TL;DR — 裝完即做嘅 4 件事
緊急: 如果你係 v2026.2.24 或以下版本,你嘅 Gateway 有被 ClawJacked(CVE-2026-25253,CVSS 8.8)遠端接管嘅風險。即刻更新,唔好等。
唔想睇長文?4 步先保命:
openclaw update— 更新至 v2026.2.26+openclaw doctor— 修復內嵌 Token 同 PATH 問題openclaw security audit— 掃描配置漏洞curl http://localhost:18789/health— 確認唔對外暴露
以下係我自己裝完 5 個 Agents(main、crawler、webtest、coder、social)加埋 Telegram 之後,逐一踩過嘅坑。
風險一:Gateway 綁定公網 + ClawJacked 漏洞(CVSS 8.8)
CVE-2026-25253(ClawJacked): 惡意網站可透過 WebSocket 連接你本機 localhost:18789,暴力破解密碼,靜默註冊信任裝置,完全接管你嘅 Agent。修復版:v2026.2.25+。
2026 年 2 月,SecurityScorecard 披露全球有 135,000+ 個 OpenClaw 實例暴露喺公網,其中 15,000+ 可被直接 RCE。根源係舊版預設將 Gateway bind 係 0.0.0.0:18789,而唔係 127.0.0.1。
我自己裝完先發現個問題有幾嚴重——任何人喺同一個 WiFi 都可以直接連入我部 Mac Mini 嘅 Gateway。
點樣檢查你嘅情況:
# 查看 Gateway 現時 bind 地址
openclaw gateway status
# 或者直接睇 process
lsof -i :18789如果見到 0.0.0.0:18789,即係有問題。安全嘅情況應該係 127.0.0.1:18789。
修復方法:
# ~/.openclaw/config.yaml
gateway:
bind: "127.0.0.1:18789" # 唔好用 0.0.0.0!
auth_mode: tokenopenclaw gateway restart
時間線備忘:
| 日期 | 事件 |
|---|---|
| 2026-01-底 | Kaspersky 報告 512 個漏洞 |
| 2026-02-初 | 135,000+ 實例暴露公網披露 |
| 2026-02-25 | CVE-2026-25253 ClawJacked 公佈 |
| 2026-03-01 | v2026.2.26 穩定修復版發佈 |
| 2026-03-10 | 中國工信部發安全警告 |
風險二:ClawHub 惡意 Skills 植入 AMOS Stealer
Koi Security 研究: ClawHub 上 10,700 個 Skills 入面有 820+ 個係惡意,會植入 AMOS macOS Stealer,盜取你嘅密碼、瀏覽器 Cookie、加密貨幣錢包。
我之前為咗慳時間,直接喺 ClawHub 搵現成 Skills 裝落去,完全唔知入面有惡意代碼。後來 openclaw security audit 提示先知有問題。
惡意 Skills 通常嘅特徵:
- 作者只有一個 Skill,零評價,但下載數字離奇地高
- Skill 描述誇張,聲稱可以「自動完成一切」
- 要求不合理嘅 permission(例如一個計算器 Skill 要求讀
~/.ssh)
裝 Skill 之前必做嘅檢查:
# 審查 Skill 內容先裝
openclaw skill inspect <skill-id>
# 睇佢要求咩 permission
openclaw skill permissions <skill-id>
# 只裝官方認證嘅 Skill
openclaw skill install --verified-only <skill-id>
詳細嘅 Skills 安全設定,可以睇我另一篇:Skills 安全安裝指南。
保護你嘅密碼: AMOS Stealer 專門偷 Keychain 入面嘅密碼。用密碼管理工具可以減低被盜風險——NordPass 支援跨平台同步,仲有 data breach 監測功能。
風險三:Gateway Service 內嵌 Token 外洩(Doctor 發現)
我親身踩過嘅坑: openclaw doctor 警告 Gateway service 有內嵌 token,需要 reinstall 先可以清除。如果唔處理,token 可能被其他進程讀到。
我係跑完 openclaw doctor 先知有呢個問題。原來係我之前手動改過一次 config,搞到 token 被直接寫入 service 檔案而唔係從環境變數讀取。
openclaw doctor 嘅輸出係咁:
✓ Gateway: running (localhost:18789)
✓ Auth mode: token
⚠ Gateway service: embedded token detected — recommend reinstall
⚠ PATH: missing /usr/local/openclaw/bin, /opt/openclaw/tools
✗ Entrypoint: config mismatch (expected v2026, found v2025-legacy)
修復步驟:
# 1. 停止 Gateway service
openclaw gateway stop
# 2. 清除內嵌 token,重新安裝 service
openclaw gateway reinstall
# 3. 用環境變數設定 token(唔好硬編碼!)
export OPENCLAW_GATEWAY_TOKEN=$(openclaw token generate)
# 4. 將 token 存入 .env(唔好 commit 落 git)
echo "OPENCLAW_GATEWAY_TOKEN=${OPENCLAW_GATEWAY_TOKEN}" >> ~/.openclaw/.env
chmod 600 ~/.openclaw/.env
# 5. 修復 PATH
openclaw doctor --fix-path
# 6. 重新啟動並驗證
openclaw gateway start
openclaw doctor風險四:Fallback Model 太弱,易受 Prompt Injection
openclaw security audit WARN: Fallback model 設定為 gpt-4o-mini,此模型嘅 instruction-following 能力較弱,容易被惡意輸入覆蓋系統指令。
當主模型唔可用時,OpenClaw 會自動切換去 fallback model 繼續運行。問題係如果 fallback 係個弱模型,攻擊者可以透過構造特定輸入,趁切換嘅時候注入惡意指令。
修復:換一個更強嘅 fallback model
# ~/.openclaw/config.yaml
models:
primary: "claude-sonnet-4-6"
fallback: "claude-haiku-4-5" # 唔好用 gpt-4o-mini
fallback_on_error: true
fallback_threshold_ms: 5000
security:
prompt_injection:
enabled: true
mode: strict
blocked_patterns:
- "ignore previous instructions"
- "ignore all prior"
- "disregard your system prompt"
- "你而家係"
- "新指令"就算係 Haiku,instruction-following 都比 gpt-4o-mini 強好多。如果你係用 Claude API,建議 fallback 唔好跨 provider——唔同廠商嘅 system prompt handling 有差異,有機會產生意外行為。
風險五:Reverse Proxy Headers 未設 Trusted Proxies
openclaw security audit WARN: Reverse proxy headers 未設定 trusted proxies,導致 X-Forwarded-For 可被偽造,影響 rate limiting 同 IP-based 存取控制嘅準確性。
如果你係透過 Nginx 或 Cloudflare 代理 OpenClaw,需要明確告訴 Gateway 邊個 IP 係可信嘅 proxy,否則任何人都可以偽造 X-Forwarded-For Header,繞過 IP 封鎖。
修復:
# ~/.openclaw/config.yaml
gateway:
trusted_proxies:
- "127.0.0.1" # 本機 Nginx
- "10.0.0.0/8" # 內網 proxy
# - "103.21.244.0/22" # Cloudflare IP range(如有用)
real_ip_header: "X-Forwarded-For"如果你係直接用 Mac Mini 跑,唔過 reverse proxy,設定 trusted_proxies: [] 同埋確保 Gateway 唔對外就夠。詳情可以睇 Gateway 排錯指南。
完整安全設定步驟(9 步)
以下係我自己裝好 5 個 Agents 之後,總結出嘅最短路徑。由零開始嘅話,跟住做大約需要 30 分鐘。
-
更新至最新版本
openclaw update openclaw --version # 確認係 v2026.2.26 或以上 -
確認 Gateway 綁定 localhost
openclaw gateway status # 應見到 bind: 127.0.0.1:18789 -
設定 Token Auth
openclaw auth set-mode token openclaw token generate --save -
執行 Doctor,修復所有問題
openclaw doctor openclaw doctor --fix-path # 修復 PATH openclaw gateway reinstall # 清除內嵌 token -
換強 Fallback Model
編輯
~/.openclaw/config.yaml,將fallback改為claude-haiku-4-5(或其他強模型)。 -
設定 Trusted Proxies
如果有用 reverse proxy,設定
trusted_proxies。純本機用的話確保 Gateway 唔對外即可。 -
設定 Skills 安全政策
openclaw config set skills.verified_only true openclaw config set skills.auto_update false # 手動審查更新 -
執行 Security Audit
openclaw security audit # 目標:0 critical, 0 warn -
外部連入測試
# 從另一台機器或用手機 4G 測試 curl -v http://<你的公網IP>:18789/health # 應該係 connection refused 或 timeout,唔係 200
建議每次更新 OpenClaw 版本之後都重新跑一次 openclaw security audit,確保新版本冇引入新嘅安全選項需要手動開啟。
FAQ
點知我有冇已經中招?
跑 openclaw security audit,如果有 critical 項目,說明現時仍然有漏洞未修補。要查歷史有冇被入侵,可以睇 Gateway 日誌有冇可疑嘅認證請求:
openclaw logs gateway --since 30d | grep "auth_attempt"如果見到大量來自唔認識 IP 嘅 auth attempt,建議即刻 revoke 所有 token 並重新生成:
openclaw token revoke-all
openclaw token generate --save我係舊版(v2026.2.24 或以下),點辦?
即刻更新係最優先。如果有原因唔能立即更新,臨時措施係用防火牆封鎖 port 18789 對外訪問:
# macOS 防火牆(臨時措施,唔係長久之計)
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --add /usr/local/bin/openclaw
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --blockapp /usr/local/bin/openclaw但最終都係要更新,防火牆只係買時間。
ClawHub 上嘅 Skills 點樣分辨係咪安全?
三個標準:
- 官方認證標誌(藍色勾):Koi Security 審計過
- Permission 合理性:一個天氣查詢 Skill 唔需要讀你嘅
~/.ssh - 作者信譽:有多個 Skill 同正面評價嘅作者
詳細評估方法可以睇 Skills 安全安裝指南。
我用 Docker 部署,仲需要做呢啲設定嗎?
需要。Docker 提供容器隔離,但 OpenClaw 內部嘅 Gateway auth、model security、Skills 政策仍然係獨立嘅設定。而且 Docker 部署仲要額外注意:唔好將 port 18789 expose 到 host(-p 18789:18789 要小心用),應該用 internal network。
工信部警告係咪代表唔安全、唔能用?
工信部警告主要針對政府機關同國企,理由係數據有機會經外國伺服器。對於個人用戶同私人企業,OpenClaw 本身喺你本機運行,API 請求去邊個 LLM provider 由你自己決定。關鍵係做好本文嘅安全設定,確保 Gateway 唔對外暴露。
安全設定完成後,日常要注意咩?
三件例行事務:
- 更新提示即更新 — 安全修復通常喺 release notes 標明
- 每月跑一次
openclaw security audit— 設定可能因為 update 改變 - 新裝 Skill 必先 inspect — 唔好因為方便而省略審查
唔想自己管安全設定?DigitalOcean 一鍵部署包含安全預設值,省去大量手動配置時間。
下一步
- macOS 完整安裝指南 — 由零安裝 OpenClaw,包括正確嘅環境設定
- Gateway 排錯中心 — 連線問題、auth 錯誤一站搞掂
- Skills 安全安裝指南 — 點樣安全地擴展你嘅 Agent 功能