浅析 OpenClaw 的诱惑与危险
当前最热门的 AI 助手 OpenClaw,正以最高系统权限(root)广泛运行,带来了显著的安全风险。在深入阅读前,请核查以下几点:
- 检查运行权限:确认您的 AI 助手是否以 root 账户运行?将其改为普通用户。
- 停止危险脚本习惯:是否曾使用
curl | bash或wget | bash等命令?务必遵循“先下载、审查、后执行”的原则。 - 保护敏感凭据:API 密钥、密码等是否曾直接出现在命令行中?将其移入环境变量或加密配置文件中。
- 控制网络暴露:是否将 OpenClaw 的 Web 界面暴露在公网?确保仅限特定IP访问,或仅允许通过IM软件进行使用。
- 开启定期审计:请立即审查 OpenClaw 的历史命令记录,排查是否存在凭据泄露或危险操作。
0x01 OpenClaw
一月下旬,一款名为 OpenClaw(原名Clawdbot/Moltbot) 的开源AI助理应用在中外技术社区与社交媒体上迅速走红,从 X、Reddit 到中文技术圈频频刷屏。
OpenClaw 运行在使用者自己的环境中(比如本地电脑、个人服务器等等),并且交互的方式直接回归到了用户熟悉的聊天软件之中,就像是与一位同事或朋友交谈那样。
0x02 网络安全风险
许多用户为了方便,直接将 Web 界面暴露在公网,仅依赖一个 Token 进行鉴权——这相当于只给敞开的大门挂了一把简单的锁。
| 端口号 | 风险说明 |
|---|---|
| 18789 | 默认 Web 端口,虽需 Token 授权,但 Web 应用本身可能存在未知安全漏洞。 |
| 443 | HTTPS 端口,部分开发者改用此协议访问控制台,实际上它仅能保护数据传输过程,无法确保应用安全。 |
| 22 | 若同时开放 SSH 端口,弱口令风险巨大,一旦被暴力破解,攻击者将直接获得服务器控制权,后果严重。 |
0x03 恶意插件与指令
- 供应链投毒:不经意安装了某些被刷好评的恶意插件或技能
- 提示词注入:你的 AI 助手执行阅读邮件、网页等指令时被注入恶意指令
- 查看history命令记录、查看敏感配置文件、甚至执行恶意脚本等
0x04 云厂商的态度
在安全与易用的平衡上,国内云厂商对 OpenClaw 类工具的态度均较为克制,但也有些分歧。
阿里云
倾向于快速部署,在官方文档中提供了完整的 OpenClaw 集成指南,并默认开启 Web 控制台功能(有安全提示)。
腾讯云
态度则更为谨慎,其一键部署镜像默认关闭了 WEB 控制台,指引用户安全登陆,并在相关教程中提示:“强烈建议你在使用结束后,及时关闭 WebUI 面板”
- 参考链接1:https://cloud.tencent.com/developer/article/2625602
- 参考链接2:https://cloud.tencent.com/developer/article/2624003
来自安全厂商的测绘数据
截止发稿时关于 OpenClaw Web 端口的暴露数据(仅供参考,不做评价)
| 厂商 | 暴露数 |
|---|---|
| 阿里云 | 9,974 |
| DigitalOcean, LLC | 2,261 |
| Hetzner Online GmbH | 2,199 |
| 腾讯 | 1,436 |
| OVH SAS | 487 |
0x05 现在该做什么?
给产品方 (OpenClaw)
- 安全引导:安装时强制创建并建议使用非 root 用户;提供配置文件加密选项
- 风险控制:实现凭据在日志中的自动脱敏;建立危险命令(如
rm -rf)拦截与二次确认机制 - 审计与权限:提供详细的审计日志;支持命令白名单/黑名单功能
给云平台(各大云厂)
- 最佳实践:提供更安全的开箱环境
- 安全倡导:在相关文档和教程中明确进行安全操作引导
- 防御升级:持续关注并主动防护与此类工具相关的新的攻击面
给终端用户
- 坚守安全基线:定期离线备份数据;定期审查 AI 助手的历史命令
- 贯彻最小权限原则:
- 为 OpenClaw 创建专用、低权限的系统用户
- 若需提权,在配置 sudo 权限时,严格限定仅允许执行必要的命令
- 考虑使用文件系统访问控制列表(FACL)进行更细粒度的权限控制
- 在独立的网络进行部署,并安装主机安全类产品进行异常监测
- 独立的网络VPC、独立的API密钥、不要存敏感数据
0x06 关键在于平衡
- 拥抱效率,但不牺牲安全。
- 信任 AI,但不放弃控制。
- 追求自动化,但保留关键的人工干预点。
结语:技术永远是一把双刃剑。AI 助手可以是你最得力的助手,也可能成为最危险的隐患。区别在于,你是否给予了正确的指引和必要的约束。