最近的安全调查发现了 **数百个面向互联网的控制界面** 与 OpenClaw(原 Moltbot)安装相关联。这些暴露的仪表盘对用户的安全和隐私构成重大风险。
发现了什么
研究人员发现,许多 OpenClaw 用户无意中将其管理面板暴露在公共互联网上。在多个案例中,访问这些界面允许外部人员:
- 查看配置数据
- 获取 Anthropic、OpenAI 等服务的 API 密钥
- 浏览私人聊天的完整对话历史
- 访问文件交换和存储的文档
这是如何发生的
大多数暴露是由于:
1. **无认证运行** - 使用不需要登录的默认配置
2. **端口转发错误** - 意外将仪表盘端口暴露到互联网
3. **云配置错误** - 设置 VPS 实例时没有正确的防火墙规则
4. **反向代理错误** - 错误配置 nginx 或 Caddy
立即采取行动
如果你正在运行 OpenClaw,请立即采取以下步骤:
1. 检查你的暴露情况
运行此命令查看你的仪表盘是否可以从外部访问:
curl -I http://YOUR_SERVER_IP:3000
如果收到响应,你的面板可能已暴露。
2. 启用认证
确保在 OpenClaw 设置中配置了认证:
auth:
enabled: true
username: your_username
password: your_secure_password
3. 使用防火墙
只允许来自可信 IP 的访问:
# UFW 示例
sudo ufw deny 3000
sudo ufw allow from YOUR_IP to any port 3000
4. 轮换被泄露的密钥
如果你怀疑 API 密钥已被暴露,请立即:
- 轮换你的 Anthropic/OpenAI/Google API 密钥
- 检查对话日志中是否有敏感信息
- 检查关联账户是否有未授权活动
Brave 的建议
Brave 浏览器团队发布了指导建议,建议用户:
- 在隔离的机器上运行 OpenClaw
- 限制账户访问
- 永远不要将仪表盘直接暴露在互联网上
- 使用 VPN 或 SSH 隧道进行远程访问
未来展望
OpenClaw 团队正在努力:
- 在未来版本中强制要求认证
- 更好的默认安全配置
- 内置于仪表盘的安全审计工具
- 改进安全部署相关文档
请保持警惕并立即检查你的配置。