我的openclaw应用是否被黑客所标记,是否暴露在公网?这是最近openclaw使用者比较关心的问题,因为目前已经有大量的openclaw被黑客所标记,如下:
可以看到全球有23万+的端口为18789的服务暴露在公网,而且这一数字还在持续的增加。当然上述按照端口18789的统计openclaw存在些许的不准确,但是整体代表了目前openclaw使用的状况。
本文将带你用最简单的步骤,给自己的OpenClaw做一次"体检",看看它是否正"裸奔"在互联网上。
什么是openclaw
OpenClaw(俗称"龙虾"),是一款AI 智能体应用,这个开源的AI智能体可以帮你自动化处理文件、管理邮件、操作浏览器 。正因为它的能力太强了,它能直接操作你的系统和文件,所以也成为了黑客眼中的"香饽饽",同时大量OpenClaw用户由于缺乏IT经验,将服务直接部署在公网服务器上且未做任何防护,导致设备被控制、隐私泄露甚至遭受经济损失 。
你的openclaw很危险
OpenClaw的管理界面本质上是一个网页即Web服务,如下:
可以看到openclaw的网页title的名称为Openclaw control,为了方便,很多用户直接把它部署在具有公网IP的云服务器上,并且保持了软件的默认配置,这就带来了如下问题:
服务暴露 :OpenClaw如果绑定在 0.0.0.0:18789 地址,它会监听服务器的所有网络接口,如果该机器具备公网IP,则直接暴露在公网 。互联网上大量的自动化扫描工具,它们24小时不停地在探测 18789 这个端口。一旦扫到,你的服务器就等于被标记了 。
默认无密码 :OpenClaw的初始配置通常不开启任何身份认证,任何人只要能访问到这个端口,就能直接控制你的AI代理 。
漏洞频发:OpenClaw作为新出现的服务,已经被发现了数百个漏洞,包括远程代码执行等高危漏洞 。
已有国内用户因OpenClaw暴露,招致经济损失。
如何自查。
先介绍自动查询,即借助公开免费平台的方法,动手能力强的小伙伴可以使用手动自查方式。
自动查询
文章开始的图片使用的是端口为18789的过滤条件,因为openlaw的title为openclaw control,如下使用网页中包含openclaw的查询条件,可以知道仍有大量的机器暴漏在公网:
虽然相比端口查询实例数量大幅度减少,但是有的应用可能叫做clawbot或者修改成自己所偏好的名称。
想要查看自己的服务是否暴露,可以直接搜索自己的主机IP,如下:
shodan是国际上比较出名的网络空间测绘工具,国内提供类似服务的还包括 zoomeye,FOFA,微步等。
手动查询
除了通过公网的平台查询,还可以手动的进行尝试,进行龙虾的体检。
检查公网IP
首先查看你的机器是否具备公网IP,windows的命令为ipconfig | findstr "IPv4",如下:
如果你用的是云服务器,登录云厂商控制台,找到服务器的公网IP地址。我的地址目前都是局域网的Ip地址。
检查本地端口服务
可以通过命令 netstat -ano | findstr ":18789"检查端口,,如下:
如果显示 0.0.0.0:18789 或 :::18789,说明服务监听在所有网络接口上,即暴露在外。如果显示 127.0.0.1:18789,说明只监听在本地,相对安全。
检查配置文件
OpenClaw的核心配置文件通常名为 openclaw.json。进入OpenClaw的安装目录,例如C:\Users\admin。查看配置文件中的 bind 设置,如下:
危险设置:"bind": "0.0.0.0" ,安全设置:"bind": "loopback" 或 "bind": "127.0.0.1" 。
手动测试
手机不连接局域网WIFI,使用自身的4G/5G流量情况下,在手机浏览器中输入 http://你的公网IP:18789。如果页面能打开,哪怕只是一个简单的界面或登录框,说明你的服务彻底暴露在公网,这是非常危险的信号。如果打不开(无法访问),说明暂时相对安全。
本文简单介绍了如何通过自动和手动的方式查询openclaw是否暴漏在公网,关于检查并加固openclaw其他方面的完全,将在后续我的专栏专栏《个人电脑网络安全自查指南》以及《AI安全》专栏详细说明,见这里和这里。