都能读取。
信息窃取恶意软件已更新模式,专门扫描OpenClaw配置文件。
“`bash
export OPENAI_API_KEY=”sk-…”
export OPENCLAW_GATEWAY_TOKEN=”your-token”
“`
要点:
1. 用环境变量替代硬编码密钥
2. 配置文件权限设为600
3. 使用操作系统密钥环
—
AI代理容易受提示词注入攻击。攻击者通过网页、邮件嵌入恶意指令,诱导Agent读取敏感文件并外发数据。
恶意指令可隐藏在邮件签名、网页注释或PDF元数据中,隐蔽性极高。
– 对AI处理的内容进行严格过滤
– 对AI生成的指令进行二次审计
– 浏览器自动化在隔离环境中进行
—
很多人为求方便,把监听地址从127.0.0.1改成0.0.0.0,允许所有外部IP访问。
如果不设复杂身份验证,核心端口就是直接攻击入口。
服务可直接从互联网访问,攻击者可进行暴力破解。
“`json
{
“gateway”: {
“bind”: “loopback”,
“port”: 18789
}
}
“`
要点:
1. 始终绑定127.0.0.1或loopback
2. 远程访问必须走VPN/SSH隧道
3. 任何访问都要身份验证
—
很多部署缺乏基本审计和监控。操作日志不保存、异常行为无告警、安全事件无记录。
发生安全事件后无法追溯原因和责任,也无法满足合规审计要求。
“`bash
openclaw security audit –deep
openclaw security audit –fix
“`
要点:
1. 启用详细日志
2. 定期安全审计
3. 设置异常告警
—
“`json
{
“gateway”: {
“mode”: “local”,
“bind”: “loopback”,
“port”: 65001,
“auth”: {
“mode”: “token”,
“token”: “your-strong-random-token”
}
},
“agents”: {
“defaults”: {
“sandbox”: {
“mode”: “all”,
“workspaceAccess”: “ro”
}
}
},
“tools”: {
“deny”: [“group:runtime”, “sys_shutdown”],
“allow”: [“group:fs”, “group:browser”, “web_search”]
},
“logging”: {
“redactSensitive”: “tools”,
“redactPatterns”: [“token”, “api_key”, “secret”]
}
}
“`
—
| 检查项 | 状态 |
|——–|:—-:|
| 使用专用服务器/隔离环境 | ⬜ |
| 运行用户是普通用户 | ⬜ |
| 仅监听localhost | ⬜ |
| 使用最新安全版本 | ⬜ |
| 配置文件有加密备份 | ⬜ |
—
OpenClaw的强大功能伴随着相应的安全责任。
部署前的安全规划不是可选项,是必须项。
安全是一个持续的过程,不是一次性配置。定期运行安全审计、关注官方安全公告、及时应用更新,这些习惯比任何技术措施都重要。
—
点小安 | 点滴安全实验室
专注AI安全实战,让技术真正落地。