OpenClaw部署必须落实五项安全措施:一、禁公网暴露默认端口,绑定127.0.0.1;二、物理或逻辑隔离运行环境;三、禁用明文API密钥与自动插件更新;四、关闭高危工具并启用人工确认;五、启用审计日志与内存加密。
☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 免费无限量使用 DeepSeek R1 模型☜☜☜
如果您正在部署或已经运行OpenClaw,但尚未实施基础安全防护措施,则可能面临文件误删、API密钥泄露、公网远程控制甚至账号永久封禁等现实风险。以下是OpenClaw安全基础注意事项的实操说明:
一、禁止默认端口公网暴露
OpenClaw默认监听端口18789并绑定0.0.0.0,若未加限制,全球扫描器可直接发现并尝试利用已知漏洞(如CVE-2026-25253),导致远程代码执行。必须将服务范围严格限定在本地可信环境。
1、编辑OpenClaw主配置文件(通常为config.yaml或.env)。
2、定位host或BIND_ADDRESS字段,将其值由0.0.0.0修改为127.0.0.1。
3、确认port字段未被设为任意通配(如0或*),应明确指定为18789或自定义非默认端口。
4、重启OpenClaw服务使配置生效。
二、实施运行环境物理或逻辑隔离
OpenClaw具备文件系统读写、Shell命令执行等高危能力,一旦失控或遭注入攻击,将直接影响宿主系统安全。隔离是阻断风险传导的第一道屏障。
1、普通用户应仅在无敏感数据的备用设备(如旧笔记本、闲置Mac Mini)上部署,严禁使用主力办公电脑。
2、技术用户推荐使用Docker容器启动,运行命令中加入--network=none和--read-only参数限制网络与文件系统权限。
3、企业用户须通过虚拟机(如VirtualBox)或云桌面划分独立操作间,确保OpenClaw实例无法访问生产数据库、业务文件等核心资产。
三、禁用明文凭证与自动插件更新
环境变量中硬编码API密钥、插件自动从非签名源拉取,是当前最常见且高危的配置错误。恶意插件可在后台静默窃取~/.clawdbot目录下全部记忆与凭证。
1、删除所有含OPENCLAW_API_KEY、GOOGLE_API_KEY等关键字的明文行,改用密码管理器生成临时令牌并按需注入。
2、在配置文件中将auto_update_plugins设为false,并手动验证每个插件的Git提交哈希与开发者PGP签名。
3、检查/root/.clawdbot或%USERPROFILE%\.clawdbot目录权限,执行chmod 700(Linux/macOS)或启用Windows ACL独占控制。
四、关闭高危工具权限并启用人工确认
OpenClaw默认启用delete_file、format_disk、send_email等工具,模型推理错误或提示注入可触发不可逆操作。必须按最小权限原则裁剪能力集。
1、打开tools/目录,重命名或移除delete.py、shell_exec.py、email_sender.py等高危模块文件。
2、在主配置中显式声明enabled_tools: ["web_search", "file_read"],其余工具不列入白名单即不可调用。
3、对剩余必要工具(如file_write)添加二次确认开关,在执行前强制弹出终端提示并等待用户输入Y回车。
五、启用操作日志审计与内存加密
缺乏行为追溯能力将导致攻击发生后无法定位源头。所有命令执行、插件调用、API请求均需落盘记录,且敏感上下文不得以明文驻留内存。
1、在配置中启用log_level: "DEBUG"并指定log_path: "/var/log/openclaw/audit.log"。
2、确认日志文件属主为非root低权限用户,权限设置为640,禁止组外读取。
3、使用openssl enc -aes-256-cbc对memory.md等记忆文件进行加密存储,解密密钥不存于配置中,每次启动时人工输入。
