超过23万个OpenClaw实例暴露在公网上 建议立即取消公网访问提升安全性

目前越来越多的网友开始尝试部署 OpenClaw AI 机器人，这种基于人工智能技术的个人助理机器人使用体验非常好，但用户赋予的权限越高则潜在的安全风险也越高。

除了日常使用可能会将部分敏感信息暴露给 AI 模型外，如果 OpenClaw 实例通过云服务器部署并且暴露在公网，则潜在的安全风险更高，因此不建议用户直接将实例暴露到公网上。

有开发者构建的 OpenClaw 实例扫描器，观测数据显示目前暴露在公网上的实例合计共有 23.49 万个，其中少部分实例已经是离线状态，大部分实例还是在线状态。

当然也不要过于紧张，因为扫描器只能通过 IP + 端口形式探测到实例，但访问控制台还需要 Token，没有 Token 的情况下不能直接访问实例中的配置文件和其他任务。

但如果 OpenClaw 出现其他安全问题例如某些漏洞，攻击者就可以利用漏洞和暴露的实例发起攻击，部署 OpenClaw 的用户最好检查配置减少潜在的攻击面。

下面是蓝点网的安全建议：

1. 网关只监听本地回环：

建议：gateway.bind=127.0.0.1 或仅内网 IP，不要监听 0.0.0.0 (意为接受所有 IP 访问)

2. 如果要公网访问请走反代和强认证：

建议：反向代理层面配置 OAuth/BasicAuth/IP 白名单，不要直接将原生的 WS 端口裸露出去 (18789 端口)

3. 严格通讯渠道的 DM / 群组允许清单：

建议：无论是 Telegram 还是 Discord 都要严格限制发送者或群组，不要让其他人也可以访问机器人

4. 开启并检查配对机制：

建议：OpenClaw Pairing 必须开启，并且需要定期清理旧设备和旧的 Token 防止潜在的泄露

5. 定期运行安全审计：openclaw security audit –deep

建议：给 OpenClaw 设置每天定时任务跑审计，并将审计结果发给你以及提供安全见解

6. 最小化权限原则：

建议：默认情况下禁用不需要的高危工具例如 exec、browser、nodes 等，按需开启使用

7. 及时升级新版本：

建议：OpenClaw 更迭速度极快且出现的各种漏洞也比较多，建议及时升级新版本修复漏洞

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/