共计 3078 个字符,预计需要花费 8 分钟才能阅读完成。
OpenClaw 火了。
GitHub 星标 24 万,下载量暴涨,朋友圈到处都是 ” 我用 OpenClaw 实现了 xxx 自动化 ”。
但是——
2026 年初,OpenClaw 接连爆发安全事件:一键远程代码执行漏洞、超 4 万个实例公网暴露、技能市集中 36.8% 的恶意包……
这些数字不是吓唬人,是真实发生的安全事故。
今天这篇文章,就是帮你在部署前先看清这十大安全陷阱。踩过一个,可能就翻车了。
陷阱一:信任边界模糊——localhost 的无条件信任
问题
OpenClaw 有个设计缺陷:对所有来自 127.0.0.1 的连接自动授权,不需要密码、Token 或任何身份校验。
更致命的是,它无法正确识别反向代理转发的真实来源 IP,会把所有代理请求都当作 ” 本地连接 ”,直接给最高权限。
风险
攻击者利用反向代理当跳板,把外部请求伪装成本地请求,完美绕过所有认证。
解决方案
{
"gateway": {
"auth": {
"mode": "token",
"token": "your-long-random-token-here"
}
}
}要点 :无论来源是不是 localhost,必须启用 token 认证。同时确保 Nginx/Caddy 正确设置 X -Forwarded-For 头。
陷阱二:默认端口暴露——18789 端口的公网扫描
问题
OpenClaw 默认监听 18789 端口,不做任何隐藏。服务横幅还会暴露版本信息。
攻击者用 Shodan 搜索 ”port:18789″,就能批量找到公网暴露的实例。
风险
全球超 4 万个 OpenClaw 部署暴露在公网,63% 存在已知漏洞。
解决方案
# 启动时指定非标准端口
openclaw --port 65001要点 :
- 修改默认端口到高位端口(1024-65535)
- 关闭版本信息暴露
- 防火墙只允许必要 IP 访问
陷阱三:WebSocket 劫持——令牌泄露漏洞
问题
OpenClaw 的控制界面会从 URL 读取网关地址,不验证就自动连接,还会把网关令牌直接发送到 WebSocket。
服务器也不校验 Origin 请求头,任何网站都能发起 WebSocket 连接。
风险
用户点击一个恶意链接,攻击者毫秒级完全控制 OpenClaw 实例。
解决方案
- 启用 Origin 校验
- URL 参数白名单验证
- 令牌加密存储
要点 :必须使用 2026.1.29 或更高版本,该版本修复了这个漏洞。
陷阱四:容器逃逸风险——Docker 沙箱配置不当
问题
OpenClaw 通常在 Docker 容器里运行,但默认配置可能有逃逸风险。
如果容器以特权模式运行、挂载了敏感目录、或配置了不安全的用户权限,攻击者可能突破容器边界,直接操作主机。
风险
CVE-2026-24763:Docker 沙箱逃逸漏洞,允许 Agent 突破容器访问主机系统。
解决方案
{"agents": {"defaults": {"sandbox": {"mode": "all"}
}
}
}要点 :
- 强制所有会话在 Docker 容器内执行
- 容器内使用普通用户,禁止 root
- 只挂载必要目录,使用只读模式
陷阱五:权限滥用——高危工具无限制
问题
OpenClaw 默认有接近系统级的操作权限。如果直接在主系统以管理员权限运行,被恶意利用可能误删文件或执行危险命令。
风险
通过提示词注入诱导 AI 执行 rm -rf 等危险命令。
解决方案
{"tools": {"deny": ["group:runtime", "sys_shutdown"],
"allow": ["group:fs", "group:browser", "web_search"]
}
}要点 :
- 建立工具黑白名单
- 高危操作强制人工确认
- 定期审计工具使用记录
陷阱六:供应链攻击——恶意 Skills 生态
问题
ClawHub 技能市集缺乏严格审核。攻击者上传伪装成合法工具的恶意 Skills,利用 SKILL.md 诱导用户执行恶意命令。
风险
2026 年 2 月的 ClawHavoc 事件,ClawHub 被注入 1184 个恶意技能,占比 36.8%。
解决方案
- 只从官方 Verified 来源安装
- 安装前检查 SKILL.md 文件
- 使用扫描工具预检
要点 :curl | bash 这种命令,执行前一定要看清楚内容。
陷阱七:数据泄露——明文存储敏感信息
问题
OpenClaw 默认以明文存储 API 密钥、令牌等敏感信息在配置文件里。
任何能访问主机的进程都能读取。
风险
信息窃取恶意软件已更新模式,专门扫描 OpenClaw 配置文件。
解决方案
export OPENAI_API_KEY="sk-..."
export OPENCLAW_GATEWAY_TOKEN="your-token"要点 :
- 用环境变量替代硬编码密钥
- 配置文件权限设为 600
- 使用操作系统密钥环
陷阱八:提示词注入——间接指令执行
问题
AI 代理容易受提示词注入攻击。攻击者通过网页、邮件嵌入恶意指令,诱导 Agent 读取敏感文件并外发数据。
风险
恶意指令可隐藏在邮件签名、网页注释或 PDF 元数据中,隐蔽性极高。
解决方案
- 对 AI 处理的内容进行严格过滤
- 对 AI 生成的指令进行二次审计
- 浏览器自动化在隔离环境中进行
陷阱九:网络暴露——错误绑定 0.0.0.0
问题
很多人为求方便,把监听地址从 127.0.0.1 改成 0.0.0.0,允许所有外部 IP 访问。
如果不设复杂身份验证,核心端口就是直接攻击入口。
风险
服务可直接从互联网访问,攻击者可进行暴力破解。
解决方案
{
"gateway": {
"bind": "loopback",
"port": 18789
}
}要点 :
- 始终绑定 127.0.0.1 或 loopback
- 远程访问必须走 VPN/SSH 隧道
- 任何访问都要身份验证
陷阱十:审计缺失——无监控与日志记录
问题
很多部署缺乏基本审计和监控。操作日志不保存、异常行为无告警、安全事件无记录。
风险
发生安全事件后无法追溯原因和责任,也无法满足合规审计要求。
解决方案
# 定期运行安全审计
openclaw security audit --deep
openclaw security audit --fix要点 :
- 启用详细日志
- 定期安全审计
- 设置异常告警
安全配置模板(复制即用)
{
"gateway": {
"mode": "local",
"bind": "loopback",
"port": 65001,
"auth": {
"mode": "token",
"token": "your-strong-random-token"
}
},
"agents": {
"defaults": {
"sandbox": {
"mode": "all",
"workspaceAccess": "ro"
}
}
},
"tools": {"deny": ["group:runtime", "sys_shutdown"],
"allow": ["group:fs", "group:browser", "web_search"]
},
"logging": {
"redactSensitive": "tools",
"redactPatterns": ["token", "api_key", "secret"]
}
}部署前检查清单
| 检查项 | 状态 |
|---|---|
| 使用专用服务器 / 隔离环境 | ⬜ |
| 运行用户是普通用户 | ⬜ |
| 仅监听 localhost | ⬜ |
| 使用最新安全版本 | ⬜ |
| 配置文件有加密备份 | ⬜ |
最后提醒
OpenClaw 的强大功能伴随着相应的安全责任。
部署前的安全规划不是可选项,是必须项。
安全是一个持续的过程,不是一次性配置。定期运行安全审计、关注官方安全公告、及时应用更新,这些习惯比任何技术措施都重要。
点小安 | 点滴安全实验室
专注 AI 安全实战,让技术真正落地。
关于点小安 :点滴安全网站小编,专注 AI 安全攻防技术分享。
声明 :本文为点滴安全原创,观点仅供参考,不构成安全建议。
关注点滴安全(dripsafe.cn),获取更多 AI 安全资讯!
