云厂商的一键部署教程很少写「装完之后怎么别被扫到」。
2026 年 3 月,国家互联网应急中心(CNCERT)与中国网络空间安全协会联合发布 《OpenClaw 安全使用实践指南》。同期央视网也转发了同类风险提示:OpenClaw(国内常称「龙虾」)因能执行系统命令、读写文件、调用外部 API,默认配置不当时可能导致远程接管、数据泄露或恶意代码执行。
如果你已经用阿里云/腾讯云装好了 OpenClaw,或正在考虑把 Gateway 接到微信/飞书/钉钉,这篇给你一份可打印的 10 条自检清单——每条都写清「怎么验」「没过怎么办」,并接上 OpenClaw 官方的 security audit 工具。
本文针对 OpenClaw,不是 Hermes Agent。两者命令与配置路径不同;Hermes 用户请看 一键部署之后的配置指南。
先搞清:OpenClaw 为什么「默认就不安全」
OpenClaw 的 Gateway 是一台长期运行的控制面:WebSocket + HTTP 复用在默认端口 18789(可用配置或环境变量 OPENCLAW_GATEWAY_PORT 修改)。它还可能在启用浏览器自动化时涉及 CDP 端口(常见 9222)。
一旦你把 Gateway 绑在 0.0.0.0 并映射到公网,攻击者可以:
- 扫描到暴露实例(公开情报曾提到全球大量暴露资产)
- 结合历史漏洞(如 WebSocket/本地 UI 相关 CVE)尝试未授权接管
- 通过恶意 Skill/插件供应链间接控制 Agent 行为
CNCERT 的建议核心就一句:最小暴露 + 强认证 + 可信插件 + 及时升级 + 定期审计。
自检前:确认版本与审计命令可用
在勾选下面 10 条之前,先跑:
openclaw --version
openclaw security audit
- 若
security audit不存在或报错,说明版本过旧或安装不完整,先按 OpenClaw 官方文档 升级到当前稳定版再自检。 - 公开漏洞修复时间线以官方 release 为准;业界通报的多项问题在 2026.4.2 及之后版本有修复,不要停留在 2026 年初的镜像。具体 CVE 编号与最低安全版本请查 GitHub Releases 与你部署当日的安全公告。
深度检查(推荐每次改配置后执行):
openclaw security audit --deep
允许自动收窄部分宽松策略时(先看清会改什么):
openclaw security audit --fix
10 条自检清单(对照 CNCERT + 官方安全文档)
下面表格适合复制到笔记或打印。「验证」列的命令在 Linux 服务器上执行;Windows 用户请对照官方 Windows 安全说明。
| # | 检查项 | 为什么要做 | 怎么验证(通过标准) | 未通过时怎么办 |
|---|---|---|---|---|
| 1 | 版本与补丁 | 已知漏洞多针对旧 Gateway/Web UI | openclaw --version 与 GitHub 最新 release 对比;security audit 无 Critical | 升级到官方当前稳定版;云镜像若不能升级则换可自维护部署方式 |
| 2 | Gateway 只监听本机 | 绑 0.0.0.0 等于对局域网/公网开门 | ss -tlnp | grep 18789 出现 127.0.0.1:18789 而非 0.0.0.0:18789 | 在 ~/.openclaw/openclaw.json 设 gateway.bind 为 loopback(见官方示例),重启 Gateway |
| 3 | 管理端口不暴露公网 | CNCERT 明确不建议 18789/19890 对公网开放 | 云安全组/防火墙无 18789 入站;curl -s ifconfig.me 公网 IP 扫不到该端口 | 删掉公网映射;远程只用 SSH 隧道/VPN,不要裸奔端口 |
| 4 | Gateway 认证已开启 | 无认证 = 谁连上谁控制 | security audit 未报 auth 缺失;配置中有 gateway.auth(token 或 password) | 生成足够长的随机 token;禁用「无认证调试」残留配置 |
| 5 | 禁止不安全 Control UI | 防止控制台认证被降级绕过 | 配置中 gateway.controlUi.allowInsecureAuth 为 false(或 audit 无相关 Critical) | 按 audit 提示改回 false;升级后复查 |
| 6 | 非 root / 最小权限用户运行 | 被攻破时缩小破坏半径 | 进程属主为专用账号;工作目录权限不过宽 | 新建低权用户;仅开放必要目录;云厂商文档中的 root 一键装需改运行用户 |
| 7 | 容器或隔离环境 | CNCERT 建议限制权限与文件访问 | Docker/Podman 运行或等价沙箱;敏感目录未整盘挂载可写 | 勿在主力笔记本裸机长期跑;生产用独立 VPS + 隔离 |
| 8 | 插件/Skill 来源可信 | 社区曾通报第三方 Skill 恶意代码比例 | 仅官方/已审计来源;关闭不可信自动更新 | 卸载来源不明 Skill;定期审查 skills 目录变更 |
| 9 | 密钥不落盘、不进仓库 | .env 误提交可导致 API/IM 令牌泄露 | 密钥仅在环境变量或密钥管理;git status 无 .env | 轮换已泄露 key;用 chmod 600 限制配置文件 |
| 10 | 定期安全审计 + 日志 | 配置漂移(尤其重启/升级后) | 每周 security audit --deep;openclaw logs 无异常陌生 IP | 按 audit 修复;改密码/token;必要时下线 Gateway 复盘 |
勾选规则:10 条全过 = 可长期开机;任一条 Critical 级 audit 项 = 先修再对接生产 IM 群。
第 2、3、4 步展开(最高频踩坑)
端口与绑定:30 秒确认
在服务器上:
ss -tlnp | grep -E '18789|9222'
| 输出含义 | 风险 |
|---|---|
0.0.0.0:18789 或 :::18789 | 高:对全网卡监听 |
127.0.0.1:18789 | 低:仅本机(仍需 token) |
0.0.0.0:9222 | 高:浏览器 CDP 暴露 |
官方推荐形态(结构示例,token 请自行生成,勿照抄占位符):
{
gateway: {
mode: "local",
bind: "loopback",
port: 18789,
auth: { mode: "token", token: "<YOUR_LONG_RANDOM_TOKEN>" },
},
}
配置文件路径一般为 ~/.openclaw/openclaw.json。改完后:
openclaw gateway restart
openclaw security audit --deep
远程访问:正确与错误做法
| 做法 | 评价 |
|---|---|
安全组开放 18789 给 0.0.0.0/0 | 错误 |
| 家用路由器端口转发 Gateway | 错误 |
| SSH 本地转发后再开 Control UI | 可接受(需 SSH 本身安全) |
| Tailscale/WireGuard 等组网 | 可接受(CNCERT 提醒勿配置不当导致等价于公网暴露) |
CNCERT 原话方向是:远程用 VPN 等通道,并启用强认证;不是把 Gateway 直接挂在公网 IP 上。
IM 渠道(微信/钉钉/飞书/QQ)额外一条
对接企业 IM 时,除 Gateway 本身,还要确认:
- 仅本人或明确授权的人能触发 Bot(群聊建议 @ 才回复、白名单会话)
- Bot Token / App Secret 不进截图、不进公众号文章、不进 Git
- 测试群与生产群隔离,避免 Agent 在测试时误操作生产文件
和 Hermes Agent 的安全基线差在哪(避免混用)
很多人同时装过 Hermes 与 OpenClaw,但不能套用同一套命令:
| 维度 | OpenClaw | Hermes Agent |
|---|---|---|
| 配置目录 | ~/.openclaw/ | ~/.hermes/ 等(以官方为准) |
| 安全审计 | openclaw security audit | hermes doctor 等 |
| 默认端口 | 18789(Gateway) | 依 Gateway/渠道配置而定 |
OpenClaw 的 CNCERT 指南不自动覆盖 Hermes。若你跑的是 Hermes,仍应升级 v0.14 安全修复 并复查 IM 白名单。
企业/团队:在 10 条之上再加 3 条
| 条 | 内容 |
|---|---|
| A | 一人一 Gateway(或至少一人一 OS 用户),不要多人共用一个高权限 Gateway |
| B | 变更必审计:每次加 Skill、改 openclaw.json、升版本后跑 --deep |
| C | 云镜像责任边界:弄清「谁负责 OpenClaw 补丁」——厂商、你自己还是外包 |
自检记录模板(可带走)
日期:________ 执行人:________ 主机:________
[ ] 1 版本与补丁 当前版本:________
[ ] 2 loopback 绑定 ss 结果:________
[ ] 3 无公网暴露 安全组/端口映射:________
[ ] 4 Gateway 认证 auth 模式:________
[ ] 5 安全 Control UI allowInsecureAuth=false
[ ] 6 非 root 运行 运行用户:________
[ ] 7 容器/隔离 方式:________
[ ] 8 插件来源审查 Skill 数量/来源:________
[ ] 9 密钥管理 轮换周期:________
[ ] 10 audit --deep 结果:Critical___ High___
备注:_________________________________
以官方为准
- CNCERT 实践指南:国家互联网应急中心发布页(2026-03-23)
- OpenClaw 安全专题:Gateway 安全文档
- 配置项名称、audit 子命令输出会随版本变化;以你执行
openclaw --version当天文档为准。
本文不构成法律或等保测评结论;企业合规请另行做正式风险评估。
相关文章:Hermes / OpenClaw 4 月更新与 QQBot · Hermes 一键部署之后配置 · Hermes v0.14 安全与升级