微信扫码
添加专属顾问
你的AI助手可能正被黑客操控!5分钟快速检测OpenClaw实例是否安全,附赠紧急修复指南。 核心内容: 1. OpenClaw漏洞的严重性及黑客攻击手段解析 2. 5分钟自检清单:判断你的实例是否暴露在风险中 3. 从基础防护到深度加固的分级安全解决方案
导读:你的“数字员工”可能正在被黑客远程控制。2026年初,爆火的开源AI代理工具OpenClaw(大龙虾)曝出高危漏洞,全球数万台设备面临“一键被黑”风险。虽然官方在3月9日紧急发布了修复版v2026.3.8,但仍有大量用户停留在危险版本。本文提供一份保姆级安全自检清单,只需5分钟,教你判断实例是否“裸奔”,并给出从卸载到加固的分级生存指南。
2026年1月,开源社区迎来了一位超级明星——OpenClaw(曾用名Clawdbot、Moltbot)。
它被誉为“运行在你本地的贾维斯”。不同于只会聊天的LLM,OpenClaw是一个真正的行动派AI代理(Agent)。它能帮你自动回复微信、整理Notion笔记、在GitHub上提交代码,甚至控制家里的智能灯光。上线仅三周,其GitHub星标数就突破了18万,被TechCrunch称为“2026年最落地的AI应用”。
对于开发者、极客和效率追求者来说,拥有一只自己的“大龙虾”成了当时的潮流。大家兴奋地配置技能(Skills),连接OAuth,享受着AI带来的生产力飞跃。
然而,狂欢在2026年2月初戛然而止。
安全研究人员披露了一个编号为CVE-2026-25253的高危远程代码执行(RCE)漏洞。这个漏洞的CVSS评分高达8.8(满分10分),属于“严重”级别。紧接着的48小时内,官方被迫连发三个版本修复了包括Token泄露在内的7个CVE漏洞。
漏洞原理简单得令人发指:攻击者不需要高超的黑客技术,只需要构造一个恶意的网页链接。当安装了旧版OpenClaw的用户点击这个链接时,浏览器中的恶意脚本会利用OpenClaw本地服务(默认监听在127.0.0.1:18789)的信任机制缺陷,通过WebSocket直接接管本地实例。
后果是灾难性的:
rm -rf /、安装后门、窃取SSH密钥)。据不完全统计,截至2026年2月中旬,全球仍有超过1.5万台OpenClaw实例暴露在风险中。许多用户在不知情的情况下,他们的“数字员工”已经变成了黑客的“肉鸡”。
就在大家人心惶惶之时,2026年3月9日(两天前),OpenClaw官方正式发布了v2026.3.8稳定版。
这是一个里程碑式的版本。它不仅彻底修复了之前的RCE漏洞,还引入了多项关键的安全增强功能:
openclaw backup create/verify 命令,确保在遭受攻击或配置错误时能快速回滚。system.run 的权限,绑定脚本快照,防止执行被篡改的脚本。但是,补丁不等于安全。如果你还没有升级到 v2026.3.8,或者虽然升级了但配置依然沿用旧的“裸奔”习惯(如绑定 0.0.0.0、未撤销旧Token),那么你依然处于危险之中。
现在,请深呼吸。无论你是否已经遭遇攻击,立即停止盲目操作,跟随本文的“5分钟自检清单”,为你的实例穿上一件防弹衣。
在进行具体技术操作前,我们需要先明确你的使用场景。不同的场景对应着完全不同的风险等级和处理策略。请诚实回答以下问题,找到属于你的“生存方案”。
openclaw stop。rm -rf ~/.openclaw (Mac/Linux) 或 %USERPROFILE%\.openclaw (Windows)。openclaw backup create --only-config 备份配置。openclaw backup create,保存当前安全状态。0.0.0.0,且没有配置强密码或防火墙,端口(默认18789)可直接从外网访问。~/.openclaw/logs/ 下的日志文件,寻找异常的执行记录。如果你属于“日常使用”用户,且确认尚未被入侵(或已完成重装),请立即打开终端,跟随以下步骤进行“体检”。整个过程不超过5分钟。
目标:确保你不在漏洞版本范围内,且用上了最新的安全特性。标准:必须是 v2026.3.8 或更高。
openclaw --version
(如果是Docker部署,输入 docker exec <容器名> openclaw --version)v2026.3.8 或更高(注意:有些版本可能带有commit hash后缀,只要主版本号对即可)。v2026.3.8(特别是 v2026.1.28 及以下,v2026.2.x 系列也存在其他CVE)。# npm全局安装更新
npm install -g openclaw@latest
# 或者指定版本
npm install -g openclaw@2026.3.8
# Docker更新
docker pull openclaw/openclaw:latest
docker stop <容器名> && docker rm <容器名>
# 重新运行容器(注意保留卷挂载)
注意:更新后务必重启服务使补丁生效。目标:确认你的实例是否只允许本地访问。 这是最关键的一步。很多用户以为“没做端口映射”就安全了,其实配置文件里的绑定地址才是关键。
方法A:使用内置审计命令(推荐)新版OpenClaw自带安全检查工具:
openclaw security audit
观察输出结果:
Gateway binding is secure (127.0.0.1)WARNING: Gateway is bound to 0.0.0.0! Public exposure detected.方法B:手动检查配置文件如果命令不可用,直接查看配置文件:
"127.0.0.1" 或 "localhost"。这意味着只有你这台电脑能访问。"0.0.0.0"。这意味着互联网上的任何人都能尝试连接你的实例。~/.openclaw/openclaw.json (Linux/Mac) 或 %USERPROFILE%\.openclaw\openclaw.json (Windows)。"bind" 或 "host"。方法C:外网连通性测试(终极验证)
如何修复暴露问题?修改 openclaw.json:
{
"gateway": {
"bind": "127.0.0.1", // 改这里!
"port": 18789
}
}
如果需要远程访问怎么办?绝对不要直接绑定 0.0.0.0!请使用 SSH隧道 或 Tailscale:
# SSH隧道示例
ssh -L 18789:127.0.0.1:18789 user@your-home-ip
# 然后在远程浏览器访问 http://localhost:18789 即可安全连接
127.0.0.1 并重启服务。http://<你的电脑公网IP>:18789。目标:清退恶意或不明来源的“内鬼”。 OpenClaw的强大源于技能(Skills),但这也是最大的风险点。恶意技能可以伪装成“PDF总结工具”,实则在后台记录你的键盘输入。
列出已安装技能:
openclaw skills list
逐一审查: 检查列表中的每一个技能,问自己三个问题:
典型案例:曾有一个名为 quick-clipboard 的热门技能,代码中包含一段逻辑:每次读取剪贴板时,悄悄将内容发送到攻击者的服务器。
main.js 或 index.py 看看。重点搜索关键词:fetch( (向外发送数据), fs.readFile (读取敏感文件), exec( (执行系统命令)。清理动作: 对于任何可疑、不再使用或来源不明的技能,坚决卸载:
openclaw skills uninstall <skill-name>
原则:最小化安装。只保留核心必需品。
目标:防止Token泄露导致的连锁反应。 即使你的OpenClaw实例安全了,如果之前泄露的OAuth Token还在有效期内,黑客依然可以通过其他途径控制你的账号。
检查通讯软件授权:
轮换API Key: 如果你在OpenClaw配置文件中填入了 LLM Provider 的 API Key(如OpenAI, Anthropic, 阿里云百炼等),建议全部重置。
openclaw.json 中。目标:确保在出事时有“后悔药”。 v2026.3.8 引入了强大的备份功能,这是之前版本没有的。
openclaw backup create --include-workspace
这会创建一个包含配置和工作区状态的归档文件。openclaw backup verify <备份文件名>
确保备份文件完整可用。完成了上述5分钟自检,你只能算是“脱离了生命危险”。要在AI时代长期安全地使用OpenClaw,还需要建立更深层次的防御体系。
永远不要直接在宿主机(尤其是你的主力开发机)上运行OpenClaw。 推荐使用 Docker 进行隔离,限制其对宿主机的访问权限。
安全启动示例:
docker run -d \
--name openclaw-secure \
--read-only \ # 文件系统只读,防止写入恶意文件
--tmpfs /tmp \ # 临时目录可写
--cap-drop=ALL \ # 丢弃所有Linux能力
--no-new-privileges \ # 禁止提权
-p 127.0.0.1:18789:18789 \ # 仅绑定本地回环
-v ~/openclaw-data:/app/data \ # 仅挂载必要的数据目录
openclaw/openclaw:2026.3.8
解释:
--read-only:即使黑客攻入容器,也无法修改系统文件或植入持久化后门。--cap-drop=ALL:剥夺容器操作网络、硬件等底层权限。-p 127.0.0.1:...:双重保险,确保Docker层面也不对外暴露。如果你的业务确实需要多人协作或远程访问:
.ts.net 域名直连,更加安全便捷。ocl_user)来运行OpenClaw,不要用 root 或 Administrator。sudo useradd -m -s /bin/bash ocl_user
sudo chown -R ocl_user:ocl_user ~/.openclaw
system.run 的安全性,绑定了脚本快照。不要尝试关闭这一保护,也不要随意批准未知脚本的执行请求。不要等到数据丢了才发现。
log_level: "debug"。403 Forbidden(暴力破解尝试)或异常的 POST /api/exec 请求,立即触发告警(发送邮件或短信)。iftop 或 Wireshark 观察OpenClaw进程的网络连接。如果它突然向一个陌生的海外IP发送大量数据,立刻断网!在安全社区的实际交流中,我们发现用户对OpenClaw安全存在不少误解。以下是高频问题的解答。
Q1: “我改了端口(比如从18789改成29999),是不是就安全了?”
Q2: “我的电脑有防火墙(Windows Defender / ufw),是不是不用怕了?”
127.0.0.1 的流量。你必须显式配置防火墙规则,禁止非本地进程访问OpenClaw端口,或者直接修改OpenClaw绑定地址。Q3: “我已经更新了最新版,是不是可以高枕无忧了?”
Q4: “如果我不小心点了恶意链接,但马上关掉了网页,会有事吗?”
Q5: “OpenClaw更新这么快,我还要继续用吗?”
OpenClaw的这次安全危机,给狂热的AI社区敲响了警钟。我们渴望拥有像“贾维斯”一样全能的助手,却往往忽略了赋予它权力时的代价。
AI代理(Agent)的本质,是权力的让渡。当你把API Key、文件系统权限、网络访问权交给一个程序时,你实际上是在签署一份“信任契约”。如果这份契约缺乏技术约束(如鉴权、沙箱、审计),那么背叛只是时间问题。
对于每一位OpenClaw用户,请记住这三句话:
技术本身没有善恶,但使用技术的方式决定了结局。一只没有盔甲的龙虾,在深海里既是捕猎者,也是猎物。希望这份自检清单,能成为你那件坚实的“防弹衣”。
最后,行动起来!现在就打开终端,花5分钟检查一下你的实例。
如果你发现身边还有朋友在“裸奔”,请把这篇文章转发给他们。在AI安全的战场上,没有人是一座孤岛。
为了方便大家,我们编写了一个简单的Shell脚本,你可以复制保存为 check_openclaw.sh 并运行。此脚本已适配最新版本检查逻辑。
#!/bin/bash
echo"🛡️ OpenClaw 安全快速自检脚本 (v2.0 - 适配2026.3.8)"
echo"----------------------------------------------------"
# 1. 检查版本
echo"🔍 [1/5] 检查版本..."
VERSION=$(openclaw --version 2>&1 | grep -oP 'v?\d{4}\.\d+\.\d+' | head -n 1 || echo"Unknown")
if [[ "$VERSION" == "Unknown" ]]; then
echo"❌ 无法获取版本,请确认是否安装。"
elif [[ "$VERSION" < "v2026.3.8" ]] && [[ "$VERSION" < "2026.3.8" ]]; then
echo"🚨 危急!当前版本 $VERSION 存在已知高危漏洞!请立即运行 'npm install -g openclaw@latest'"
else
echo"✅ 版本安全:$VERSION"
fi
# 2. 检查绑定地址
echo"🔍 [2/5] 检查网络绑定..."
CONFIG_FILE="$HOME/.openclaw/openclaw.json"
if [ -f "$CONFIG_FILE" ]; then
BIND_ADDR=$(grep -oP '"bind"\s*:\s*"\K[^"]+'"$CONFIG_FILE" || grep -oP '"host"\s*:\s*"\K[^"]+'"$CONFIG_FILE")
if [[ "$BIND_ADDR" == "0.0.0.0" ]]; then
echo"🚨 危急!实例绑定在 0.0.0.0,已暴露公网风险!请修改为 127.0.0.1"
elif [[ "$BIND_ADDR" == "127.0.0.1" ]] || [[ "$BIND_ADDR" == "localhost" ]]; then
echo"✅ 网络配置安全:$BIND_ADDR"
else
echo"⚠️ 警告:未知绑定地址 $BIND_ADDR,请人工确认。"
fi
else
echo"⚠️ 未找到配置文件,可能未初始化或使用默认值。"
fi
# 3. 检查端口监听
echo"🔍 [3/5] 检查端口监听状态..."
# 检查是否有进程监听在非127.0.0.1的18789端口
LISTEN_STATUS=$(netstat -tuln 2>/dev/null | grep 18789 || ss -tuln | grep 18789)
ifecho"$LISTEN_STATUS" | grep -q "0.0.0.0:18789\|*:18789"; then
echo"🚨 危急!检测到端口 18789 对所有IP开放!"
else
echo"✅ 端口监听正常(仅本地或未运行)。"
fi
# 4. 检查备份
echo"🔍 [4/5] 检查备份状态..."
BACKUP_DIR="$HOME/.openclaw/backups"
if [ -d "$BACKUP_DIR" ]; then
COUNT=$(ls -1 "$BACKUP_DIR" 2>/dev/null | wc -l)
if [ "$COUNT" -gt 0 ]; then
echo"✅ 发现 $COUNT 个备份文件。"
else
echo"⚠️ 警告:备份目录为空,建议运行 'openclaw backup create'。"
fi
else
echo"⚠️ 警告:未找到备份目录,建议运行 'openclaw backup create'。"
fi
# 5. 提醒OAuth
echo"🔍 [5/5] 安全提示..."
echo"💡 请记得去 Telegram/Discord/Slack 撤销旧的Bot授权,并轮换API Key。"
echo"💡 如需远程访问,请使用 SSH 隧道或 Tailscale,严禁绑定 0.0.0.0。"
echo"----------------------------------------------------"
echo"自检结束。如有🚨标记,请立即处理!"
(注:使用前请赋予执行权限 chmod +x check_openclaw.sh)
53AI,企业落地大模型首选服务商
产品:场景落地咨询+大模型应用平台+行业解决方案
承诺:免费POC验证,效果达标后再合作。零风险落地应用大模型,已交付160+中大型企业
2026-06-30
运维界的 OpenClaw 来了!
2026-06-30
刚刚,OpenClaw和Cursor杀入手机!Agent从此塞进口袋
2026-06-21
openclaw深度实践(四种场景:企业提效参考)
2026-06-21
OpenClaw不仅仅是聊天框,还是Agent后台引擎,通过API接入现有平台
2026-06-18
OpenClaw MetaSKILLs 系统深度解析:AI Agent 正在学会「自己给自己写技能」
2026-06-17
OpenClaw 6.8 震撼发布:不堆噱头,彻底治愈 Agent 的“宕机失忆症”
2026-06-01
OpenClaw 5月28日更新:更加提升稳定性
2026-05-31
Claw Team 在 SRE 场景下的实践
2026-04-09
2026-04-15
2026-05-03
2026-04-09
2026-04-13
2026-04-18
2026-04-04
2026-04-08
2026-05-29
2026-04-08
2026-04-09
2026-04-07
2026-04-02
2026-03-30
2026-03-30
2026-03-26
2026-03-24
2026-03-24
欢迎您使用【53AI 官方网站】(以下简称“本网站”或“我们”)。本《会员服务协议》(以下简称“本协议”)是您(以下简称“会员”或“用户”)与【深圳市博思协创网络科技有限公司】之间关于注册、登录及使用本网站会员服务所订立的法律协议。
在您注册或登录前,请务必审慎阅读、充分理解各条款内容,特别是免除或限制责任的条款、知识产权条款、争议解决条款等。此类条款将以加粗形式提示您注意。 当您通过微信公众号授权、手机验证码验证或其他方式成功登录本网站时,即视为您已完全理解并同意接受本协议的全部内容。
一、 定义
本网站:指由【深圳市博思协创网络科技有限公司】运营的,域名为【53ai.com】的网站及相关移动端页面。
会员服务:指本网站向注册会员提供的知识库文章查阅、内容检索及其他相关增值服务。
知识库内容:指本网站发布的包括但不限于文字、图表、数据、研究报告、行业分析等数字化内容资源。
二、 账号注册与登录
登录方式:本网站支持以下登录方式,您可根据实际情况选择:
微信公众号授权登录:您同意将您的微信OpenID信息授权给本网站,用于创建或关联会员账号。
手机验证码登录:您需提供真实有效的手机号码,并通过短信验证码完成身份验证与登录/注册。
账号安全:您的账号仅限您本人使用,禁止赠与、借用、租用、转让或售卖。因您保管不善导致的账号被盗、密码泄露等损失,由您自行承担。
实名认证:根据相关法律法规要求,我们可能要求您在特定功能下完成实名认证。如您拒绝提供,可能无法使用部分或全部服务。
未成年人保护:若您未满18周岁,请在法定监护人的陪同下阅读本协议,并在征得监护人同意后使用本服务。
三、 服务内容与规范
知识库查阅权限:会员登录后,有权按照其会员等级对应的权限范围,在线浏览、检索本网站知识库中的相关文章及内容。
服务变更:我们有权根据业务发展需要,调整、变更或终止部分服务内容,并将以网站公告、公众号消息等方式提前通知。
禁止行为:您在使用服务时不得实施以下行为:
利用技术手段批量爬取、下载、转存知识库内容;
将知识库内容用于商业目的或未经授权地向第三方传播;
干扰本网站正常运行或侵犯其他用户合法权益;
发布违法违规信息或从事违反公序良俗的活动。
四、 知识产权声明
权利归属:本网站知识库中的排版设计、软件代码等内容的知识产权均归【公司全称】或原权利人所有,受《中华人民共和国著作权法》等法律保护。
有限许可:本网站授予会员一项非独占、不可转让、不可转授权的普通许可,仅限于个人学习、研究之目的在线查阅知识库内容。
侵权追责:未经书面许可,任何单位或个人不得以任何形式复制、转载、摘编、镜像、汇编或以其他方式使用上述内容。一经发现,我们保留追究其法律责任的权利。
五、 个人信息保护
我们重视对您个人信息的保护。关于我们如何收集、使用、存储和保护您的个人信息,请单独阅读 《隐私政策》。
您通过微信公众号授权或手机号验证所提供的信息,我们将严格按照《个人信息保护法》的规定处理,仅用于身份识别、服务提供及安全验证等必要用途。
您可以随时通过网站设置或联系客服行使查阅、更正、删除个人信息及撤回授权同意的权利。
六、 免责声明
内容准确性:知识库内容仅供参考,不构成专业建议。我们不对其完整性、准确性、时效性作任何明示或暗示的保证,您应自行判断并承担使用风险。
不可抗力:因自然灾害、政策法规变化、网络故障、第三方平台接口异常(如微信接口维护、运营商短信通道故障)等不可抗力导致的服务中断或延迟,我们不承担违约责任。
第三方链接:本网站可能包含指向第三方网站的链接,该等网站的内容和服务不受我们控制,请您自行甄别风险。
七、 违约责任
如您违反本协议约定,我们有权视情节采取警告、限制功能、暂停服务、注销账号等措施,并保留要求赔偿损失的权利。
如因您的违约行为导致我们遭受行政处罚、第三方索赔或商誉损失,您应承担全部赔偿责任(包括但不限于罚款、赔偿金、律师费、公证费等)。
八、 法律适用与争议解决
本协议的订立、执行和解释均适用中华人民共和国大陆地区法律。
因本协议产生的或与本协议有关的任何争议,双方应友好协商解决;协商不成的,任何一方均可向【公司所在地】有管辖权的人民法院提起诉讼。
九、 其他
本协议构成双方就本服务达成的完整协议,取代此前任何口头或书面约定。
本协议任一条款被认定为无效或不可执行的,不影响其他条款的效力。
我们对本协议享有最终解释权,并在法律允许的范围内保留随时修改的权利。修改后的协议一经公布即生效,继续使用服务即视为同意修订内容。