这几天帮朋友配置OpenClaw,他说他想要在异地的时候都能访问到家里配置的小龙虾,可不可以申请个域名,把它绑定?
可以是可以,但是安全问题,咱们可不背锅......对于OpenClaw直接暴露在公网,小白一直是处于怀疑态度的:毕竟咱们对于网络安全防护这件事情一直都没啥意识,这样把OpenClaw暴露在公网,要是出个万一,岂不是什么都没了?!
01.安全问题不容小觑
刚好,在前几天小白看到了这个消息:2026年4月7日,RSAC全球网络安全大会上爆出一个重磅新闻,OpenClaw正在大规模"裸奔"公网。
接着短短两天后,一场必然发生的危机就来了:全球约58万个OpenClaw实例直接暴露在公网,中国成为重灾区,暴露量全球第一。北上广浙苏等互联网发达地区,几乎无一幸免。
黑客们的手法有多猖狂?API密钥批量泄露,算力被恶意盗刷,有人一夜损失47万,服务器被远程控制,变成黑客的"肉鸡"。
国家互联网应急中心、工信部紧急发文预警。
如果OpenClaw直接暴露在公网,咱们API密钥是不是已经泄漏了?家里的设备是不是已经成为肉鸡了?好可怕......
02.远程访问,风险在哪儿?
第一次玩小龙虾的小伙伴可能都不会去注意到这些,直接搭建在公网上,然后开玩......这样的操作真的数不胜数了。API泄漏,首先出现的问题就是Token被刷爆了,其次是可能别人可以通过小龙虾给咱们的设备投毒。
如果你用HTTP明文传,相当于把密钥写在明信片上寄出去------路过的人都能瞄一眼。
有些小伙伴会直接使用第三方远程工具,有些远程工具数据要过他们的服务器,鬼知道他们看不看?只能希望他们不看了吧......
接着就是把密码设成"123456"一样简单的Dashboard的验证token,跟没锁门一个样。
03.传统方案,各有各的坑
| 方案 | 传输安全 | 数据隐私 | 部署难度 |
|---|---|---|---|
| 端口映射+HTTP | ❌裸奔 | ❌能被截获 | 中等 |
| VPN | ✅还行 | ⚠️ 看服务商 | 复杂 |
| 内网穿透 | ⚠️ 看命 | ⚠️ 经第三方 | 简单 |
| 节点小宝 | ✅端到端加密 | ✅点对点直连 | 简单 |
远程调用OpenClaw,不用再担心密钥被偷看。
04.节点小宝:让密钥安全"隐身"
-
核心武器:端到端加密 + P2P直连
-
数据流量走向:你的电脑 ←→ 你的手机(P2P直连)
-
全程加密
-
四重防护
05.实际跑一遍:远程调用OpenClaw
小白这几天在单位上班,想远程让家里的OpenClaw干活,或者远程调整小龙虾使用的大模型时的操作:
电脑两端都部署了节点小宝,且均已打开节点小宝。
- 远程调试方案1:通过微软原生远程桌面
- 远程调试方案2:通过OpenSSH远程调试
- 远程访问小龙虾方案1:直接使用微软远程桌面,使用部署小龙虾的本机访问localhost:18789
-
远程访问小龙虾方案2:通过OpenSSH打开18789端口转发,接着本机可直接访问localhost:18789
ssh -L 18789:127.0.0.1:18789 远程机器用户名@远程机器的组网IP
06.更安全的方式
- 定期换钥匙
-
API密钥像门锁,隔段时间换一次:
-
OpenAI:3个月一换
-
其他平台:半年一换
- 设个消费上限
去AI平台后台,设置每月使用上限,开启超额告警,被刷了也能及时发现。
- 别把密钥写死在文件里,设置成环境变量调用(更安全)
别这样:
{"apiKey": "sk-xxxxxxxx"}要这样:
{"apiKey": "${OPENAI_API_KEY}"}然后在环境变量里设:
export OPENAI_API_KEY="sk-xxxxxxxx"- 给节点小宝加把锁
-
只允许特定设备访问
-
设置访问密码
-
开启二次验证
--End--
推荐阅读