文章总结： 本文针对OpenClaw工具存在的安全隐患提出加固建议。指出超十万个实例因默认配置暴露于公网，且部分社区技能被标记为恶意。核心建议包括修改绑定地址为本地、创建专用账户、使用安全隧道访问、隔离运行环境以及选用抗提示注入的强大模型，强调工控用户需具备相应运维能力以规避风险。 综合评分： 82 文章分类： AI安全,安全建设,漏洞预警

OpenClaw龙虾安全加固

原创

剑思庭 剑思庭

IRTeam工业安全

2026年3月10日 12:36 中国香港

龙虾最近太火了，但网络安全问题都需要严肃对待。OpenClaw 需要获取与用户相同的系统访问权限 —— 这是它功能强大的根源，也是网络安全绝不能妥协的原因。

根据FOFA上搜索结果显示，超10万个 OpenClaw 实例，因用户未修改默认绑定地址 0.0.0.0，而直接暴露在互联网中；ClawHub 上约 17% 的社区提交技能，被标记为恶意程序；IRTeam特此警告工控用户：若你不具备命令行操作能力，使用该项目会存在极高的安全风险。

以下列出来部署OpenClaw关键的安全加固步骤：

• 在进行任何其他操作之前，将绑定地址更改为 127.0.0.1 。
• 为OpenClaw创建专用账户——切勿让它访问你的主要电子邮件或消息账户。
• 使用Tailscale或Cloudflare Tunnels进行远程访问，而非暴露端口。
• 在安装任何第三方技能之前阅读其授权声明。
• 在专用设备上运行OpenClaw，与你的主要工作站隔离。
• 使用强大的前沿模型——它们更能抵抗提示注入攻击。

龙虾虽好，谨慎部署；水能载舟，亦能覆舟！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：IRTeam工业安全 剑思庭 剑思庭《OpenClaw龙虾安全加固》