浅析 OpenClaw 的诱惑与危险

当前最热门的 AI 助手 OpenClaw,正以最高系统权限(root)广泛运行,带来了显著的安全风险。在深入阅读前,请核查以下几点:

  1. 检查运行权限:确认您的 AI 助手是否以 root 账户运行?将其改为普通用户。
  2. 停止危险脚本习惯:是否曾使用 curl | bashwget | bash 等命令?务必遵循“先下载、审查、后执行”的原则。
  3. 保护敏感凭据:API 密钥、密码等是否曾直接出现在命令行中?将其移入环境变量或加密配置文件中。
  4. 控制网络暴露:是否将 OpenClaw 的 Web 界面暴露在公网?确保仅限特定IP访问,或仅允许通过IM软件进行使用。
  5. 开启定期审计:请立即审查 OpenClaw 的历史命令记录,排查是否存在凭据泄露或危险操作。

0x01 OpenClaw

一月下旬,一款名为 OpenClaw(原名Clawdbot/Moltbot) 的开源AI助理应用在中外技术社区与社交媒体上迅速走红,从 X、Reddit 到中文技术圈频频刷屏。

OpenClaw 运行在使用者自己的环境中(比如本地电脑、个人服务器等等),并且交互的方式直接回归到了用户熟悉的聊天软件之中,就像是与一位同事或朋友交谈那样。

0x02 网络安全风险

许多用户为了方便,直接将 Web 界面暴露在公网,仅依赖一个 Token 进行鉴权——这相当于只给敞开的大门挂了一把简单的锁。

端口号 风险说明
18789 默认 Web 端口,虽需 Token 授权,但 Web 应用本身可能存在未知安全漏洞。
443 HTTPS 端口,部分开发者改用此协议访问控制台,实际上它仅能保护数据传输过程,无法确保应用安全。
22 若同时开放 SSH 端口,弱口令风险巨大,一旦被暴力破解,攻击者将直接获得服务器控制权,后果严重。

0x03 恶意插件与指令

  • 供应链投毒:不经意安装了某些被刷好评的恶意插件或技能
  • 提示词注入:你的 AI 助手执行阅读邮件、网页等指令时被注入恶意指令
    • 查看history命令记录、查看敏感配置文件、甚至执行恶意脚本等

0x04 云厂商的态度

在安全与易用的平衡上,国内云厂商对 OpenClaw 类工具的态度均较为克制,但也有些分歧。

阿里云

倾向于快速部署,在官方文档中提供了完整的 OpenClaw 集成指南,并默认开启 Web 控制台功能(有安全提示)。

腾讯云

态度则更为谨慎,其一键部署镜像默认关闭了 WEB 控制台,指引用户安全登陆,并在相关教程中提示:“强烈建议你在使用结束后,及时关闭 WebUI 面板”

来自安全厂商的测绘数据

截止发稿时关于 OpenClaw Web 端口的暴露数据(仅供参考,不做评价)

厂商 暴露数
阿里云 9,974
DigitalOcean, LLC 2,261
Hetzner Online GmbH 2,199
腾讯 1,436
OVH SAS 487

0x05 现在该做什么?

给产品方 (OpenClaw)

  • 安全引导:安装时强制创建并建议使用非 root 用户;提供配置文件加密选项
  • 风险控制:实现凭据在日志中的自动脱敏;建立危险命令(如 rm -rf)拦截与二次确认机制
  • 审计与权限:提供详细的审计日志;支持命令白名单/黑名单功能

给云平台(各大云厂)

  • 最佳实践:提供更安全的开箱环境
  • 安全倡导:在相关文档和教程中明确进行安全操作引导
  • 防御升级:持续关注并主动防护与此类工具相关的新的攻击面

给终端用户

  • 坚守安全基线:定期离线备份数据;定期审查 AI 助手的历史命令
  • 贯彻最小权限原则
    • 为 OpenClaw 创建专用、低权限的系统用户
    • 若需提权,在配置 sudo 权限时,严格限定仅允许执行必要的命令
    • 考虑使用文件系统访问控制列表(FACL)进行更细粒度的权限控制
  • 在独立的网络进行部署,并安装主机安全类产品进行异常监测
    • 独立的网络VPC、独立的API密钥、不要存敏感数据

0x06 关键在于平衡

  • 拥抱效率,但不牺牲安全。
  • 信任 AI,但不放弃控制。
  • 追求自动化,但保留关键的人工干预点。

结语:技术永远是一把双刃剑。AI 助手可以是你最得力的助手,也可能成为最危险的隐患。区别在于,你是否给予了正确的指引和必要的约束。

文章作者: 若海; 原文链接: https://www.rehiy.com/post/612/; 转载需声明来自若海观澜

添加新评论