准备工作
该解决方案使用官方开源脚本安装,部署前请阅读以下风险说明。
|
分类 |
风险描述 |
影响分析 |
策略建议 |
|
架构缺陷:权限失控与网络暴露 |
权限隔离缺失。OpenClaw以用户权限直接运行在宿主机上,而非在Docker容器或虚拟机等隔离环境中。这意味着一旦Agent 被入侵,攻击者即可获得宿主机的完整控制权。 |
云上购买的OpenClaw,以虚机的形式独立于用户的业务系统,如果被入侵会影响部署OpenClaw的机器。 |
建议把OpenClaw与现有业务系统进行VPC、子网的隔离,或者通过安全组和ACL的配置进行精细访问控制降低风险。 |
|
网络网关暴露。OpenClaw的核心组件是一个Web网关,默认监听端口 18789。这些暴露的接口不仅泄露服务器信息,更直接提供了控制面板访问路径。 |
SAC自动化部署默认放开18789安全组入方向策略。 |
方案默认放通端口,建议通过安全组和ACL的配置进行精细访问控制降低风险。 |
|
|
Localhost 信任谬误。在项目早期和26年1月份的部分版本中系统设计假设来自127.0.0.1的连接可信,但用户为实现远程控制通常会部署反向代理。若配置不当,所有外部请求在OpenClaw 看来都源自本地,直接绕过身份验证机制。 |
SAC自动化部署未使用反向代理,客户按照指导书操作不会存在该风险。 |
如果使用反向代理请注意防范此类安全风险。 |
|
|
数据安全:明文存储与认知语境窃取 |
敏感信息明文存储。取证分析显示,API 密钥、Slack/GitHub 访问令牌等极度敏感信息均以明文形式存储在本地文件系统的Markdown和JSON文件中。 |
明文存储关键信息包括:大模型的API key,聊天平台的接入ID和token,如果虚机被攻击这些敏感信息会泄露 |
官方架构未优化之前: 1、建议用户对大模型的API key等信息进行定期更换; 2、建议用户购买主机安全(HSS)实现工作负载的深度防护与微隔离 3、建议用户购买云防火墙(CFW)精细管控网络流量 4、建议客户使用密码管理(DEW)的密钥管理与凭据自动轮转能力,避免密码被爆破。 |
|
认知语境窃取风险。MEMORY.md 文件记录了 AI 的“长期记忆”,不仅包含技术凭据,还包含对用户的心理侧写、工作上下文、私人对话摘要以及人际关系网络。恶意软件如RedLine、Lumma 等已更新目标列表,专门扫描窃取这些目录。 |
个人聊天记录泄露 |
同上 |
|
|
新型威胁形态。这不仅仅是密码泄露,而是“认知语境窃取”。攻击者获得的不仅是密码,更是用户的完整数字生活画像,可用于发起精准的鱼叉式钓鱼攻击或利用 AI 信任关系进行诈骗。 |
同上 |
同上 |
|
|
供应链危机:更名引发的安全风险 |
不涉及 |
不涉及 |
|
攻击手法 |
策略建议 |
|
网关暴露与权限绕过攻击 |
见上表网关暴露风险的策略建议 |
|
供应链投毒与技能商店攻击 |
资料中给出安全实践建议 1、对于任何敏感操作(删文件、发邮件、转账),必须设置人工确认步骤。 2、遵循“最小权限原则”,只授予AI完成任务所必需的权限,切勿图省事一键授权。 |
|
间接提示注入攻击 |
同上 |
|
横向移动跳板攻击 |
见上表权限隔离缺失的策略建议 |
当您使用首次使用华为时注册的账号,则无需执行该准备工作,如果您使用的是IAM用户账户,请确认您是否在admin用户组中,如果您不在admin组中,则需要为您的账号授予相关权限,并完成以下准备工作。
(可选)创建rf_admin_trust委托
- 进入华为云官网,打开控制台管理界面,鼠标移动至个人账号处,打开“统一身份认证”菜单。
图1 控制台管理界面
图2 统一身份认证菜单
- 进入“委托”菜单,搜索“rf_admin_trust”委托。
图3 委托列表
- 如果委托存在,则不用执行接下来的创建委托的步骤
- 如果委托不存在时执行接下来的步骤创建委托
- 单击步骤2界面中的“创建委托”按钮,在委托名称中输入“rf_admin_trust”,委托类型选择“云服务”,输入“RFS”,单击“完成”。
图4 创建委托
- 单击“立即授权”。
图5 委托授权
- 在搜索框中输入”Tenant Administrator”并勾选搜索结果,单击“下一步”。
图6 选择策略
- 选择“所有资源”,并单击“确定”完成配置。
图7 设置最小授权范围
- “委托”列表中出现“rf_admin_trust”委托则创建成功。
图8 委托列表
