最后更新:2026 年 3 月阅读时长 15 分钟

OpenClaw 安全指南 2026

您的 OpenClaw 实例在服务器上以系统级权限运行。如果未加固,攻击者可接管一切。本指南涵盖真实威胁、我们的 12 项加固审计,以及您现在就能运行的实例验证命令。

🛡️

非技术人员?请先阅读此内容。

下面的每个术语 — fail2ban、UFW、scrypt — 都会在每个 OpenClawPro 套餐中为您配置好。您无需理解,只需确保它被正确完成。

查看包含此审计的套餐

为什么安全至关重要

OpenClaw 是一款杰出的软件。凭借 42,665 GitHub 星标及持续增长的社区,它已成为史上最受欢迎的开源个人 AI 助手平台。但高人气也有代价:它成为攻击者的高价值目标,而默认安装的安全性令人担忧。

42,665
公开暴露在互联网的实例
93.4%
完全未启用认证
$6,000
密钥泄露一夜产生的账单
严重警告: OpenClaw 以系统级权限运行。它可以执行 shell 命令、读写文件、管理 Docker 容器,并与服务器上的每个服务交互。一旦攻击者入侵未加固的 OpenClaw 实例,他们不仅能读取您的聊天,更能掌控整台服务器。

相关数据来自 2026 年初独立安全研究。研究者通过 Shodan 和 Censys 扫描发现 42,665 个 OpenClaw 实例可从公网直接访问。其中 93.4% 完全未配置任何认证——这意味着只要拥有 IP 地址,任何人都能发送消息、读取对话历史、访问已连接的集成,甚至通过 AI 助手执行任意命令。

$6,000 一夜账单绝非危言耸听。2026 年 2 月有位开发者在 Reddit 上分享了亲身经历:攻击者找到他暴露的实例,从对话上下文中提取了 OpenAI 和 Anthropic 的 API 密钥,在他醒来收到账单提醒前的 14 小时内通过两套 API 运行自动化请求。API 服务商退还了部分费用但并非全部。这位开发者没有任何备份,失去了 6 个月的对话历史和自定义配置。

这并非批评 OpenClaw 本身。核心软件维护到位、开发活跃、漏洞披露流程规范。问题出在部署层面。OpenClaw 的一键脚本以快速上手为优先——5 分钟跑起来——把安全配置留给用户。大多数用户并非系统管理员,他们按照快速入门指南操作,看到能用就忘了后续,而这正是风险累积的起点。

「已安装能用」与「已安装且安全」之间的鸿沟,正是 OpenClawPro 要填平的。下文我们将详细介绍 12 项安全审计的每一步——这是我们对每一次安装都会执行的流程,从 $169 入门方案起即可享受。

我们的 12 项安全审计

每一次 OpenClawPro 安装——从 $169 入门方案到托管套餐——都包含这套完整的安全加固。每一项都针对我们在实际攻击中观察到的具体威胁。无可选项,无可省略。

全面加固: 当全部 12 项配置到位时,您的 OpenClaw 实例将从未加认证的 93.4% 中脱颖而出,成为符合企业级安全标准的加固部署。大多数攻击在配置良好的服务器上会直接失败而无声收场。
01

SSH 密钥专属认证

彻底禁用密码登录

密码 SSH 是任何 VPS 上最容易遭受攻击的入口。自动化机器人每小时对 22 端口发起数千次尝试,暴力破解常见和弱密码。我们为您生成 Ed25519 SSH 密钥对,将公钥安装到服务器,并在 /etc/ssh/sshd_config 中永久禁用 PasswordAuthentication。这在数学上让暴力破解变得不可能——没有可猜的东西。

02

Fail2ban 配置

暴力破解防护,自动封禁攻击者

即便启用密钥登录,持续扫描的机器人仍会浪费带宽、占据日志。Fail2ban 实时监控认证日志,对失败 3 次的 IP 自动封禁 24 小时。我们为 SSH、HTTP 认证和 OpenClaw 专用端点配置多个 jail,惯犯永久封禁。首周恶意流量可下降 95%。

03

UFW 防火墙规则

仅放行 22、80 和 443 端口

默认拒绝的防火墙是您的第一道防线。我们启用 UFW,默认拒绝所有入站流量,仅放行三个端口:22(SSH)、80(HTTP,用于 Let's Encrypt)、443(HTTPS)。其他所有端口——包括数据库、Docker 守护进程、Redis 和调试接口——都被静默丢弃。无响应、无连接、无足迹。

04

自动安全更新

unattended-upgrades 即时修复零日漏洞

关键 CVE 通常在披露后数小时内即有补丁,但前提是系统配置了自动更新。我们安装并配置 unattended-upgrades,每 6 小时自动从 Ubuntu/Debian 官方安全仓库拉取并应用补丁。内核更新在您选择的维护窗口(默认 UTC 凌晨 4 点)自动重启。您无需动手即可保持补丁最新。

05

Docker/Podman 沙箱化

绝不使用 --privileged 参数

使用 --privileged 运行容器等同于赋予其对宿主机的完全 root 权限,彻底违背容器化初衷。我们以最小必需能力(仅 NET_BIND_SERVICE)运行 OpenClaw,尽量使用只读根文件系统,启用 no-new-privileges 安全选项,并实施隔离网络。容器无法访问宿主机的设备、内核模块或其他容器。

06

OpenClaw 以非 root 用户运行

最小权限原则

OpenClaw 绝不以 root 身份运行。我们创建专用系统用户 openclaw,无登录 shell、无 sudo 权限,仅拥有必要目录的所有权。即便攻击者入侵 OpenClaw 进程,也会被限制在一个无权限的账户内,无法提权、修改系统文件或安装软件包。

07

环境变量加密

.env 权限锁定为 600

您的 .env 文件包含价值数百美元的 API 密钥——OpenAI、Anthropic、Google、Stripe。一把密钥泄露足以在一夜间烧掉 $6,000。我们将文件权限设为 600(仅属主可读写),属主为 openclaw 用户。该文件被排除在所有备份脚本和版本控制之外。对于 .env 文件不够用的生产环境,我们还会配置 Docker secrets。

08

API 接口限速

防止滥用与成本失控

未防护的 OpenClaw API 接口对任何找到它的人都是免费 AI 网关。我们在 nginx 中配置限速:聊天接口 30 次/分钟,认证接口 5 次/分钟,静态资源 100 次/分钟。突发额度允许合法流量的峰值,自定义限速响应头告知客户端剩余配额。超额请求返回 429,而非昂贵的 AI 补全。

09

CORS 策略配置

限制跨域访问

若不配置 CORS,任何互联网网站都能通过访客浏览器向您的 OpenClaw 实例发起请求。我们配置严格的 CORS 头:仅允许特定域名作为来源,凭据需显式开启,预检响应缓存 24 小时。这可防止跨站请求伪造和恶意网站的未授权 API 调用。

10

SSL/TLS 自动续期

Let's Encrypt 证书,永不失效

每一次 OpenClawPro 安装从第一天起即启用 HTTPS,使用 Let's Encrypt 证书。我们配置 Certbot 在到期前 30 天自动续期,强制 HTTP 重定向至 HTTPS,设置 1 年 max-age 的 HSTS 头,最低 TLS 1.2(首选 1.3),SSL Labs 评级达到 A+。没有混合内容警告、没有证书过期宕机、没有借口。

11

日志轮转与监控

在损害发生前发现入侵

日志就是您的安保摄像录像。我们为所有 OpenClaw、nginx 和系统日志配置 logrotate,保留 30 天并启用压缩。更重要的是,我们设置了日志监控告警:SSH 失败尝试超阈值、API 异常使用模式、容器重启循环、磁盘使用超 80%。一旦有异常,您会通过配置的消息渠道(Telegram、Discord 等)立即收到通知。

12

备份策略

每日自动快照

没有备份的安全事故是灾难,有备份则只是不便。我们为您的 OpenClaw 数据目录、Docker 卷和配置文件配置每日自动快照。备份经 AES-256 加密压缩,存放在独立位置(VPS 快照的不同目录或 S3 兼容存储桶)。我们保留 7 份每日、4 份每周、3 份每月备份,并在安装期间测试恢复流程。

真实威胁

以下绝非理论风险。下述每一种威胁都曾在 2025-2026 年的 OpenClaw 部署中真实出现。我们替您盯紧它们。

ClawHavoc — CVE-2026-25253

严重 — CVSS 9.8

ClawHavoc 于 2026 年 1 月被发现,是 OpenClaw MCP(模型上下文协议)服务器连接处理器中的远程代码执行漏洞。恶意 MCP 服务器可注入精心构造的工具响应,绕过 OpenClaw 输入过滤,使 AI 以 OpenClaw 进程权限执行任意 shell 命令。

攻击过程极其简单:攻击者在公共注册表中发布一个看似实用的 MCP 服务器(如「天气 API」或「股票行情」),当 OpenClaw 用户连接时,恶意服务器返回嵌入命令序列的工具响应。OpenClaw 将其转交给 AI 模型,模型忠实执行。不到 30 秒攻击者即可获得反向 shell。

受影响版本: OpenClaw v2024.12.0 至 v2026.1.14。所有用户必须立即升级至 v2026.1.15 或更高版本。补丁增加了严格的输入校验和 MCP 工具响应的沙箱层。

ClawHub 上的恶意技能

高风险

截至 2026 年 3 月,安全研究人员已在 OpenClaw 社区技能市场 ClawHub 上识别出 341 个恶意技能。它们从窃取 API 密钥的凭据收割技能,到悄悄消耗服务器 CPU 的挖矿程序,再到安装时开启反向 shell 的后门,无所不有。

ClawHub 团队已显著加强审核,但积压意味着新发布的技能可能 48-72 小时未经审查。我们建议仅安装下载量 100+、具备发布者认证徽章且源码经您本人审阅过的技能。OpenClawPro 安装包含一份经过审计的 50 款可信技能白名单。

提示注入攻击

中等风险

当 OpenClaw 处理外部数据——邮件、网页、文档——时,这些数据可能藏有操纵 AI 行为的隐蔽指令。一封精心构造的邮件可指示 OpenClaw 将所有后续消息转发给攻击者,恶意网页也可命令它泄露系统提示和 API 配置。

OpenClaw v2026.2+ 内置了基础提示注入检测,但并非万无一失。OpenClawPro 部署会额外增加输入清洗层,并在系统提示中明确加入反注入指令,显著降低此类攻击的成功率。

OAuth 配置不当导致令牌被盗

中等风险

OpenClaw 通过 OAuth 令牌与 Google Calendar、GitHub、Notion、Linear 等服务集成。常见误配置是将这些令牌明文存储在 SQLite 数据库或 Docker 卷中,且文件权限过于宽松。一旦服务器上其他服务被攻破,这些令牌就等于打开了所有关联账户的大门。

更糟的是,许多用户为 OAuth 令牌授予过宽的 scope——明明「只读」足够,却申请「完全访问」。OpenClawPro 为每项集成配置最小必需 scope,并将令牌存放在加密凭据库中,而非数据库明文。

安全验证清单

立即在服务器上运行以下命令,检查您的安全状态。每条命令验证一项关键加固步骤。若任何输出与预期不符,您的实例存在必须立即处理的漏洞。

检查开放端口

$ ss -tlnp

预期:应仅看到 22、80 和 443 端口

验证 Fail2ban 是否启用

$ sudo fail2ban-client status

预期:至少应显示 sshd 的 active jail

检查 UFW 防火墙状态

$ sudo ufw status verbose

预期:Status: active,默认入站 deny,出站 allow

Docker 特权检查

$ docker inspect --format='{{.HostConfig.Privileged}}' openclaw

预期:必须返回 "false"——绝不能是 "true"

.env 文件权限检查

$ stat -c "%a %U" /opt/openclaw/.env

预期:应显示 "600 openclaw"——而非 644 或 root

重要: 如有任一检查失败,说明您的 OpenClaw 实例存在风险。请勿拖延。要么立即按照上文对应的审计步骤修复,要么 联系我们 获取紧急加固支持。

我们为您实施

每一次 OpenClawPro 安装都包含本页所述的完整 12 项安全审计。无捷径、无「稍后再说」。在我们交付密钥前,服务器已完成加固。

12
安全审计项
A+
SSL Labs 评级
90min
平均审计时长
每个方案都包含安全服务。 12 项审计并非附加服务。它是每一次安装的必备内容,从 $169 入门方案开始即已包含。您的 AI 助手值得与任何生产级服务相同的安全标准。
查看方案 — $169 起先与我们沟通

常见问题

关于 OpenClaw 安全、我们的审计流程以及安装期间敏感数据处理的常见问题。