对于希望尽快完成 OpenClaw 安装部署的用户,可先下载 Claw龙虾部署大师,一键完成 OpenClaw 部署。完成部署后,再结合本文逐项核查 Gateway 绑定、认证、沙箱、工具权限和 Skills 审查,更适合作为正式使用前的安全加固清单。
本文主要聚焦 OpenClaw 在真实部署环境中的权限边界与配置风险。截止 2026 年 4 月 21 日,官方文档仍明确建议将 Gateway 保持在本地绑定、启用共享密钥认证、按场景收紧工具权限,并优先运行在专用机器、VM 或容器中。
部署前安全检查项
| 必做项 | 为什么 |
|---|---|
gateway.bind 设为 loopback | 避免 Gateway 直接暴露到局域网或公网 |
gateway.auth 使用 token 或 password | 防止任何能碰到端口的人直接接管控制面 |
agents.defaults.sandbox 开启并限制 workspaceAccess | 降低文件系统和命令执行的爆炸半径 |
tools.profile 收紧,并禁止 group:automation、group:runtime 等高危工具 | 减少越权执行、自我修改配置和定时后门 |
| 使用独立机器、VM 或容器,并配独立 OS 用户和独立浏览器资料 | 把个人账号、SSH 密钥、浏览器登录态从运行时里剥离出去 |
主要风险类型
| 风险面 | 典型问题 | 可能后果 |
|---|---|---|
| 网关暴露 | 把 Gateway 绑定到 lan、公网代理或错误的 Docker 暴露路径 | 未授权访问、远程控制、令牌泄露 |
| 工具权限过宽 | exec、gateway、文件工具、浏览器工具一起开放 | 误删文件、执行命令、自改配置 |
| 不可信输入 | 邮件、网页、附件、日志都可能携带提示词注入 | 越权读取、外发数据、错误执行 |
| 供应链 | 第三方 Skills 或插件未审查就安装 | 凭证泄露、后门、持久化 |
风险不在于“本地部署”这四个字本身,而在于你把什么数据、什么账号、什么权限放进了这个运行时里。只要运行环境里有真实邮箱、真实浏览器会话、SSH 密钥、生产环境访问权限,OpenClaw 一旦被误导或被利用,问题就会直接变成真实损失。
公开风险事件与案例
过去几个月里,OpenClaw 的风险已经不只是理论讨论。
2026-02-23,Meta 研究员 Summer Yue 披露 OpenClaw 在邮箱整理任务中忽略“先确认再执行”的限制,最终误删了大量邮件。2026-01-29,OpenClaw 修复了CVE-2026-25253,该问题可导致网关令牌泄露,并进一步演变为高风险控制面接管。2026-02,研究人员披露 ClawHub 上存在大批恶意 Skills,利用用户“先装再看”的习惯窃取密钥、执行外连或建立持久化后门。2026-02,StepSecurity 还披露过一次围绕cline@2.3.0的供应链事件,恶意安装脚本会在用户机器上静默安装 OpenClaw。
这些案例说明一件事:你不能把“我会小心使用”当成主要安全措施。真正有效的办法,永远是把权限收紧、把运行环境隔离、把可疑扩展挡在外面。
OpenClaw 最小安全基线
下面这个配置更适合单人、自建、偏保守的默认部署。它不是万能模板,但足够作为起步基线。
{
"gateway": {
"mode": "local",
"bind": "loopback",
"auth": {
"mode": "token",
"token": "REPLACE_WITH_LONG_RANDOM_TOKEN"
}
},
"session": {
"dmScope": "per-channel-peer"
},
"tools": {
"profile": "messaging",
"deny": [
"group:automation",
"group:runtime",
"group:fs",
"sessions_spawn",
"sessions_send"
],
"fs": {
"workspaceOnly": true
},
"exec": {
"security": "deny",
"ask": "always"
},
"elevated": {
"enabled": false
}
},
"agents": {
"defaults": {
"sandbox": {
"mode": "all",
"scope": "agent",
"workspaceAccess": "none"
}
}
}
}如果你确实需要写文件、跑命令或做浏览器自动化,不要把这些权限全局放开,而是按单个 Agent、单个工作区、单个任务去加。安全的关键不是“绝对不开”,而是“只在必要范围内开”。
OpenClaw 安全加固步骤
1. 持续更新到当前稳定版本
原理很简单:安全基线不是“达到某个历史版本号就万事大吉”,而是“始终跑当前稳定版,然后复核当前配置”。以 CVE-2026-25253 为例,它在 2026-01-29 就已经修复,但后面仍有新的安全公告持续发布。
建议做法:
npm install -g openclaw@latest
openclaw --version
openclaw doctor
openclaw security audit --deep如果你的运行环境是 Windows CLI,官方向导仍然优先建议使用 WSL2。原生 Windows 不是不能跑,但部署和排障路径会更复杂。
2. 将 Gateway 保持为本地绑定
官方配置参考里,gateway.bind 的默认值是 loopback。这意味着 Gateway 默认应该只监听本机,而不是默认开在 0.0.0.0。
正确思路不是“先对外监听,再靠运气别被扫到”,而是:
- 本机管理时,保持
loopback - 远程访问时,优先走 SSH 隧道、Tailscale 或可信反向代理
- 只有你明确知道自己在做什么时,才使用
lan或custom
检查方式可以这样做:
openclaw gateway status --deep如果你还想看端口监听结果:
- macOS / Linux 可用
lsof -i :18789 - Windows 可用
netstat -ano | findstr :18789
注意一件容易踩坑的事:配置里的 bind 应使用 loopback、lan、custom 这样的模式值,而不是直接把 127.0.0.1 或 0.0.0.0 写回配置里。官方已经把这些字面 IP 视为旧别名。
3. 启用并校验 Gateway 认证
OpenClaw 文档已经把 Gateway 认证列为默认要求项。很多教程的真实问题,不是“认证默认没开”,而是把认证写错了位置,结果以为自己开了,实际上配置根本没生效。
最稳妥的写法是:
{
"gateway": {
"auth": {
"mode": "token",
"token": "REPLACE_WITH_LONG_RANDOM_TOKEN"
}
}
}生成 token 可以用:
openclaw doctor --generate-gateway-token验证不要去依赖文档外的私有接口,优先用公开接口或 CLI:
openclaw gateway status
curl http://127.0.0.1:18789/v1/models不带 token 的请求应该失败;只有带正确认证的客户端才能访问。
4. 正确配置沙箱作用域与工作区权限
OpenClaw 的沙箱配置在 agents.defaults.sandbox 下,不是顶层随便加一个 sandbox.mode 就算完成。更重要的是,改完沙箱后,不能只重启 Gateway,还需要重建沙箱运行时。
建议至少明确这三个点:
mode: 建议all,如果你想保留主会话在宿主机上,再考虑non-mainscope: 建议agent或sessionworkspaceAccess: 默认思路应是none或ro,只有在确实需要写入时才用rw
示例:
{
"agents": {
"defaults": {
"sandbox": {
"mode": "all",
"scope": "agent",
"workspaceAccess": "none"
}
}
}
}改完以后执行:
openclaw sandbox recreate --all这一步很重要,因为现有沙箱容器不会因为你改了配置就自动变成新规则。
5. 按场景收紧工具权限
当前官方工具体系里,真正危险的不是某一个单点,而是几个能力同时叠加:
group:runtime:exec、processgroup:fs:read、write、edit、apply_patchgroup:automation:cron、gatewaybrowser与web_*:可把不可信输入直接喂给高权限 Agent
对大部分用户来说,最保守的起点应是:
{
"tools": {
"profile": "messaging",
"deny": ["group:automation", "group:runtime", "group:fs"],
"fs": {
"workspaceOnly": true
},
"exec": {
"security": "deny",
"ask": "always",
"strictInlineEval": true
},
"elevated": {
"enabled": false
}
}
}如果你确实需要命令执行或文件写入,请按任务场景单独放权:
| 场景 | 推荐策略 |
|---|---|
| 只做消息代答 | profile=messaging,禁用 group:runtime、group:fs、group:automation |
| 只读总结资料 | 允许 web_search / web_fetch,禁用 write、edit、apply_patch、exec |
| 编码或自动化测试 | 开沙箱,workspaceAccess=rw,exec.ask=always,保留 gateway 和 cron 为禁用状态,除非确有刚需 |
6. 将运行环境与真实身份分离
官方安全文档给出的建议很明确:如果一个 Agent 是团队共享或工具权限较高的运行时,就应该放在独立机器、VM 或容器里,并且使用独立的 OS 用户、独立浏览器资料和独立账号。
这意味着:
- 不要把你的个人 Apple、Google、微信、密码管理器会话放进同一个运行时
- 不要把能登录生产环境的 SSH 密钥放到同一台机器
- 不要让运行 OpenClaw 的系统用户拥有 sudo、管理员或不必要的共享目录权限
只要你把“个人浏览器资料 + 公司账号 + SSH 密钥 + 高权限 Agent”放到一台机器里,任何一次配置失误都会让损失成倍放大。
7. 建立 Skills、插件与日志审查机制
第三方 Skills 和插件本质上是在扩展你的信任边界。能装,不代表该装;能运行,也不代表该长期保留。
建议把下面这些动作做成例行检查:
openclaw skills list
openclaw skills info
openclaw skills check
openclaw plugins list
openclaw security audit --deep
openclaw logs --follow 如果某个 Skill 是通过 ClawHub 安装的,优先按它的来源管理工具去卸载;如果是你自己放进工作区的本地 Skill,就按目录级别清理后再复查 openclaw skills list。不要在没有确认安装来源的情况下,盲删配置目录或直接执行不明脚本。
异常响应流程
如果你已经观察到 CPU 异常飙升、文件被误删、陌生外连、账单暴涨或行为明显偏离预期,不要先跟 Agent 对话解释原因,先把爆炸半径收住。
1. 停止服务并切断外联
openclaw gateway stop必要时再配合宿主机层面的网络断开或进程级排查。尽量不要直接用 killall node 或 taskkill /F /IM node.exe 这种“一锅端”命令,它们很可能会把机器上其他无关的 Node 进程一起杀掉。
2. 轮换可能受影响的凭证
优先处理这些:
gateway.auth.token或gateway.auth.password- 模型 API Key
- 消息平台 Token
- 浏览器登录态和 OAuth 授权
- 任何已经挂到运行时里的 SSH 密钥或第三方凭证
3. 复核日志、会话与近期配置变更
官方建议至少复核以下对象:
- Gateway 日志
- 会话转录文件
- 最近的配置变更,特别是
gateway.bind、gateway.auth、工具权限、插件变化 - 最新一次
openclaw security audit --deep的结果
如果你用了自定义 logging.file,以它为准;否则按当前运行环境去看默认日志位置。
4. 完成审计后再恢复服务
恢复前至少再跑一次:
openclaw doctor
openclaw security audit --deep
openclaw gateway status --deep如果你无法解释异常行为的来源,或者怀疑宿主机本身已经被污染,不要硬恢复,直接进入重建流程。
重建与卸载条件
有三种情况,重装通常比继续修补更稳:
- 你怀疑运行时已经被持久化后门污染
- 你无法确认哪些凭证已经被读取或外发
- 你准备把这台机器重新划回高信任环境
现在官方已经提供了内置卸载命令,优先用它,而不是手写一大串清理命令:
openclaw backup create
openclaw uninstall --all --yes如果 CLI 已经损坏或缺失,再走官方文档里的手动服务移除路径。
常见问题
OpenClaw 默认就会暴露在公网吗
不是。官方文档里 gateway.bind 的默认值是 loopback。真正常见的风险来自人为改成 lan、错误的 Docker 端口暴露、反向代理配置过宽,或者把 Control UI 直接挂到公网。
只要把认证开了就够了吗
不够。认证只是在保护控制面;真正决定破坏半径的,仍然是沙箱、工具权限、运行时身份和可读写数据范围。
只在本地机上跑,是不是就天然安全
也不是。如果这台“本地机”里本来就有你的 SSH 密钥、浏览器登录态、邮箱、代码仓库和生产访问权限,那么它依然是高风险环境。
总结
对于 OpenClaw 这类具备系统级工具能力的 Agent,部署只是第一步,配置才真正决定风险边界。更稳妥的使用顺序应当是:先完成部署,再完成权限与边界加固,最后再接入真实账号、真实数据与长期任务。
如果希望更高效地开始使用 OpenClaw,可先下载 Claw龙虾部署大师,一键完成 OpenClaw 部署;部署完成后,再按本文逐项核查 gateway.bind、gateway.auth、沙箱策略、工具权限和 Skills 来源,更适合作为上线前的安全检查流程。
可以将 Claw龙虾部署大师理解为部署入口,将本文理解为安全配置清单。前者负责帮助用户更快完成 OpenClaw 安装部署,后者负责帮助用户把后续安全策略配置完整。
参考核对
- OpenClaw 官方安全文档:https://github.com/openclaw/openclaw/blob/main/docs/gateway/security/index.md
- OpenClaw Gateway 配置参考:https://github.com/openclaw/openclaw/blob/main/docs/gateway/configuration-reference.md
- OpenClaw Tools 文档:https://github.com/openclaw/openclaw/blob/main/docs/tools/index.md
- OpenClaw 沙箱文档:https://github.com/openclaw/openclaw/blob/main/docs/gateway/sandboxing.md
- OpenClaw 卸载文档:https://docs.openclaw.ai/install/uninstall
- TechCrunch 事件报道:https://techcrunch.com/2026/02/23/a-meta-ai-security-researcher-said-an-openclaw-agent-ran-amok-on-her-inbox/
- CVE-2026-25253 报道:https://thehackernews.com/2026/02/openclaw-bug-enables-one-click-remote.html
- StepSecurity 供应链事件:https://www.stepsecurity.io/blog/cline-supply-chain-attack-detected-cline-2-3-0-silently-installs-openclaw
- Bitdefender 公网暴露报告:https://www.bitdefender.com/en-us/blog/hotforsecurity/135k-openclaw-ai-agents-exposed-online
提示