OpenClaw 安全配置指南:7 步收紧权限,避免公网暴露、越权执行与恶意 Skills
OpenClaw 安全配置的核心是收紧 Gateway、认证、沙箱、工具权限和 Skills 来源。正式使用前,应先把控制面和数据边界定清楚。 一、先看整体关系 本地部署不等于天然安全。真正的风险来自暴露端口、过宽权限、不可信输入和未经审查的技能。 OpenClaw 配置关系 OpenClaw 配置关系 1 本地绑定 2 认证密钥 3 沙箱限制 4 工具白名单 5 Skills 审查 按顺序处理,可以把部署、权限、渠道和验证拆开检查,减少混在一起排错。 二、把风险边界先拆开 复杂任务要先看输入、权限、执行和输出的边界。边界清楚后,再写命令、接模型或接渠道,排错会更可控。 任务边界拆分 任务边界拆分 输入与控制面 执行与数据面 外部输入 任务解释 工具执行 数据输出 把输入、权限和输出边界拆开,能更快判断哪里需要收紧。 部署前安全检查项 必做项为什么gateway.bind 设为 loopback避免 Gateway 直接暴露到局域网或公网gateway.auth 使用 token 或 password防止任何能碰到端口的人直接接管控制面agents.defaults.sandbox 开启并限制 workspaceAccess降低文件系统和命令执行的爆炸半径tools.profile 收紧,并禁止 group:automation、group:runtime 等高危工具减少越权执行、自我修改配置和定时后门使用独立机器、VM 或容器,并配独立 OS 用户和独立浏览器资料把个人账号、SSH 密钥、浏览器登录态从运行时里剥离出去 主要风险类型 风险面典型问题可能后果网关暴露把 Gateway 绑定到 lan、公网代理或错误的 Docker 暴露路径未授权访问、远程控制、令牌泄露工具权限过宽exec、gateway、文件工具、浏览器工具一起开放误删文件、执行命令、自改配置不可信输入邮件、网页、附件、日志都可能携带提示词注入越权读取、外发数据、错误执行供应链第三方 Skills 或插件未审查就安装凭证泄露、后门、持久化 风险不在于“本地部署”这四个字本身,而在于你把什么数据、什么账号、什么权限放进了这个运行时里。只要运行环境里有真实邮箱、真实浏览器会话、SSH 密钥、生产环境访问权限,OpenClaw 一旦被误导或被利用,问题就会直接变成真实损失。 公开风险事件与案例 过去几个月里,OpenClaw 的风险已经不只是理论讨论。 2026-02-23,Meta 研究员 Summer Yue 披露 OpenClaw 在邮箱整理任务中忽略“先确认再执行”的限制,最终误删了大量邮件。2026-01-29,OpenClaw 修复了 CVE-2026-25253,该问题可导致网关令牌泄露,并进一步演变为高风险控制面接管。2026-02,研究人员披露 ClawHub 上存在大批恶意 Skills,利用用户“先装再看”的习惯窃取密钥、执行外连或建立持久化后门。2026-02,StepSecurity 还披露过一次围绕 cline@2.3.0 的供应链事件,恶意安装脚本会在用户机器上静默安装 OpenClaw。 这些案例说明一件事:你不能把“我会小心使用”当成主要安全措施。真正有效的办法,永远是把权限收紧、把运行环境隔离、把可疑扩展挡在外面。 OpenClaw 最小安全基线 下面这个配置更适合单人、自建、偏保守的默认部署。它不是万能模板,但足够作为起步基线。 如果你确实需要写文件、跑命令或做浏览器自动化,不要把这些权限全局放开,而是按单个 Agent、单个工作区、单个任务去加。安全的关键不是“绝对不开”,而是“只在必要范围内开”。 OpenClaw 安全加固步骤 1. 持续更新到当前稳定版本 原理很简单:安全基线不是“达到某个历史版本号就万事大吉”,而是“始终跑当前稳定版,然后复核当前配置”。以 CVE-2026-25253 为例,它在 2026-01-29 就已经修复,但后面仍有新的安全公告持续发布。 建议做法: 如果你的运行环境是 Windows CLI,官方向导仍然优先建议使用 WSL2。原生 Windows 不是不能跑,但部署和排障路径会更复杂。 2. 将 Gateway 保持为本地绑定 官方配置参考里,gateway.bind 的默认值是 loopback。这意味着 Gateway 默认应该只监听本机,而不是默认开在 0.0.0.0。 正确思路不是“先对外监听,再靠运气别被扫到”,而是: 本机管理时,保持 loopback远程访问时,优先走 SSH 隧道、Tailscale 或可信反向代理只有你明确知道自己在做什么时,才使用 lan 或 custom 检查方式可以这样做: 如果你还想看端口监听结果: macOS / Linux 可用 lsof -i :18789Windows 可用 netstat -ano | findstr :18789 注意一件容易踩坑的事:配置里的 bind 应使用 loopback、lan、custom 这样的模式值,而不是直接把 127.0.0.1 或 0.0.0.0 写回配置里。官方已经把这些字面 IP 视为旧别名。 3. 启用并校验 Gateway 认证 OpenClaw 文档已经把 Gateway 认证列为默认要求项。很多教程的真实问题,不是“认证默认没开”,而是把认证写错了位置,结果以为自己开了,实际上配置根本没生效。 最稳妥的写法是: 生成 token 可以用: 验证不要去依赖文档外的私有接口,优先用公开接口或 CLI: 不带 token 的请求应该失败;只有带正确认证的客户端才能访问。 4. 正确配置沙箱作用域与工作区权限 OpenClaw 的沙箱配置在 agents.defaults.sandbox 下,不是顶层随便加一个 sandbox.mode 就算完成。更重要的是,改完沙箱后,不能只重启 Gateway,还需要重建沙箱运行时。 建议至少明确这三个点: mode: 建议 all,如果你想保留主会话在宿主机上,再考虑 non-mainscope: 建议 agent 或 sessionworkspaceAccess: 默认思路应是 none 或 ro,只有在确实需要写入时才用 rw 示例: 改完以后执行: 这一步很重要,因为现有沙箱容器不会因为你改了配置就自动变成新规则。 5. 按场景收紧工具权限 当前官方工具体系里,真正危险的不是某一个单点,而是几个能力同时叠加: group:runtime:exec、processgroup:fs:read、write、edit、apply_patchgroup:automation:cron、gatewaybrowser 与 web_*:可把不可信输入直接喂给高权限 Agent 对大部分用户来说,最保守的起点应是: 如果你确实需要命令执行或文件写入,请按任务场景单独放权: 场景推荐策略只做消息代答profile=messaging,禁用 group:runtime、group:fs、group:automation只读总结资料允许 web_search / web_fetch,禁用 write、edit、apply_patch、exec编码或自动化测试开沙箱,workspaceAccess=rw,exec.ask=always,保留 gateway 和 cron 为禁用状态,除非确有刚需 6. 将运行环境与真实身份分离 官方安全文档给出的建议很明确:如果一个 Agent 是团队共享或工具权限较高的运行时,就应该放在独立机器、VM 或容器里,并且使用独立的 OS 用户、独立浏览器资料和独立账号。 这意味着: 不要把你的个人 Apple、Google、微信、密码管理器会话放进同一个运行时不要把能登录生产环境的 SSH 密钥放到同一台机器不要让运行 OpenClaw 的系统用户拥有 sudo、管理员或不必要的共享目录权限 只要你把“个人浏览器资料 + 公司账号 + SSH 密钥 + 高权限 Agent”放到一台机器里,任何一次配置失误都会让损失成倍放大。 7. 建立 Skills、插件与日志审查机制 第三方 Skills 和插件本质上是在扩展你的信任边界。能装,不代表该装;能运行,也不代表该长期保留。 建议把下面这些动作做成例行检查: 如果某个 Skill 是通过 ClawHub 安装的,优先按它的来源管理工具去卸载;如果是你自己放进工作区的本地 Skill,就按目录级别清理后再复查 openclaw skills list。不要在没有确认安装来源的情况下,盲删配置目录或直接执行不明脚本。 异常响应流程 如果你已经观察到 CPU 异常飙升、文件被误删、陌生外连、账单暴涨或行为明显偏离预期,不要先跟 Agent 对话解释原因,先把爆炸半径收住。 1. 停止服务并切断外联 必要时再配合宿主机层面的网络断开或进程级排查。尽量不要直接用 killall node 或 taskkill /F /IM node.exe 这种“一锅端”命令,它们很可能会把机器上其他无关的 Node 进程一起杀掉。 2. 轮换可能受影响的凭证 优先处理这些: gateway.auth.token 或 gateway.auth.password模型 API Key消息平台 Token浏览器登录态和 OAuth 授权任何已经挂到运行时里的 SSH 密钥或第三方凭证 3. 复核日志、会话与近期配置变更 官方建议至少复核以下对象: Gateway 日志会话转录文件最近的配置变更,特别是 gateway.bind、gateway.auth、工具权限、插件变化最新一次 openclaw security audit --deep 的结果 如果你用了自定义 logging.file,以它为准;否则按当前运行环境去看默认日志位置。 4. 完成审计后再恢复服务 恢复前至少再跑一次: 如果你无法解释异常行为的来源,或者怀疑宿主机本身已经被污染,不要硬恢复,直接进入重建流程。 重建与卸载条件 有三种情况,重装通常比继续修补更稳: 你怀疑运行时已经被持久化后门污染你无法确认哪些凭证已经被读取或外发你准备把这台机器重新划回高信任环境 现在官方已经提供了内置卸载命令,优先用它,而不是手写一大串清理命令: 如果 CLI 已经损坏或缺失,再走官方文档里的手动服务移除路径。 参考核对 OpenClaw 官方安全文档:https://github.com/openclaw/openclaw/blob/main/docs/gateway/security/index.mdOpenClaw Gateway 配置参考:https://github.com/openclaw/openclaw/blob/main/docs/gateway/configuration-reference.mdOpenClaw Tools 文档:https://github.com/openclaw/openclaw/blob/main/docs/tools/index.mdOpenClaw 沙箱文档:https://github.com/openclaw/openclaw/blob/main/docs/gateway/sandboxing.mdOpenClaw 卸载文档:https://docs.openclaw.ai/install/uninstallTechCrunch 事件报道:https://techcrunch.com/2026/02/23/a-meta-ai-security-researcher-said-an-openclaw-agent-ran-amok-on-her-inbox/CVE-2026-25253 报道:https://thehackernews.com/2026/02/openclaw-bug-enables-one-click-remote.htmlStepSecurity 供应链事件:https://www.stepsecurity.io/blog/cline-supply-chain-attack-detected-cline-2-3-0-silently-installs-openclawBitdefender 公网暴露报告:https://www.bitdefender.com/en-us/blog/hotforsecurity/135k-openclaw-ai-agents-exposed-online 常见误区 Gateway 暴露到外网 控制面一旦可被外部访问,令牌和远程执行风险都会放大。 工具权限全开 文件、命令、浏览器和自动化工具同时开放,会扩大误操作后果。 不审查第三方 Skills 未经审查的 Skills 可能携带越权读取、外发数据或持久化逻辑。 方法对比 处理项适合场景确认重点 Gateway 绑定部署第一步减少外部访问 认证方式连接前阻止未授权控制 工具权限正式使用前限制执行范围 Skills 审查安装前降低供应链风险 用「Claw龙虾部署大师」减少前置配置成本 一键本地部署 用来处理 OpenClaw 安装、基础环境和本地运行入口,适合不想先花大量时间排查依赖的人。 模型接入 用来把豆包、通义千问、DeepSeek 等模型配置进工作流,适合需要先跑通 AI 助手底座,再继续配置渠道和任务的人。 本地安全部署 适合把数据、账号和运行环境留在本机或指定设备上,再按文章里的步骤继续收紧权限、接入渠道或验证任务。
提示