有用科技小编2026/04/21
浏览9995
阅读19分钟OpenClaw 安全配置的核心是收紧 Gateway、认证、沙箱、工具权限和 Skills 来源。正式使用前,应先把控制面和数据边界定清楚。
一、先看整体关系
本地部署不等于天然安全。真正的风险来自暴露端口、过宽权限、不可信输入和未经审查的技能。
二、把风险边界先拆开
复杂任务要先看输入、权限、执行和输出的边界。边界清楚后,再写命令、接模型或接渠道,排错会更可控。
部署前安全检查项
| 必做项 | 为什么 |
|---|---|
gateway.bind 设为 loopback | 避免 Gateway 直接暴露到局域网或公网 |
gateway.auth 使用 token 或 password | 防止任何能碰到端口的人直接接管控制面 |
agents.defaults.sandbox 开启并限制 workspaceAccess | 降低文件系统和命令执行的爆炸半径 |
tools.profile 收紧,并禁止 group:automation、group:runtime 等高危工具 | 减少越权执行、自我修改配置和定时后门 |
| 使用独立机器、VM 或容器,并配独立 OS 用户和独立浏览器资料 | 把个人账号、SSH 密钥、浏览器登录态从运行时里剥离出去 |
主要风险类型
| 风险面 | 典型问题 | 可能后果 |
|---|---|---|
| 网关暴露 | 把 Gateway 绑定到 lan、公网代理或错误的 Docker 暴露路径 | 未授权访问、远程控制、令牌泄露 |
| 工具权限过宽 | exec、gateway、文件工具、浏览器工具一起开放 | 误删文件、执行命令、自改配置 |
| 不可信输入 | 邮件、网页、附件、日志都可能携带提示词注入 | 越权读取、外发数据、错误执行 |
| 供应链 | 第三方 Skills 或插件未审查就安装 | 凭证泄露、后门、持久化 |
风险不在于“本地部署”这四个字本身,而在于你把什么数据、什么账号、什么权限放进了这个运行时里。只要运行环境里有真实邮箱、真实浏览器会话、SSH 密钥、生产环境访问权限,OpenClaw 一旦被误导或被利用,问题就会直接变成真实损失。
公开风险事件与案例
过去几个月里,OpenClaw 的风险已经不只是理论讨论。
2026-02-23,Meta 研究员 Summer Yue 披露 OpenClaw 在邮箱整理任务中忽略“先确认再执行”的限制,最终误删了大量邮件。2026-01-29,OpenClaw 修复了CVE-2026-25253,该问题可导致网关令牌泄露,并进一步演变为高风险控制面接管。2026-02,研究人员披露 ClawHub 上存在大批恶意 Skills,利用用户“先装再看”的习惯窃取密钥、执行外连或建立持久化后门。2026-02,StepSecurity 还披露过一次围绕cline@2.3.0的供应链事件,恶意安装脚本会在用户机器上静默安装 OpenClaw。
这些案例说明一件事:你不能把“我会小心使用”当成主要安全措施。真正有效的办法,永远是把权限收紧、把运行环境隔离、把可疑扩展挡在外面。
OpenClaw 最小安全基线
下面这个配置更适合单人、自建、偏保守的默认部署。它不是万能模板,但足够作为起步基线。
如果你确实需要写文件、跑命令或做浏览器自动化,不要把这些权限全局放开,而是按单个 Agent、单个工作区、单个任务去加。安全的关键不是“绝对不开”,而是“只在必要范围内开”。
OpenClaw 安全加固步骤
1. 持续更新到当前稳定版本
原理很简单:安全基线不是“达到某个历史版本号就万事大吉”,而是“始终跑当前稳定版,然后复核当前配置”。以 CVE-2026-25253 为例,它在 2026-01-29 就已经修复,但后面仍有新的安全公告持续发布。
建议做法:
如果你的运行环境是 Windows CLI,官方向导仍然优先建议使用 WSL2。原生 Windows 不是不能跑,但部署和排障路径会更复杂。
2. 将 Gateway 保持为本地绑定
官方配置参考里,gateway.bind 的默认值是 loopback。这意味着 Gateway 默认应该只监听本机,而不是默认开在 0.0.0.0。
正确思路不是“先对外监听,再靠运气别被扫到”,而是:
- 本机管理时,保持
loopback - 远程访问时,优先走 SSH 隧道、Tailscale 或可信反向代理
- 只有你明确知道自己在做什么时,才使用
lan或custom
检查方式可以这样做:
如果你还想看端口监听结果:
- macOS / Linux 可用
lsof -i :18789 - Windows 可用
netstat -ano | findstr :18789
注意一件容易踩坑的事:配置里的 bind 应使用 loopback、lan、custom 这样的模式值,而不是直接把 127.0.0.1 或 0.0.0.0 写回配置里。官方已经把这些字面 IP 视为旧别名。
3. 启用并校验 Gateway 认证
OpenClaw 文档已经把 Gateway 认证列为默认要求项。很多教程的真实问题,不是“认证默认没开”,而是把认证写错了位置,结果以为自己开了,实际上配置根本没生效。
最稳妥的写法是:
生成 token 可以用:
验证不要去依赖文档外的私有接口,优先用公开接口或 CLI:
不带 token 的请求应该失败;只有带正确认证的客户端才能访问。
4. 正确配置沙箱作用域与工作区权限
OpenClaw 的沙箱配置在 agents.defaults.sandbox 下,不是顶层随便加一个 sandbox.mode 就算完成。更重要的是,改完沙箱后,不能只重启 Gateway,还需要重建沙箱运行时。
建议至少明确这三个点:
mode: 建议all,如果你想保留主会话在宿主机上,再考虑non-mainscope: 建议agent或sessionworkspaceAccess: 默认思路应是none或ro,只有在确实需要写入时才用rw
示例:
改完以后执行:
这一步很重要,因为现有沙箱容器不会因为你改了配置就自动变成新规则。
5. 按场景收紧工具权限
当前官方工具体系里,真正危险的不是某一个单点,而是几个能力同时叠加:
group:runtime:exec、processgroup:fs:read、write、edit、apply_patchgroup:automation:cron、gatewaybrowser与web_*:可把不可信输入直接喂给高权限 Agent
对大部分用户来说,最保守的起点应是:
如果你确实需要命令执行或文件写入,请按任务场景单独放权:
| 场景 | 推荐策略 |
|---|---|
| 只做消息代答 | profile=messaging,禁用 group:runtime、group:fs、group:automation |
| 只读总结资料 | 允许 web_search / web_fetch,禁用 write、edit、apply_patch、exec |
| 编码或自动化测试 | 开沙箱,workspaceAccess=rw,exec.ask=always,保留 gateway 和 cron 为禁用状态,除非确有刚需 |
6. 将运行环境与真实身份分离
官方安全文档给出的建议很明确:如果一个 Agent 是团队共享或工具权限较高的运行时,就应该放在独立机器、VM 或容器里,并且使用独立的 OS 用户、独立浏览器资料和独立账号。
这意味着:
- 不要把你的个人 Apple、Google、微信、密码管理器会话放进同一个运行时
- 不要把能登录生产环境的 SSH 密钥放到同一台机器
- 不要让运行 OpenClaw 的系统用户拥有 sudo、管理员或不必要的共享目录权限
只要你把“个人浏览器资料 + 公司账号 + SSH 密钥 + 高权限 Agent”放到一台机器里,任何一次配置失误都会让损失成倍放大。
7. 建立 Skills、插件与日志审查机制
第三方 Skills 和插件本质上是在扩展你的信任边界。能装,不代表该装;能运行,也不代表该长期保留。
建议把下面这些动作做成例行检查:
如果某个 Skill 是通过 ClawHub 安装的,优先按它的来源管理工具去卸载;如果是你自己放进工作区的本地 Skill,就按目录级别清理后再复查 openclaw skills list。不要在没有确认安装来源的情况下,盲删配置目录或直接执行不明脚本。
异常响应流程
如果你已经观察到 CPU 异常飙升、文件被误删、陌生外连、账单暴涨或行为明显偏离预期,不要先跟 Agent 对话解释原因,先把爆炸半径收住。
1. 停止服务并切断外联
必要时再配合宿主机层面的网络断开或进程级排查。尽量不要直接用 killall node 或 taskkill /F /IM node.exe 这种“一锅端”命令,它们很可能会把机器上其他无关的 Node 进程一起杀掉。
2. 轮换可能受影响的凭证
优先处理这些:
gateway.auth.token或gateway.auth.password- 模型 API Key
- 消息平台 Token
- 浏览器登录态和 OAuth 授权
- 任何已经挂到运行时里的 SSH 密钥或第三方凭证
3. 复核日志、会话与近期配置变更
官方建议至少复核以下对象:
- Gateway 日志
- 会话转录文件
- 最近的配置变更,特别是
gateway.bind、gateway.auth、工具权限、插件变化 - 最新一次
openclaw security audit --deep的结果
如果你用了自定义 logging.file,以它为准;否则按当前运行环境去看默认日志位置。
4. 完成审计后再恢复服务
恢复前至少再跑一次:
如果你无法解释异常行为的来源,或者怀疑宿主机本身已经被污染,不要硬恢复,直接进入重建流程。
重建与卸载条件
有三种情况,重装通常比继续修补更稳:
- 你怀疑运行时已经被持久化后门污染
- 你无法确认哪些凭证已经被读取或外发
- 你准备把这台机器重新划回高信任环境
现在官方已经提供了内置卸载命令,优先用它,而不是手写一大串清理命令:
如果 CLI 已经损坏或缺失,再走官方文档里的手动服务移除路径。
参考核对
- OpenClaw 官方安全文档:https://github.com/openclaw/openclaw/blob/main/docs/gateway/security/index.md
- OpenClaw Gateway 配置参考:https://github.com/openclaw/openclaw/blob/main/docs/gateway/configuration-reference.md
- OpenClaw Tools 文档:https://github.com/openclaw/openclaw/blob/main/docs/tools/index.md
- OpenClaw 沙箱文档:https://github.com/openclaw/openclaw/blob/main/docs/gateway/sandboxing.md
- OpenClaw 卸载文档:https://docs.openclaw.ai/install/uninstall
- TechCrunch 事件报道:https://techcrunch.com/2026/02/23/a-meta-ai-security-researcher-said-an-openclaw-agent-ran-amok-on-her-inbox/
- CVE-2026-25253 报道:https://thehackernews.com/2026/02/openclaw-bug-enables-one-click-remote.html
- StepSecurity 供应链事件:https://www.stepsecurity.io/blog/cline-supply-chain-attack-detected-cline-2-3-0-silently-installs-openclaw
- Bitdefender 公网暴露报告:https://www.bitdefender.com/en-us/blog/hotforsecurity/135k-openclaw-ai-agents-exposed-online
常见误区
Gateway 暴露到外网
控制面一旦可被外部访问,令牌和远程执行风险都会放大。
工具权限全开
文件、命令、浏览器和自动化工具同时开放,会扩大误操作后果。
不审查第三方 Skills
未经审查的 Skills 可能携带越权读取、外发数据或持久化逻辑。
方法对比
| 处理项 | 适合场景 | 确认重点 |
|---|---|---|
| Gateway 绑定 | 部署第一步 | 减少外部访问 |
| 认证方式 | 连接前 | 阻止未授权控制 |
| 工具权限 | 正式使用前 | 限制执行范围 |
| Skills 审查 | 安装前 | 降低供应链风险 |
用「Claw龙虾部署大师」减少前置配置成本
一键本地部署 用来处理 OpenClaw 安装、基础环境和本地运行入口,适合不想先花大量时间排查依赖的人。
模型接入 用来把豆包、通义千问、DeepSeek 等模型配置进工作流,适合需要先跑通 AI 助手底座,再继续配置渠道和任务的人。
本地安全部署 适合把数据、账号和运行环境留在本机或指定设备上,再按文章里的步骤继续收紧权限、接入渠道或验证任务。
OpenClaw安全AI智能体部署Gateway认证沙箱隔离恶意Skills 
提示