安全最佳实践
OpenClaw 部署的必要安全加固——从网络隔离到技能审计。
OpenClaw 是拥有深度系统访问权限的强大 AI 代理——文件读写、Shell 命令、浏览器控制等。这种能力要求健全的安全实践。2026 年已公开多个 CVE,ClawHub 也遭受了恶意软件攻击。本指南涵盖锁定部署所需的一切。
已知漏洞(2026)
通过 Token 泄露的一键 RCE——WebSocket Origin 头未验证。补丁:v2026.1.29+
使用 GNU 长选项缩写绕过 safeBins。补丁:v2026.3.12+
Docker 沙盒中通过不安全的 PATH 处理注入命令。补丁:v2026.1.29+
skills.status 端点泄露敏感配置数据(如 Discord API Token)。补丁:v2026.2.14+
间接提示注入——网页内容在 LLM 处理前未消毒。持续缓解中。
1. 网络安全
永远不要将网关暴露到公网
仅绑定到 localhost(127.0.0.1:18789)。默认的 0.0.0.0 绑定会将 API 暴露给所有网络接口。使用 SSH 隧道或 Tailscale 远程访问。
使用带 TLS 的反向代理
如果必须外部暴露,使用 Cloudflare Tunnel 或 Nginx 进行 TLS 终止。生产环境永远不要使用明文 HTTP。
设置强密码
使用 gateway.auth.token 或 gateway.auth.password 设置高熵值。定期轮换令牌。
2. Docker 加固
docker run --read-only --cap-drop=ALL以只读文件系统运行并丢弃所有 Linux 特权
--memory=2g --cpus=2设置资源限制防止失控进程拒绝服务
--network=none(用于隔离任务)禁用不需要互联网的任务的网络访问
OPENCLAW_TZ=Your/Timezone显式设置时区确保日志和定时任务准确
3. ClawHub 技能安全
ClawHavoc 攻击表明 800+ 恶意技能渗透了 ClawHub——包括伪装成流行工具的凭证窃取器和恶意软件加载器。
- 安装任何技能前务必审查源代码
- 验证发布者的身份和历史记录
- 锁定技能版本——生产环境绝不使用 'latest'
- 检查 VirusTotal 扫描结果(已集成到 ClawHub)
- 对要求安装'前置条件'或外部下载的技能保持警惕
- 监控技能评论中的编码恶意载荷
- 限制工具访问——使用硬性工具限制阻止敏感文件访问
4. 凭证与密钥
将密钥移至环境变量
永远不要在 openclaw.config.yaml 中硬编码 API 密钥。使用环境变量或内置的密钥管理工作流(openclaw secrets)。
加密凭证存储
默认 ~/.openclaw/credentials/ 使用明文。迁移到系统钥匙链或密钥管理器。
为 API 密钥设置消费限额
为每个 provider 创建专用 API 密钥并设置消费上限。每月轮换。
锁定文件权限
chmod 600 ~/.openclaw/openclaw.config.yaml——防止其他用户读取你的配置。
5. 沙盒与权限
- 绝不给 OpenClaw 代理 sudo 权限
- 使用 tools.profile = 'session' 限制每次会话的权限
- 为 screen_record 和 system.which 等工具创建显式允许列表
- 将个人和公司自动化分开工作区
- 运行时将 SOUL.md 和 AGENTS.md 设为只读防止篡改
- 禁用隐式工作区插件自动加载(自 v2026.3.12 起默认)
6. 保持更新
OpenClaw 频繁发布关键安全补丁。启用内置自动更新器或每周检查发布。