你的 OpenClaw 可能正在“反水”！立即完成关键防护

一、避免服务直接暴露于公网

当您需要远程访问OpenClaw时，请切勿直接将服务端口开放至公网——这可能导致攻击者绕过应用层，直接调用高危功能，进而执行任意命令、窃取敏感数据，甚至完全接管服务器。推荐以下两种方案

• 方案一： Nginx 反向代理 + 认证访问
  配置Nginx反向代理，启用HTTPS证书并设置IP白名单或身份认证，确保仅授权用户可访问。

• 方案二：IP 白名单限制访问源
  限制仅指定IP可访问OpenClaw（ECS通过安全组配置，轻量服务器通过防火墙IP白名单设置）。

二、做好身份访问控制

OpenClaw基于“个人专属助理”的使用场景设计，与千问APP等多用户云端服务不同，其默认仅由单一可信用户操作，因此建议在OpenClaw的通道配置中启用 dmPolicy: allowlist，即将私信（Direct Message, DM）访问权限设置为仅白名单用户ID。

参考配置如下：

{
  channels: {
    <channel-name>: {
      ...
      dmPolicy: "allowlist", ## 设置为仅允许指定ID私聊
      allowFrom: [<id>],## 白名单，列出授权的ID
      ...
    },
  },
}

三、谨慎使用第三方Skills

ClawHub插件市场允许任意用户发布插件，缺乏身份验证和代码审核，存在恶意插件投毒风险。为保障系统安全，请遵循以下原则：

• 谨慎执行终端命令
  对于任何Skill文档（SKILL.md/README.md）中要求手动复制粘贴的curl、wget、bash命令或 Base64解码字符串，一律视为高危信号。合法的插件不应要求用户手动执行此类复杂命令来“修复环境”；

• 严格管控第三方插件
  优先使用OpenClaw官方内置的经过安全校验的skills；如使用第三方skill，务必确认来源，并人工审计代码逻辑，重点检查是否存在异常的网络请求和敏感文件读取操作。

四、限制高危 Tools

OpenClaw内置了一些强大但高风险的操作能力（称为Tools），例如：

• exec：可在服务器上执行任意命令（如删除文件、安装木马）

• browser：可启动浏览器自动操作网页（如登录账号、截图、窃取会话）

• web_fetch：可向任意网址发起请求（可能被用于内网探测或外传数据）

• gateway/nodes/cron：涉及远程调度、定时任务等，易被滥用为后门

如无业务需要，建议在openclaw.json中禁用高危Tools，或者设置仅允许部分Tools：

{
  "tools": {
    "allow": ["允许的tools", "允许的tools"]
    "deny": ["禁用的tools", "禁用的tools"]
  }
}

五、严格保护敏感凭证

OpenClaw部署涉及两类关键凭证，若意外泄露，可能带来服务被接管或云资源被滥用的风险：

• OpenClaw连接Token
  用于WebSocket或本地API的身份认证。如果被他人获取，可能被用来调用高危工具（如exec、browser），从而影响机器人的行为。建议仅在必要时使用，并避免将明文Token分享给他人。如怀疑Token已泄露，可通过运行clawdbot token reset生成新的Token。

• 大模型API Key（例如阿里云百炼Key）
  用于调用大模型服务。一旦泄露，可能会被用于消耗您的云配额，导致额外费用。推荐通过阿里云RAM创建权限最小的子账号，仅授予必要的模型调用权限。

为降低风险，建议对所有敏感凭证定期轮换，避免长期使用同一密钥。

六、及时更新至最新版本

OpenClaw早期版本存在一些已知的安全隐患，例如默认启用了exec、browser等高危工具，且 WebSocket连接未强制Token验证，可能被未授权访问利用。

从 2026.2.9版本开始，默认使用随机服务端口，有助于隐藏服务入口，降低被恶意扫描的风险。建议至少升级到该版本以获得基础安全增强；如条件允许，可进一步升级至最新版以获取更完善的稳定性和防护能力。