Moltbot Security技能使用说明
Moltbot安全指南
您的Moltbot网关设计用于本地使用。当网关在没有适当安全措施的情况下暴露在互联网中,攻击者将能够访问您的API密钥、私人消息,并获得完整的系统访问权限。
依据:真实的漏洞研究发现,Shodan上存在超过1,673个暴露的OpenClaw/Moltbot网关。
简要说明 - 五项基本安全措施
- 绑定到环回地址— 切勿将网关暴露于公共互联网
- 设置身份验证令牌— 所有请求均需身份验证
- 修复文件权限— 仅您本人应可读取配置文件
- 更新Node.js— 使用v22.12.0及以上版本以避免已知漏洞
- 使用Tailscale— 实现无需公开暴露的安全远程访问
暴露的风险(真实威胁)
当您的网关可被公开访问时:
- 完整的对话历史记录(Telegram、WhatsApp、Signal、iMessage)
- Claude、OpenAI及其他服务提供商的API密钥
- OAuth令牌和机器人凭据
- 对主机拥有完整的Shell访问权限
提示注入攻击示例:攻击者向您发送一封包含隐藏指令的电子邮件。您的AI读取该邮件,提取您最近的电子邮件,并将摘要转发给攻击者。无需黑客技术。
快速安全审计
运行此命令以检查您当前的安全状况:
openclaw security audit --deep
自动修复问题:
openclaw security audit --deep --fix
步骤1:将网关仅绑定到环回地址
此操作的作用:防止网关接受来自其他机器的连接。
检查您的~/.openclaw/openclaw.json文件:
{
"gateway": {
"bind": "loopback"
}
}
选项:
loopback— 仅可从本地主机访问(最安全)lan— 仅可从本地网络访问auto— 绑定到所有接口(如果暴露则危险)
步骤二:设置身份验证
选项A:令牌验证(推荐)
生成安全令牌:
openssl rand -hex 32
添加到你的配置中:
{
"gateway": {
"auth": {
"mode": "token",
"token": "your-64-char-hex-token-here"
}
}
}
或通过环境变量设置:
export CLAWDBOT_GATEWAY_TOKEN="your-secure-random-token-here"
选项B:密码验证
{
"gateway": {
"auth": {
"mode": "password"
}
}
}
然后:
export CLAWDBOT_GATEWAY_PASSWORD="your-secure-password-here"
步骤三:锁定文件权限
此操作的作用:确保只有你能读取敏感配置文件。
chmod 700 ~/.openclaw
chmod 600 ~/.openclaw/openclaw.json
chmod 700 ~/.openclaw/credentials
权限含义:
700= 仅所有者可访问文件夹600= 仅所有者可读写文件
或者让OpenClaw自动修复:
openclaw security audit --fix
步骤四:禁用网络广播
此操作的作用:阻止OpenClaw通过mDNS/Bonjour广播自身。
添加到你的shell配置中(~/.zshrc或~/.bashrc重新加载:
export CLAWDBOT_DISABLE_BONJOUR=1
步骤 5:更新 Node.js
source ~/.zshrc
较旧的 Node.js 版本存在安全漏洞。您需要
v22.12.0+或更高版本。检查版本:
Mac (Homebrew):
node --version
Ubuntu/Debian:
brew update && brew upgrade node
Windows:
curl -fsSL https://deb.nodesource.com/setup_22.x | sudo -E bash -
sudo apt-get install -y nodejs
从nodejs.org下载
步骤 6:设置 Tailscale(远程访问)
作用:在您的设备之间创建加密隧道。无需公开暴露,即可从任何地方访问 OpenClaw。
安装 Tailscale:
# Linux
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up
# Mac
brew install tailscale
为 OpenClaw 配置 Tailscale:
{
"gateway": {
"bind": "loopback",
"tailscale": {
"mode": "serve"
}
}
}
现在仅能通过您的 Tailscale 网络访问。
步骤 7:防火墙设置(UFW)
适用于云服务器(AWS、DigitalOcean、Hetzner 等)
安装 UFW:
sudo apt update && sudo apt install ufw -y
设置默认规则:
sudo ufw default deny incoming
sudo ufw default allow outgoing
允许 SSH (不要跳过!):
sudo ufw allow ssh
允许 Tailscale (如果使用):
sudo ufw allow in on tailscale0
启用:
sudo ufw enable
验证:
sudo ufw status verbose
⚠️切勿这样做:
# DON'T - exposes your gateway publicly
sudo ufw allow 18789
第 8 步:SSH 强化
禁用密码验证 (使用 SSH 密钥):
sudo nano /etc/ssh/sshd_config
更改:
PasswordAuthentication no
PermitRootLogin no
重启:
sudo systemctl restart sshd
安全检查清单
部署前:
- 网关绑定到
环回地址或局域网 - 已设置认证令牌或密码
- 文件权限已锁定 (600/700)
- 已禁用 mDNS/Bonjour
- Node.js v22.12.0+
- 已配置 Tailscale (如果是远程访问)
- 防火墙已阻止端口 18789
- 已禁用 SSH 密码验证
配置模板 (安全默认设置)
{
"gateway": {
"port": 18789,
"bind": "loopback",
"auth": {
"mode": "token",
"token": "YOUR_64_CHAR_HEX_TOKEN"
},
"tailscale": {
"mode": "serve"
}
}
}
鸣谢
基于安全研究@NickSpisak_其在 Shodan 上发现了 1,673 多个暴露的网关。
原文:https://x.com/nickspisak_/status/2016195582180700592
安装
clawdhub install NextFrontierBuilds/moltbot, openclaw-security
微信扫一扫,打赏作者吧~
