OpenClaw风险说明及安全建议
OpenClaw(原名Moltbot、clawdbot)作为一种能够持续运行的AI智能体,能够调用多种大型语言模型,并作为网关,使用户可以通过通讯软件与多个AI模型进行交互,无需在不同平台之间切换,简化了操作流程。
Flexus L实例提供的OpenClaw应用镜像使用官方开源脚本安装,部署前请阅读以下风险说明。
|
分类 |
风险描述 |
影响分析 |
策略建议 |
|---|---|---|---|
|
架构缺陷:权限失控与网络暴露 |
权限隔离缺失。OpenClaw以用户权限直接运行在宿主机上,而非在Docker容器或虚拟机等隔离环境中。这意味着一旦Agent 被入侵,攻击者即可获得宿主机的完整控制权。 |
云上购买的OpenClaw,以虚机的形式独立于用户的业务系统,如果被入侵会影响部署OpenClaw的机器。 |
建议把OpenClaw与现有业务系统进行VPC、子网的隔离,或者通过安全组和ACL的配置进行精细访问控制降低风险。 |
|
网络网关暴露。OpenClaw的核心组件是一个Web网关,默认监听端口 18789。这些暴露的接口不仅泄露服务器信息,更直接提供了控制面板访问路径。 |
默认不放开18789端口,仅企业微信对接场景需要放开8000端口安全组入方向策略。 |
如需放通网关的入方向访问策略,建议通过安全组和ACL的配置进行精细访问控制降低风险。 |
|
|
Localhost 信任谬误。在项目早期和26年1月份的部分版本中系统设计假设来自127.0.0.1的连接可信,但用户为实现远程控制通常会部署反向代理。若配置不当,所有外部请求在OpenClaw 看来都源自本地,直接绕过身份验证机制。 |
仅企业微信对接场景使用了反向代理,其他通道对接按照对应指导书操作不会存在该风险。 |
如果使用反向代理请注意防范此类安全风险。 |
|
|
数据安全:明文存储与认知语境窃取 |
敏感信息明文存储。取证分析显示,API 密钥、Slack/GitHub 访问令牌等极度敏感信息均以明文形式存储在本地文件系统的Markdown和JSON文件中。 |
明文存储关键信息包括:大模型的API key,聊天平台的接入ID和token,如果虚机被攻击这些敏感信息会泄露。 |
官方架构未优化之前: 1、建议用户对大模型的API key等信息进行定期更换。 2、建议用户购买主机安全(HSS)实现工作负载的深度防护与微隔离。 3、建议用户购买云防火墙(CFW)精细管控网络流量。 4、建议客户使用密码管理(DEW)的密钥管理与凭据自动轮转能力,避免密码被爆破。 |
|
认知语境窃取风险。MEMORY.md 文件记录了 AI 的“长期记忆”,不仅包含技术凭据,还包含对用户的心理侧写、工作上下文、私人对话摘要以及人际关系网络。恶意软件如RedLine、Lumma等已更新目标列表,专门扫描窃取这些目录。 |
个人聊天记录泄露。 |
同上。 |
|
|
新型威胁形态。这不仅仅是密码泄露,而是“认知语境窃取”。攻击者获得的不仅是密码,更是用户的完整数字生活画像,可用于发起精准的鱼叉式钓鱼攻击或利用 AI 信任关系进行诈骗。 |
同上。 |
同上。 |
|
|
供应链危机:更名引发的安全风险 |
- |
不涉及。 |
不涉及。 |
|
攻击手法 |
策略建议 |
|---|---|
|
网关暴露与权限绕过攻击 |
见上表网关暴露风险的策略建议。 |
|
供应链投毒与技能商店攻击 |
资料中给出安全实践建议 1、对于任何敏感操作(删文件、发邮件、转账),必须设置人工确认步骤。 2、遵循“最小权限原则”,只授予AI完成任务所必需的权限,切勿图省事一键授权。 |
|
间接提示注入攻击 |
同上。 |
|
横向移动跳板攻击 |
见上表权限隔离缺失的策略建议。 |
