⚠️5分钟自救！OpenClaw公网暴露紧急修复指南（附检测工具）

大家好，我是专注AI安全的博主KingsKuan。最近扫描发现超25万OpenClaw实例裸奔在公网（数据来源：Exposure Watchboard），相当于把数字钱包和隐私数据敞开门任人拿！今天手把手教大家5分钟急救方案，建议所有用户立刻操作！

🔍 一、30秒自检是否中招

先确认你的机器是否已“开门迎客”：

# 检查默认端口是否监听公网（核心风险点！）
netstat -tuln | grep 18789   # 看到0.0.0.0就是暴露！

👉 危险信号：输出结果包含0.0.0.0:18789而非127.0.0.1:18789

📌 实测案例：粉丝群@小白同学 上周部署后未改配置，云服务器IP直接列在declawed.io上，私钥险些被盗！

🛡️ 二、5分钟急救四步法（命令直接复制）

✅ 阶段1：立即阻断外部访问

# 临时关闭公网访问（仅保留本地）
sudo openclaw config set listen_address 127.0.0.1 --port 18789


# 防火墙封堵端口（云服务器必做！）
ufw deny 18789/tcp    # Ubuntu系统适用
firewall-cmd --permanent --add-port=18789/tcp # CentOS用这条，但这里要删除！应改为：
firewall-cmd --permanent --remove-port=18789/tcp && firewall-cmd --reload

🔐 阶段2：强制添加访问密码

# 生成随机Token（重要！替换成你自己的）
TOKEN=$(openssl rand -hex 16)
echo "你的Token: $TOKEN"  # 务必保存！


# 启用认证并重启服务
openclaw config set api_token $TOKEN
openclaw restart

💡 验证方法：浏览器访问 http://你的IP:18789 会弹出401错误，说明防护生效！

🧩 阶段3：加固高危配置项

# 禁止对外暴露控制台（官方文档推荐）
openclaw config set expose_dashboard false


# 禁用非必要API接口
openclaw config set enabled_apis "["local_task"]"  # 只保留本地任务执行

🚀 阶段4：终极防御（进阶版）

# 使用Nginx反向代理+BasicAuth（推荐！）
cat > /etc/nginx/conf.d/openclaw.conf < 🔒 效果：必须通过域名+账号密码+HTTPS才能访问，黑客扫描IP也找不到入口！


---


## ❓ **三、高频问题解答**
**Q1：改完配置后无法连接怎么办？**
→ 检查是否遗漏`--port`参数，或防火墙规则冲突。本地测试用`curl http://localhost:18789`验证


**Q2：Token丢失如何重置？**
```bash
rm ~/.openclaw/config.yaml  # 删除配置文件（会丢失其他设置！）
openclaw setup --reset       # 重新初始化

Q3：提示词注入怎么防？ → 开启openclaw config set sandbox_mode true 隔离危险指令执行

🚨 最后提醒：据Exposure Watchboard统计，每3个暴露实例就有1个来自中国IP！如果你的服务器还在裸奔，现在立刻打开终端操作！别等被挖矿/勒索才后悔！ 💬 评论区晒晒你的修复结果，我会抽10位朋友免费做安全体检！ 🔗 官方文档：https://openclaw.allegro.earth/docs/security/ 🔥 实时暴露监控：https://exposure.openclaw.org/

⚖️ 法律声明：本文技术手段仅供防御，请勿用于非法渗透。攻击他人计算机系统属于犯罪行为！