OpenClaw安全风险与加固指南

文章总结： 该文档剖析OpenClaw面临恶意Skills窃密、公网暴露及权限过大等风险，引用真实攻击案例警示。提出网络隔离、低权限运行、强认证及Docker沙箱等加固步骤，并提供个人自查指南与安全配置模板。强调使用skill-vetter审核插件，落实本地运行与最小权限原则以保障安全。 综合评分： 89 文章分类： 安全建设,AI安全,应用安全,安全意识

原创

FOL FOL

OneMore SEC

2026年3月11日 00:00 北京

从公开信息及工信部预警来看，OpenClaw 的风险点主要集中在以下几类：

2026年3月，OpenClaw社区爆发大规模安全事件，造成严重损失：

• • 恶意 Skills 数量：1,892个恶意Skills潜伏在ClawHub
• • 攻击包数量：945个攻击包伪装成正常工具
• • 受害者损失：SSH密钥、加密钱包、浏览器密码、企业内部数据被窃取
• • 攻击者获利：超过 $3.7M（约2600万人民币）

常见恶意 Skills 伪装：

• • ❌ “SEO优化大师” → 偷取API密钥
• • ❌ “数据分析助手” → 读取服务器密钥
• • ❌ “自动化脚本” → 发送数据到外部服务器

攻击代码示例：

一个恶意Skill可能导致全部资产归零，必须高度警惕。

• • OpenClaw 默认监听公网 IP（0.0.0.0）
• • 超过 35 万个实例因公网暴露已被列入高危清单
• • 成为黑客扫描和攻击的直接目标

• • 默认拥有执行系统命令的能力
• • 若以 root 身份运行，一旦失控将造成毁灭性后果
• • exec/browser/file 等高危工具对低信任输入开放

• • 默认配置可能无密码访问
• • 缺少设备白名单机制
• • 未启用 JWT Token 认证

• • API Key、Webhook、账号密钥明文散落
• • 配置文件中硬编码敏感信息
• • 缺少密钥定期轮换机制

• • 无法回放”谁执行了什么”
• • 关键操作没有留痕
• • 缺少异常行为告警
• 

这是最重要的一步，可阻断 90% 的黑客攻击。

操作步骤 1：修改监听地址为本地回环

命令行方式：

配置文件方式（Windows）：

1. 1. 找到 OpenClaw 安装文件夹（通常在 ）
2. 2. 找到  或  文件，用记事本打开
3. 3. 找到以下行：

改为：

4. 4. 保存文件，重启 OpenClaw

验证： 打开浏览器输入 ，如果无法访问，则配置成功。

openclaw docker 教程

操作步骤 2：如需远程访问，使用加密隧道

推荐方案： Tailscale 或 Cloudflare Tunnel

Tailscale 示例：

Cloudflare Tunnel 示例：

注意：避免使用 Funnel 模式，选择 Serve 模式建立点对点加密连接。

操作步骤 3：云服务器安全组配置

1. 1. 登录阿里云/腾讯云控制台
2. 2. 进入轻量应用服务器 → 安全组
3. 3. 禁止放行 18789 端口给 0.0.0.0/0
4. 4. 仅对可信 IP 白名单开放，或通过反向代理访问

操作步骤 1：创建专用低权限用户

操作步骤 2：授予必要权限（仅限 Docker 操作）

操作步骤 3：切换用户并重启服务

关键配置说明：

• • ：禁用特权模式，防止容器逃逸
• • 使用非 root 用户运行服务

操作步骤 1：启用 JWT Token 认证

保存生成的 token，用于客户端登录。

操作步骤 2：配置 Gateway 密码保护

在  中设置：

密码设置原则：

• • 使用 16 位以上随机字符串
• • 避免弱口令（admin、 等）
• • 建议格式：单词 + 数字 + 符号，至少 12 位

操作步骤 3：设备白名单（Allowlist）模式

启用新设备接入审批机制，防止非法终端接入。

操作步骤 4：RBAC 角色控制

OpenClaw 内置 RBAC 权限体系，支持三种角色：

• • 管理员：可改配置、看日志
• • 编辑者：可创建/修改任务
• • 只读访客：仅能查看，适合外部协作

操作步骤 1：配置 docker-compose.yml 实现最小权限

关键配置说明：

• • ：只读挂载工作区目录
• • ：剥离所有系统特权
• • ：禁止外网连接

操作步骤 2：挂载目录权限控制

• • 所有工作区目录应以 （只读）方式挂载
• • 禁止挂载根目录  或用户主目录全量映射

操作步骤 1：启用 OpenClaw 详细日志

操作步骤 2：定期检查日志文件

操作步骤 3：配置异常告警机制

当检测到”异地登录”、”批量删除”等行为时，自动发送通知至邮箱或 Telegram。

可结合脚本实现熔断机制：

快速自检： 打开浏览器，输入 

• • 如果出现 OpenClaw 的登录界面 → 危险！你已被暴露
• • 如果显示”无法访问” → 暂时安全

查 IP 方式： 百度搜”IP”，第一个结果就是。

参考 网络隔离：关闭公网暴露 章节。

懒人版：如果找不到配置文件，直接卸载重装，安装时遇到”允许网络访问”的选项，一律选”否”或”仅本地”。

1. 1. 打开 OpenClaw 的 Web 界面（浏览器输入 ）
2. 2. 找到”设置” → “安全” → “修改密码”
3. 3. 开启”每次启动都需要密码”选项

必须关闭的权限：

| 权限 | 为什么危险 | 如何关闭 | | — | — | — | | 自动执行代码 | 黑客可远程控制你的电脑 | 设置 → 关闭”允许执行本地脚本” | | 访问浏览器 | 可窃取你的登录态和 Cookie | 设置 → 关闭”浏览器自动化” | | 访问邮件客户端 | 可自动发送/删除邮件 | 设置 → 关闭”邮件集成” | | 访问支付软件 | 可直接转账 | 设置 → 关闭”支付相关 API” |

每周花 30 秒，确认以下事项：

• • OpenClaw 版本是否为最新？（旧版本有漏洞）
• • 最近有没有安装来路不明的”技能”（Skill）？
• • 电脑有没有变慢/发热/异常风扇声？（可能被挖矿）
• • 浏览器有没有弹出奇怪的广告？（可能被劫持）

如果你怀疑已经被黑客入侵：

1. 1. 立即断网（拔掉网线或关闭 WiFi）
2. 2. 结束 OpenClaw 进程（Ctrl+Alt+Delete 打开任务管理器，找到 OpenClaw 相关进程，右键”结束任务”）
3. 3. 修改所有重要账户密码（邮箱、网银、社交账号）
4. 4. 卸载 OpenClaw，重新安装时严格按本文步骤配置
5. 5. 全盘杀毒，检查是否有后门程序

| 项目 | 推荐做法 | | — | — | | API密钥管理 | 使用 .env 文件管理，严禁硬编码 | | 系统更新 | 每月更新 OpenClaw 版本与系统补丁 | | 数据备份 | 每周备份配置与数据卷，防止勒索攻击 | | 技能安装 | 仅从官方 ClawHub 安装，避免第三方来源 | | 安全审核 | 安装 skill-vetter 进行技能安全审核 |

skill-vetter 是你的 OpenClaw 安全守门员，安装任何 Skill 前必须先过它这关。

安装方法：

4步安全审核流程：

第1步：来源检查

• • 作者是谁？可信吗？
• • 下载量多少？
• • GitHub Stars 多少？
• • 最近更新吗？
• • 社区评价如何？

第2步：代码审查（最重要） 检查20+危险信号，看到就警惕：

• • 🚨 curl 到未知 URL
• • 🚨 读取 ~/.ssh, ~/.aws（服务器密钥）
• • 🚨 访问 MEMORY.md/USER.md（记忆文件）
• • 🚨 eval() 执行外部代码
• • 🚨 base64 解码运行（隐藏恶意代码）
• • 🚨 混淆/压缩/编码的代码（看不清做什么）

第3步：权限评估

• • 要读哪些文件？
• • 要访问哪些网站？
• • 要执行什么命令？

第4步：风险分级

• • 🟢 LOW → 直接装（如：笔记整理、天气查询）
• • 🟡 MEDIUM → 仔细看代码（如：浏览器控制）
• • 🔴 HIGH → 找大佬确认（如：交易操作）
• • ⛔ EXTREME → 千万别装（如：要求 root 权限）

安全安装流程：

1. 1. 看到想装的 Skill
2. 2. 先用 skill-vetter 审核
3. 3. 检查4步流程
4. 4. 判断风险等级
5. 5. 按风险等级决定是否安装

已审核的 Safe Skills 推荐：

🟢 LOW 风险（放心装）：

• • skill-vetter（安全审核）- 必须先装！
• • tavily-search（AI搜索）- 免费好用
• • summarize（内容总结）- 读长文神器
• • humanizer（文本优化）- 去AI痕迹

🟡 MEDIUM 风险（需确认）：

• • agent-browser（浏览器控制）
• • playwright-scraper（爬虫）
• • feishu-doc（飞书文档操作）

⛔ EXTREME 风险（千万别装）：

• • 任何要求 root 权限的
• • 任何读取 ~/.ssh 的
• • 任何发送数据到外部的
• • 任何混淆代码看不清的

⚠️ 不要随意安装 buy-anything、auto-shell 类高危技能，已有案例显示其可诱导 AI 窃取信用卡信息。

“本地运行 + 强密码 + 少给权限 + 不装来路不明的插件”

做到这四点，你的 OpenClaw 就比 90% 的用户安全。

OpenClaw 是个强大的工具，但工具越强大，用错代价越大。花 5 分钟做安全设置，换来的是安心使用。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OneMore SEC FOL FOL《OpenClaw 安全风险与加固指南》