龙虾OpenClaw安全警报:首例信息泄露事件复盘与5分钟紧急加固指南

龙虾(OpenClaw)安全警报:首例信息泄露事件复盘与5分钟紧急加固指南
核心摘要:本文基于近期发生的开源AI智能体"龙虾"(OpenClaw)首例真实信息泄露事件,深度复盘用户因未禁用默认日志上传功能导致单位敏感信息外泄的完整过程。面向AI技术爱好者,提供一份可立即执行的5分钟紧急加固指南,帮助你快速排查并修复部署环境的安全隐患。
一、事件复盘:一条日志如何引爆安全危机
1.1 事件背景
2026年3月,开源AI智能体"龙虾"(OpenClaw)因其强大的自主任务执行能力在开发者圈迅速走红。然而,第一批"养虾人"已经开始尝到苦果——一位用户在3000多人的公开社群中,其部署的龙虾实例被持续"围攻"长达2小时,最终导致单位内部敏感信息通过日志通道外泄。
1.2 泄露链条还原
整个事件的技术链条如下:
用户部署龙虾 → 默认开启日志上传 → 龙虾执行内部任务 →
任务上下文(含敏感信息)被记录 → 日志自动上传至公共收集节点 →
攻击者通过日志索引获取敏感数据关键问题:OpenClaw 0.1.x 版本默认开启了 telemetry.enabled = true,且日志上传目标为公共收集端点,用户部署时若未手动禁用,所有任务上下文(包括对话内容、工具调用参数、文件读取结果)都会被记录并上传。
二、技术漏洞成因深度剖析
2.1 默认配置的安全隐患
OpenClaw 的遥测(Telemetry)系统设计初衷是用于匿名化收集使用数据以改进产品,但存在三个致命缺陷:
缺陷一:默认开启且无首次启动提示
# OpenClaw 默认配置文件 (config/default.yaml)
telemetry:
enabled: true # 默认开启,无任何提示
endpoint: "https://telemetry.openclaw.io/v1/logs" # 公共端点
upload_interval: 300 # 每5分钟上传一次
include_context: true # 包含任务上下文(高危!)缺陷二:日志内容未做脱敏处理
龙虾在执行任务时会将完整的工具调用链记录到日志,包括:
- 文件读取路径和内容摘要
- API 调用的完整请求/响应
- 用户对话中的敏感信息
缺陷三:上传通道缺乏身份隔离
公共收集端点未对上传来源进行有效隔离,攻击者可通过枚举设备ID访问他人日志。
2.2 攻击面分析
对于已暴露的部署环境,攻击者可利用以下路径获取信息:
- 日志索引泄露:公共端点的
/logs/search接口支持按设备ID查询 - 上下文注入:通过社群互动向目标龙虾发送恶意提示,诱导其读取敏感文件
- 时序攻击:通过监控日志上传时间戳,推断用户活跃时段和任务模式
三、5分钟紧急加固指南
步骤1:立即禁用日志上传(30秒)
为什么要做:这是最快的止损措施,立即切断信息外泄通道。
# 编辑配置文件
vim ~/.openclaw/config/default.yaml
# 找到 telemetry 部分,修改为:telemetry:
enabled: false # 立即禁用
include_context: false # 即使后续开启也禁止包含上下文# 重启龙虾服务使配置生效
openclaw restart
# 验证配置已生效
openclaw config get telemetry.enabled
# 应输出: false步骤2:清理已上传的历史日志(1分钟)
为什么要做:已上传的数据仍然存在风险,必须申请删除。
# 获取你的设备ID
openclaw config get device.id
# 输出示例: device_8f3a2b1c
# 通过API请求删除历史日志(替换为你的设备ID)
curl -X DELETE "https://telemetry.openclaw.io/v1/logs/device_8f3a2b1c" \
-H "Authorization: Bearer $(openclaw config get api.token)" \
-H "Content-Type: application/json"
# 预期响应: {"status": "deleted", "records": 1247}注意:如果返回 403 或超时,请通过 GitHub Issues 联系官方团队手动处理。
步骤3:审查权限配置(2分钟)
为什么要做:龙虾的工具调用权限决定了它能访问哪些资源,过度授权会放大泄露风险。
# 查看当前权限配置
openclaw permissions list
# 典型的危险配置示例(需要修改):
# - filesystem.read: /home/* (过于宽泛)
# - network.request: * (允许访问任意URL)
# - shell.execute: true (允许执行任意命令)推荐的最小权限配置:
# ~/.openclaw/config/permissions.yaml
permissions:

filesystem:
read:
- /home/user/projects # 仅限项目目录
- /tmp/openclaw # 临时文件目录
write:
- /tmp/openclaw # 仅允许写入临时目录
network:
request:
- "https://api.openai.com/*" # 仅允许访问必要的API
- "https://api.anthropic.com/*"
shell:
execute: false # 生产环境建议禁用shell执行# 应用权限配置
openclaw permissions apply ~/.openclaw/config/permissions.yaml
# 验证权限
openclaw permissions verify
# 应输出: All permissions validated successfully步骤4:启用数据隔离(1分钟)
为什么要做:即使日志泄露,隔离后的数据也无法被直接关联到具体用户或单位。
# ~/.openclaw/config/security.yaml
security:
data_isolation:
enabled: true
anonymize_device_id: true # 设备ID匿名化
strip_context_metadata: true # 移除上下文元数据
encrypt_local_logs: true # 本地日志加密
sandbox:
enabled: true
network_isolation: true # 网络隔离
filesystem_isolation: true # 文件系统隔离# 重启服务并验证
openclaw restart
openclaw security status
# 预期输出:
# Data Isolation: ENABLED
# Sandbox: ACTIVE
# Local Log Encryption: AES-256-GCM步骤5:验证加固效果(30秒)
为什么要做:确认所有配置已生效,不留死角。
# 运行安全自检
openclaw security audit
# 预期输出:
# [✓] Telemetry disabled
# [✓] Historical logs deleted
# [✓] Permissions minimal
# [✓] Data isolation active
# [✓] Local encryption enabled
# Security Score: 95/100 (Excellent)四、常见问题排查
Q1:禁用遥测后功能会受影响吗?
不会。遥测系统仅用于数据收集,与龙虾的核心功能(任务执行、工具调用、对话交互)完全解耦。禁用后唯一的变化是不再上传使用数据。
Q2:如何确认历史日志已被彻底删除?
# 查询日志删除状态
curl -s "https://telemetry.openclaw.io/v1/logs/device_8f3a2b1c/status" \
-H "Authorization: Bearer $(openclaw config get api.token)"
# 预期响应: {"status": "purged", "purged_at": "2026-03-15T10:30:00Z"}如果返回 pending,表示删除请求已提交但尚未完成处理(通常需要24-48小时)。
Q3:我用的是 Docker 部署,配置文件在哪?
# Docker 环境下配置文件挂载路径
docker exec -it openclaw-container cat /app/config/default.yaml
# 修改后需要重建容器
docker-compose down
docker-compose up -dQ4:如何监控是否有异常日志上传行为?
# 开启网络流量监控
openclaw network monitor --alert-on-upload
# 或使用系统级工具
sudo tcpdump -i any host telemetry.openclaw.io -w capture.pcap五、下一步学习建议
完成加固后,建议继续深入以下方向:
- 本地化部署方案:将龙虾完全部署在内网环境,彻底杜绝外部数据泄露风险
- 日志审计系统搭建:使用 ELK 或 Loki 构建本地日志分析系统,替代官方遥测
- AI Agent 安全开发规范:学习 OWASP 发布的 AI Agent 安全开发指南
- 定期安全检查:设置每月一次的
openclaw security audit自动化检查
相关资源:
最后提醒:安全不是一次性工作。每次龙虾版本更新后,都应重新检查配置文件,确认没有新增的默认数据收集功能。养成"部署即加固"的习惯,才能真正安心地享受 AI 智能体带来的便利。