1. 项目概述为你的AI助手穿上“防弹衣”如果你正在一台VPS或云服务器上运行OpenClaw或者说Clawdbot并且隐隐觉得“把能执行Shell命令的AI直接暴露在公网上”这事儿有点“刺激”那你的直觉是对的。这感觉就像把自家大门的钥匙挂在门把手上还贴了张纸条写着“服务器地址”。我最初部署时也是抱着“先跑起来看看”的心态直到某天在auth.log里看到了一长串来自世界各地的SSH登录失败记录才惊出一身冷汗。OpenClaw的默认配置坦率地说是为快速体验和本地开发设计的它默认开启的SSH密码登录、绑定在所有网络接口的Gateway服务端口以及明文存储的API密钥对于一台暴露在公网的服务器而言无异于在安全上“裸奔”。这个名为openclaw-hardening的项目就是一份针对此问题的“战地急救包”。它不是什么高深莫测的学术论文而是一套从实战中总结出来的、可一键执行的加固脚本和最佳实践配置合集。其核心目标非常明确用最小的操作成本将你的OpenClaw部署从“实验环境”提升到“准生产环境”的安全水位。这不仅仅是关掉几个端口那么简单它涵盖从网络边界防火墙、访问控制SSH、入侵防御fail2ban到内部应用安全Gateway配置、凭证管理乃至运营成本Token优化的全链条加固。无论你是刚买了个VPS的独立开发者还是为团队部署AI助手的运维工程师只要你的OpenClaw服务需要对外提供服务这份指南中的每一步都值得你仔细过一遍。安全没有银弹但我们可以通过系统性的工作将风险降到可接受的范围。接下来我将带你深入这套加固方案的每一个环节不仅告诉你“怎么做”更会解释“为什么这么做”并分享我在实施过程中踩过的坑和验证过的技巧。2. 安全加固全景与核心风险拆解在动手敲命令之前我们有必要先搞清楚我们到底在防御什么。盲目加固就像蒙着眼睛打拳费力不讨好。OpenClaw作为一个拥有Shell访问权限的AI Agent其攻击面比普通的Web应用要宽广和危险得多。2.1 默认配置下的四大核心风险点根据官方文档的坦诚描述和社区已披露的信息我们可以将风险归纳为以下四类边界突破风险SSH与Gateway这是最直接的风险。默认SSH开启22端口并允许密码登录是自动化僵尸网络Botnet最热衷的暴力破解目标。一旦被攻破攻击者将获得服务器的完整控制权。同时OpenClaw Gateway服务默认监听0.0.0.0:3000或你指定的端口意味着它向整个互联网开放。虽然可能有基础认证但弱密码或未授权访问漏洞可能导致AI Agent被直接操控。凭证泄露风险OpenClaw及其技能Skills的配置文件中常常需要写入如Anthropic Claude、OpenAI、各类API的密钥。这些配置默认以明文形式JSON/JSON5存储在用户目录下。如果服务器被入侵或者配置文件权限设置不当被其他用户读取这些密钥将瞬间泄露导致直接的经济损失盗用API额度和安全风险攻击者利用你的密钥发起其他攻击。数据泄露与隐私风险AI与用户的对话可能包含敏感信息。默认情况下会话日志、工具执行输出可能以明文形式存储或传输。此外一些技能如浏览器控制clawdbot-browser-control会开启一个WebSocket服务例如18791端口如果此端口被错误地暴露到公网攻击者可能能够间接操控浏览器会话窃取信息。成本失控风险这虽不属于传统安全范畴但对个人开发者而言同样“致命”。OpenClaw默认将所有请求包括主对话、子代理调用、心跳检查都路由到同一个模型通常是成本最高的Claude Opus。这意味着每55秒一次的心跳检查、每一个后台分析任务的子代理都在以顶级模型的费率计费不知不觉中就会烧掉大量预算。2.2 加固方案的总体设计思路面对上述风险openclaw-hardening项目采用了分层防御的策略而不是依赖单一手段。其设计思路清晰且符合运维最佳实践最小化攻击面这是安全的第一原则。通过配置防火墙UFW严格限制入站流量只允许必要的端口如SSH通过。关闭所有不必要的服务端口。强化身份认证针对SSH禁用最脆弱的密码认证强制使用密钥对Key Pair登录同时禁用root用户直接登录并修改默认的22端口以此规避自动化扫描脚本。实施动态防御使用fail2ban监控SSH等服务的日志自动封禁在短时间内多次登录失败的IP地址有效抵御暴力破解。建立安全通道用Tailscale这样的零信任网络替代传统的公网端口暴露。所有管理流量包括SSH和OpenClaw Gateway都通过加密的私人网络进行对外完全“隐身”。安全配置应用层调整OpenClaw Gateway的绑定地址避免监听0.0.0.0审查并加固技能配置规范密钥等敏感信息的存储方式。优化内部策略通过模型路由Model Routing策略将不同优先级的任务分配给不同成本的模型在保证核心体验的同时大幅降低运营成本。这个方案的优势在于它大部分通过自动化脚本audit.sh,harden.sh完成降低了手动操作的门槛和出错概率。同时它提供了audit.sh这样的审计工具让你在加固前后都能清晰地了解系统的安全状态做到心中有数。3. 逐步实操从安全审计到一键加固理论清晰后我们进入实战环节。请确保你正在需要加固的OpenClaw服务器上操作并拥有sudo权限。3.1 第一阶段安全审计——看清你的防线在动任何“手术”之前全面的“体检”至关重要。项目提供的security/audit.sh脚本就是一个优秀的自动化体检工具。执行审计git clone https://github.com/jzOcb/openclaw-hardening.git cd openclaw-hardening bash security/audit.sh这个脚本会非侵入式地检查9个关键的安全指标并以清晰的表格形式输出结果。审计报告深度解读当你运行脚本后会看到一个类似下表的输出。我们来逐一解读每个检查项的含义和可能的风险检查项理想状态风险解读与操作建议1. SSH 配置端口非22密码认证noRoot登录no默认22端口和密码登录是最大的暴力破解入口。必须修改。2. 防火墙 (UFW)状态为active且规则仅允许特定端口没有防火墙等于服务器所有端口对互联网开放。必须启用并严格配置。3. Fail2ban服务为active (running)缺少fail2ban意味着对持续的攻击尝试没有自动封禁能力。建议安装。4. 开放端口仅列出你明确需要服务的端口如SSH新端口若出现未知的LISTEN端口特别是监听在0.0.0.0可能代表有未授权服务暴露。需要逐一确认并关闭。5. Gateway 配置bind地址为127.0.0.1或localhost如果绑定0.0.0.0Gateway服务直接暴露在公网。必须改为本地回环地址。6. Tailscale状态为active且有分配的IP如果未使用Tailscale则SSH和Gateway仍需暴露公网端口。强烈建议作为终极方案部署。7. 凭证存储未发现明文API密钥文件在~/.openclaw或技能目录下搜索.json若找到含key、api、token等字段的明文文件风险极高。需移至环境变量或加密存储。8. 文件权限关键配置文件权限为600仅用户可读写权限过于宽松如644可能导致同一服务器上的其他用户读取你的密钥。需收紧权限。9. 浏览器控制端口18791未在公网IP上监听如果浏览器控制技能端口暴露攻击者可能进行点击劫持或信息窃取。确保其仅监听127.0.0.1。实操心得首次运行audit.sh你很可能会看到一片“不符合”的警告。别慌这很正常。这个脚本的价值就在于它给你提供了一个清晰的、待办事项列表Checklist。请务必仔细阅读输出理解每一项的含义。我建议将这次初始的审计结果保存下来可以截图或重定向输出到文件以便与加固后的结果进行对比直观感受安全水平的提升。3.2 第二阶段一键硬化——构筑核心防线审计完成后就可以使用核心的加固脚本security/harden.sh了。这个脚本是交互式的它会在执行每个关键步骤前向你确认避免了误操作。执行加固sudo bash security/harden.sh请全程关注终端的提示信息。脚本主要执行以下四步配置UFW防火墙脚本会先检查UFW状态然后设置默认策略为拒绝所有入站DENY IN、允许所有出站ALLOW OUT。接着它会询问你当前的SSH端口如果你之前改过并只允许该端口的入站连接。这是实现“最小攻击面”的关键一步。强化SSH服务修改端口脚本会提示你输入一个新的SSH端口号建议在1024-65535之间选择一个不常见的如59222。禁用密码认证将PasswordAuthentication设置为no强制使用SSH密钥登录。禁用Root登录将PermitRootLogin设置为no。限制重试次数设置MaxAuthTries为3。这些修改会写入/etc/ssh/sshd_config.d/99-openclaw-hardening.conf以避免污染主配置文件便于管理。安装并配置Fail2ban安装fail2ban包并创建一个针对SSH服务的监控监狱jail设置maxretry 33次失败和bantime 3600封禁1小时。引导设置Tailscale脚本会检测Tailscale是否安装和登录。如果没有它会给出安装和登录命令。这是将服务从公网隐藏的关键一步。⚠️ 致命注意事项在执行harden.sh脚本前你必须确保有备用的SSH连接方式保持当前会话运行脚本的终端窗口绝对不能关闭直到你完成所有测试。打开第二个终端在脚本执行期间用你原来的SSH连接方式比如旧的端口和密码打开第二个终端连接到服务器。这作为你的“逃生舱”。测试新配置在脚本修改SSH配置并重启sshd服务后立即在第二个终端或本地机器上使用新的端口号和SSH密钥尝试建立一条新的连接。命令类似ssh -p 59222 useryour_server_ip。确认成功只有在新连接测试成功后你才能安全地关闭最初的终端窗口。如果新连接失败你还可以用旧的连接回滚配置。这一步是防止你把自己锁在服务器门外的绝对关键操作。4. 高级安全配置与成本优化策略基础防线构筑完成后我们需要深入到应用层和运营层进行更精细化的安全与成本管控。4.1 网关Gateway安全配置OpenClaw Gateway是AI服务的入口其配置至关重要。项目提供了一个安全配置模板config/openclaw-secure.json5。核心安全调整{ // ... 其他配置 ... server: { // 关键修改绑定到本地回环地址仅允许本机访问 bind: 127.0.0.1, port: 3000, }, // 启用认证如果尚未启用 // auth: { type: basic, users: [{ username: admin, password: your_strong_password }] }, }操作步骤不要直接覆盖你的openclaw.json。建议先将你的原配置备份然后将openclaw-secure.json5的内容合并进去重点关注server.bind项。修改后重启Gateway服务。为什么这么做将bind从0.0.0.0改为127.0.0.1后Gateway服务只接受来自服务器本机的连接。那么我们如何从外部访问呢这就需要结合下一步的Tailscale。4.2 使用Tailscale实现零信任网络访问Tailscale的核心价值在于它为你所有的服务器和设备创建一个加密的虚拟局域网VPN只有你授权的设备才能加入这个网络无需暴露任何公网端口。安装与登录按照harden.sh的提示或Tailscale官网指南在服务器和你的本地电脑上安装Tailscale并用同一账户登录。访问服务登录后你的服务器会获得一个Tailscale的私有IP如100.x.x.x。现在你可以在本地浏览器通过http://tailscale_ip:3000来访问只绑定在127.0.0.1:3000的Gateway服务。SSH也可以通过这个私有IP和新端口进行。彻底隐藏公网端口此时你可以在服务器的UFW规则中关闭之前开放的SSH公网端口。因为所有管理流量都已通过Tailscale的加密通道进行。命令如sudo ufw deny 59222/tcp。现在你的服务器在公网上几乎“隐身”只有Tailscale这个加密隧道可以进出。个人经验分享Tailscale是我近年来用过最省心的内网穿透/零信任工具。它基于WireGuard性能损耗极低配置简单到令人发指。对于个人项目或小团队免费版完全够用。这相当于为你的服务器增加了一个只有你持有钥匙的“秘密通道”公网扫描器再也看不到你的服务安全性得到了质的飞跃。4.3 模型路由与Token成本优化安全了接下来要省钱了。让Claude Opus处理每一次心跳检查就像用法拉利去买菜——性能严重过剩且极其昂贵。优化策略模型分层Model Tiering思路是将任务按对模型能力的需求进行分级并路由到不同成本的模型。任务类型推荐模型成本对比理由主对话线程Claude Opus 4.5基准 ($$$$$)需要最强的推理、规划和代码能力保证核心用户体验。子代理任务Claude Sonnet 4.5约1/5成本 ($)处理搜索、总结、数据提取等子任务Sonnet能力完全胜任。心跳检查Claude Sonnet 4.5约1/5成本 ($)心跳仅为保持会话缓存无需复杂推理Sonnet足矣。备用/降级Claude Sonnet 4.5约1/5成本 ($)当Opus配额用尽或发生故障时自动降级。配置实现你需要修改~/.openclaw/openclaw.json中agents.defaults部分。请注意OpenClaw的配置版本在不断迭代fallbacks等选项可能变化。以下是一个基于当前常见实践的配置思路{ agents: { defaults: { // 主代理使用Opus model: { primary: anthropic/claude-opus-4-5 }, // 子代理默认使用Sonnet subagents: { defaults: { model: anthropic/claude-sonnet-4-5 } }, // 心跳代理使用Sonnet注意具体配置项名称需查阅最新文档 // 例如可能在 heartbeat.agent 下指定 model heartbeat: { every: 55m, // 假设配置项请根据实际文档调整 agent: { model: anthropic/claude-sonnet-4-5 } }, // 上下文修剪节省Token contextPruning: { mode: cache-ttl, ttl: 1h }, } } }重要提示模型路由的具体配置语法可能随OpenClaw版本更新而变化。最可靠的方法是查阅官方文档中关于Agent Configuration和Model Routing的章节。你也可以在OpenClaw的聊天窗口中直接使用/model命令手动切换模型进行测试。预期收益通过上述分层预计能将高达80%的低复杂度请求心跳、子任务从Opus转移到Sonnet总体Token成本下降**30%-50%**是非常现实的。特别是对于7x24小时运行的心跳检查节省效果立竿见影。5. 技能生态管理与安全实践OpenClaw的强大离不开丰富的技能Skills但第三方技能也是潜在的安全风险来源。5.1 安装推荐技能套件项目提供了一个便捷脚本setup/install-skills.sh用于安装一批经过社区验证、实用性高的技能。这些技能涵盖了安全、运维、金融、搜索等多个领域。执行安装bash setup/install-skills.sh这个脚本本质上是通过clawd skills install命令来批量安装。安装后你可以在OpenClaw中通过/skills命令查看和管理。5.2 技能安全自查清单并非所有技能都是无害的。在安装任何非官方技能前请养成以下自查习惯审查代码尤其是要求shell或exec权限的技能。去GitHub仓库看一眼它的主要代码检查是否有可疑的、向外部服务器发送数据或执行不可预测命令的操作。最小权限原则在技能配置中如果提供了权限选项只授予它完成功能所必需的最小权限。例如一个文件管理技能可能只需要访问特定目录而非整个文件系统。隔离敏感凭证绝不要在技能的配置文件中直接写入API密钥。应该使用环境变量。例如在技能配置中引用${BRAVE_API_KEY}然后在运行OpenClaw的环境如.env文件或systemd服务文件中设置这个变量。定期审计可以定期运行项目推荐的skills-audit技能或手动检查~/.openclaw/skills目录下的内容移除长期不用的技能以减小攻击面。5.3 系统服务化与持久化为了让OpenClaw稳定、安全地在后台运行建议将其配置为系统服务如使用systemd。创建服务文件示例 (/etc/systemd/system/clawd.service)[Unit] DescriptionOpenClaw AI Agent Afternetwork.target tailscale.service Wantstailscale.service [Service] Typesimple Useryour_username Groupyour_usergroup EnvironmentFile/home/your_username/.openclaw/.env # 加载环境变量用于存储API密钥 WorkingDirectory/home/your_username ExecStart/usr/local/bin/clawd server Restartalways RestartSec10 StandardOutputjournal StandardErrorjournal # 安全加固 NoNewPrivilegestrue PrivateTmptrue ProtectSystemstrict ReadWritePaths/home/your_username/.openclaw [Install] WantedBymulti-user.target关键安全配置说明User/Group以非root用户运行。EnvironmentFile将API密钥等敏感信息存放在此文件服务文件本身不包含明文密钥。NoNewPrivilegestrue防止服务进程提升权限。PrivateTmptrue为服务提供私有的临时目录。ProtectSystemstrict严格保护系统目录只允许访问明确指定的路径ReadWritePaths。配置好后使用sudo systemctl enable --now clawd启用并启动服务。这样OpenClaw会在系统启动时自动运行并且在崩溃后自动重启同时以更安全的方式管理凭证。6. 故障排查与日常维护指南即使按照指南操作也可能会遇到问题。以下是一些常见场景的排查思路。6.1 加固后无法SSH连接这是最令人紧张的问题。请按顺序排查检查防火墙规则你是否在启用Tailscale后过早地在UFW里拒绝了公网SSH端口如果是而你Tailscale又没连上那就被关在外面了。此时如果你使用的是云服务器如AWS EC2, DigitalOcean Droplet, Linode它们通常提供一个基于Web的“控制台连接”Console或“VNC”功能。通过这个“后门”登录服务器检查UFW状态sudo ufw status numbered。如果公网SSH端口被拒绝暂时重新允许它sudo ufw allow 59222/tcp请将59222替换为你的端口。检查SSH服务状态在服务器上运行sudo systemctl status ssh确保服务是active (running)。检查配置文件是否有语法错误sudo sshd -t。确认Tailscale连接在服务器上运行tailscale status查看是否显示为active。在你的本地电脑上也运行同样的命令确保两台设备在同一网络下并且可以ping通对方的Tailscale IP。6.2 OpenClaw Gateway服务无法访问检查绑定地址确认你的openclaw.json中server.bind是127.0.0.1并且你正在通过Tailscale私有IP访问如http://100.x.x.x:3000而不是公网IP。检查服务日志通过journalctl -u clawd.service -f如果你配置了systemd服务或直接查看OpenClaw的日志输出寻找错误信息。检查端口占用在服务器上运行sudo ss -tlnp | grep :3000查看3000端口是否被正确监听。6.3 Fail2ban未生效检查服务状态sudo systemctl status fail2ban。查看封禁日志sudo fail2ban-client status sshd这里的sshd是你的监狱名。查看Banned IP list。测试封禁可以尝试从另一台机器用错误密码SSH连接几次不超过最大重试次数然后观察fail2ban日志sudo tail -f /var/log/fail2ban.log。6.4 模型路由未按预期工作确认配置语法OpenClaw的配置格式更新较快务必查阅与你版本对应的官方文档确认subagents、heartbeat等配置项的正确写法。查看请求日志开启OpenClaw的详细日志观察发送给AI提供商的请求中使用的模型名称是否正确。使用调试命令在OpenClaw聊天界面使用/debug或相关命令查看当前代理的详细配置。6.5 日常维护建议定期更新定期运行sudo apt update sudo apt upgrade对于Debian/Ubuntu更新系统包。关注OpenClaw的更新公告及时升级以获得安全补丁和新功能。监控日志定期查看/var/log/auth.logSSH日志、/var/log/fail2ban.log以及OpenClaw的应用日志了解是否有异常访问或错误。备份配置在每次对openclaw.json或服务器关键配置如SSH、UFW进行重大修改前进行备份。可以使用Git管理你的~/.openclaw配置目录。密钥轮换对于重要的API密钥定期在提供商后台进行轮换更新并同步更新服务器上的环境变量或配置文件。安全加固不是一个一劳永逸的动作而是一个持续的过程。通过实施本文所述的层层防护并建立起良好的监控和维护习惯你完全可以放心地让OpenClaw这个强大的AI助手在云端为你7x24小时工作而无需时刻担心被入侵或产生天价账单。这套组合拳下来你的服务器不再是“裸奔”而是穿上了一件量身定制的“防弹衣”。