为帮助师生在使用OpenClaw过程中更好地保障信息安全，结合国家相关部门的监测信息，提醒广大师生了解相关安全风险，并对照如下清单进行排查。

一、排查清单

1. 排查公网暴露情况

检查OpenClaw的网关端口（18789）是否监听在公网可达的地址上。运行以下命令：

    # Linux用户

    ss -tlnp | grep 18789

    # macOS用户

    lsof -i :18789

    # Windows用户（PowerShell）

    netstat -ano | findstr ":18789"

若输出中显示“0.0.0.0:18789”或“:::18789”，说明实例已暴露在所有网络接口上，请立即修改为仅监听本地地址。在 OpenClaw的“openclaw.json”中设置：

    {

    gateway: {

    mode: "local",

    port: 18789,

    bind: "loopback"

    }}

2. 启用身份认证

OpenClaw默认未启用网关认证机制。未启用认证的实例一旦可被网络访问，任何人均可远程连接并执行操作。请确保开启认证：

    {

    gateway: {

    mode: "local",

    port: 18789,

    bind: "loopback",

    auth: {

    token: "使用至少32位随机字符串",

    }}}

3. 检查权限配置与访问控制

遵循最小权限原则。为OpenClaw 使用专用的低权限系统账户运行，不要以root或管理员身份运行。限制其对文件系统、网络和系统资源的访问范围。如在服务器上部署，需配置防火墙，仅开放必要端口。

4. 核查凭证管理情况

OpenClaw默认将API密钥以明文存储在本地配置文件中。一旦实例被入侵，攻击者可直接获取相关 AI 服务密钥，造成经济损失。若怀疑凭证已泄露，应立即更换所有相关密钥和密码。

5. 数据加密与敏感信息保护

不要在 OpenClaw 中存储或处理敏感信息，包括但不限于：学校统一身份认证账号及密码、银行卡及信用卡信息、邮箱账号及密码、社交媒体账号及密码。

二、主要安全风险说明

OpenClaw通过整合多渠道通信能力与大语言模型，构建具备持久记忆和主动执行能力的定制化AI 助手。由于其在部署时“信任边界模糊”，且具备自主决策、调用系统和外部资源等特性，在缺乏有效安全控制的情况下存在以下风险：

1. 默认无身份认证。出厂配置未启用任何身份验证，暴露在网络上的实例可被任何人远程访问，执行命令、读取文件、窃取凭据。

2. 存在远程代码执行漏洞。攻击者可通过一个恶意网页劫持用户本机运行的 OpenClaw 会话。用户仅需在浏览器中打开攻击页面，攻击者即可获得完整系统控制权限，利用门槛极低（参考CVE-2026-25253）。

3. 可能遭受第三方技能供应链攻击。OpenClaw 技能市场ClawHub中曾发现341个恶意技能包，包含键盘记录器、凭据窃取器等。安全审计显示约 36.82% 的ClawHub技能存在可被利用的安全缺陷。默认配置下AI可自动安装技能，不经用户确认。

4. API密钥明文存储。AI服务、云服务的API 密钥以明文形式存储在本地配置文件中，实例被入侵后攻击者可直接获取。

三、特别提醒

校园网用户：在服务器或个人电脑上部署 OpenClaw，务必确认服务未暴露至校园网或公网。我中心将定期扫描校园网内开放的 OpenClaw 相关端口，发现未加固实例将通知相关部门（学院）整改。

警惕钓鱼攻击：部分漏洞的利用方式仅需用户在浏览器中打开一个恶意链接。使用OpenClaw期间，对来源不明的链接务必保持警惕。

持续关注安全公告：OpenClaw仍处于快速迭代阶段，安全补丁频繁发布，请养成定期更新的习惯。

发现异常及时报告：若怀疑实例被入侵，请立即停止服务，更换所有相关API密钥和密码，并立即联系信息与网络中心。

    联系电话：0734-8486640

    电子邮箱：inc@hynu.edu.cn

四、相关资源

- OpenClaw 官方安全文档：https://docs.openclaw.ai/gateway/security

- CVE-2026-25253 详情：https://nvd.nist.gov/vuln/detail/CVE-2026-25253

- OpenClaw 官方加固指南：https://github.com/openclaw/openclaw/discussions/12606

- SlowMist 安全验证指南：https://github.com/slowmist/openclaw-security-practice-guide

- Microsoft 安全部署建议：https://www.microsoft.com/en-us/security/blog/2026/02/19/running-openclaw-safely-identity-isolation-runtime-risk/

请广大师生高度重视，共同维护校园网络安全。