OpenClaw安全加固:用魔法打败魔法
- 1
- 2 OpenClaw安全加固:用魔法打败魔法
- 3
- 4
- 5
- 6
《AI时代漫游指南》第 115 章写道:
「开源意味着代码透明,但透明不等于可信。你能看到的是源码,看不到的是运行时行为、数据流向、以及商业动机。」
上一篇我们讲了怎么在 Windows 上把 OpenClaw 装起来。装好了,跑起来了,能聊天了——然后呢?
然后你就把一台连着你所有 AI API Key、聊天记录、甚至文件系统的机器,暴露在了网络上。
这篇文章讲的是:怎么让你的小龙虾不被人端走。
先澄清一个误区
上篇发出后,有读者问:「你说数据留在本地,但 AI 模型还是在云端啊?」
说得对。OpenClaw 是网关,不是模型。默认配置下,你的对话会通过 OpenClaw 转发到云端 API(OpenAI、Claude 等),对话内容确实经过云端处理。
如果你在意这一点,OpenClaw 支持接入本地模型(Ollama、MLX 等)。用本地模型,对话数据才是真正不出你的电脑。当然,本地模型的能力和云端大模型还有差距——这是隐私和能力之间的取舍,自己权衡。
OpenClaw 给你的掌控是:选哪个模型、数据怎么路由、记忆怎么管理。 这是网关层的安全,也正是这篇文章要讲的。
你的小龙虾暴露了什么?
装完 OpenClaw,默认状态下你的机器在广播这些信息:
mDNS 广播(端口 5353):OpenClaw 默认开启服务发现,会向局域网广播你的主机名、CLI 路径、SSH 端口。你去咖啡厅连 Wi-Fi,同一网络的人都能看到你跑着 OpenClaw。
Web 控制面板:如果你开放了防火墙端口,控制面板就对局域网可见。
API Key 明文存储:默认配置文件里,你的 OpenAI / Claude / MiniMax API Key 都是明文。
编者注:这就好比你在家门口贴了张纸条:「我家有 AI,钥匙在门垫下面。」开源社区管这叫”默认不安全”——一个政治正确但后果严重的设计哲学。
341 个恶意技能包:真实事件
2026 年 2 月,安全研究人员发现 OpenClaw 技能市场中有 341 个技能包含恶意代码,会窃取用户的 API Key 和聊天凭证。官方已确认并下架。
这不是假设场景,是已经发生的事。
攻击路径很简单:
- 攻击者上传一个看起来很有用的技能(比如”高级翻译”、“智能摘要”)
- 技能代码中夹带私货:读取配置文件,把 API Key 发送到外部服务器
- 用户安装技能,Key 就泄露了
你现在就能做的:打开 OpenClaw 控制面板,看看你装了哪些技能。不认识的、来路不明的、权限要求过多的——卸掉。
像审查手机 App 权限一样审查技能包。一个”翻译技能”要读文件系统权限?不对劲。
编者注:Stars 数量反映受欢迎程度,不反映安全审计深度。技能市场也一样:下载量高的技能不一定安全,可能只是名字起得好。
安全加固:从”零门槛”到”进阶”
不是所有加固都需要敲命令。按难度分两档,你看自己到哪一步:
零门槛(不需要技术背景,5 分钟)
1. 清理不明技能
打开控制面板 → 技能管理 → 逐个检查 → 卸掉你不认识的。
这是最重要的一步。341 个恶意技能包的事情说明:你装了什么,比你配了什么更危险。
2. 跑一次安全审计
OpenClaw 自带体检命令,在终端输入:
openclaw security audit它会自动检查:配置文件里有没有明文密钥、端口有没有暴露、已装技能有没有已知漏洞。看不懂输出没关系——有 ❌ 的就是要修的,把结果截图发给你身边懂技术的朋友,或者直接扔给 AI 问”这个怎么修”。
3. 不要在公共 Wi-Fi 下用
OpenClaw 默认会广播自己的存在。在家用没问题,去星巴克就别开了——除非你做了下面的进阶配置。
编者注:安全的 80/20 法则——80% 的风险可以用 20% 的努力消除。上面三步就是那 20%。
进阶(需要敲命令,10 分钟)
如果你愿意打开终端,下面四步让安全再上一个台阶:
1. Gateway 绑定 localhost
默认情况下 Gateway 监听所有网络接口,任何人都能直连。改成只监听本机:
openclaw config set gateway.host "127.0.0.1"改完之后,外部设备不能直连了。如果你需要从手机或其他电脑访问,加一层反向代理(推荐 Caddy,自动 HTTPS,三行配置搞定),不清楚也可以问你的AI小助理。
2. 关闭 mDNS 广播
设置环境变量 OPENCLAW_DISABLE_BONJOUR=1
重启 Gateway关了之后,你的 OpenClaw 不再向局域网”喊”自己的存在。
3. API Key 用环境变量
不要把 Key 明文写在配置文件里。用环境变量存储,OpenClaw 会自动读取。配置文件里的明文 Key 删掉。
为什么重要:配置文件可能被 Git 提交、被恶意技能读取、被同步软件上传。环境变量至少多一层保护。
4. 限制高危工具
OpenClaw 的 Agent 默认可以执行命令、访问网页、写文件。这些能力很强大,但如果被恶意利用,后果也很严重。
在控制面板的工具权限设置中,把 exec(执行命令)和 file_write(写文件)限制为只有你信任的 Agent 可用。
编者注:给 AI 全部权限,就像给实习生管理员密码——大部分时候没事,出事那次你就知道什么叫后悔了。
用魔法打败魔法
上面的操作,不管是零门槛还是进阶,都是”做一次就完了”。但安全不是一次性的事——你下次装个新技能、改个配置,风险就可能回来。
核心思路:既然 OpenClaw 本身就是一个 AI 平台,为什么不让 AI 来帮你持续盯着?
最简单的方式
你甚至不需要写代码。直接在 OpenClaw 的对话窗口里对 AI 说:
“帮我检查一下当前的安全配置:有没有明文 API Key、端口是不是只监听 localhost、装了哪些技能、有没有闲置设备。给我一个安全报告。”
AI 会调用系统工具帮你跑检查,然后给你一份报告。
每周花 30 秒发一条消息,换一整周的安心。
进阶:自动化巡检
如果你想完全自动化,可以创建一个定时任务:每天早上 9 点,OpenClaw 自动跑安全审计,结果发到你的聊天通道(Telegram / 飞书)。有 ❌ 的项目立即提醒。
你每天早上喝咖啡的时候瞄一眼,没事就安心,有事就处理。
编者注:用 AI 审计 AI 的安全,听起来像让小偷看家。但人类安全审计也是让一个人检查另一个人的工作。至少 AI 不会偷懒,不会因为周五下午就跳过检查。《AI时代漫游指南》第 116 章说——80% 的安全事故来自已知问题的遗漏,不是未知漏洞的发现。自动化清单检查就能干掉这 80%。
安全检查清单
每次部署或更新后,对照这张表过一遍:
| 检查项 | 难度 | 状态 |
|---|---|---|
| 不明技能已清理 | 零门槛 | □ |
openclaw security audit 通过 | 零门槛 | □ |
| 不在公共 Wi-Fi 下裸奔 | 零门槛 | □ |
| Gateway 只监听 localhost | 进阶 | □ |
| mDNS 广播已关闭 | 进阶 | □ |
| 无明文 API Key | 进阶 | □ |
| 高危工具已限制 | 进阶 | □ |
| 反向代理已配置(外网访问时) | 进阶 | □ |
前三项是底线,后五项是加分。做到前三项,你就已经比 90% 的用户安全了。
常见问题
| 问题 | 回答 |
|---|---|
| 只在家用,需要加固吗? | 前三项零门槛的建议做,5 分钟换一整年安心 |
| 已经暴露了端口怎么办? | 立即改绑定 + 轮换所有 API Key(去各平台后台重新生成) |
| 技能市场还能用吗? | 能,但只装官方推荐的和你认识的作者的 |
| 不懂代码,进阶部分怎么做? | 把这篇文章扔给 AI 桌面客户端,让它一步步教你 |
写在最后
OpenClaw 是一个强大的工具,但强大意味着攻击面也大。好消息是,安全加固不需要你成为安全专家。
最低限度:清理技能 + 跑一次审计 + 别在外面裸奔。5 分钟。
更好的方式:让 AI 自己盯着自己。每周一句话,换持续的安心。
这就是”用魔法打败魔法”——你手里已经有一个不睡觉的守卫了,让它干活。
《AI时代漫游指南》第 116 章说:
「最好的安全策略不是把墙砌得更高,而是让守卫永远不睡觉。AI 就是那个不睡觉的守卫。」
你的小龙虾,值得被好好保护。
不太想自己折腾? 把这篇文章扔给 MiniMax 桌面版,让 AI 一步步教你操作。新用户通过下方链接注册 MiniMax Coding Plan 还有 9 折优惠:
👉 https://platform.minimax.io/subscribe/coding-plan?code=5DY5X6nz4s&source=link
连终端都不想开? 闲鱼搜「[AI时代]OpenClaw安装配置服务」,远程 1 对 1,装好+加固,不成功不收费。
觉得有用的话,分享给身边也在折腾 AI 工具的朋友吧 👇
漫游君 | AI时代漫游指南
相关文章
这篇文章对你有帮助吗?
分享这篇文章
引用此文
讨论
这篇文章让你感觉
喜欢这篇文章?
订阅 RSS,第一时间收到新文章推送
私人笔记
仅保存在本地浏览器讨论
评论加载中...