OpenClaw 主要风险: 公网暴露 · CVE-2026-25253 / CVE-2026-32922 · 恶意技能 / ClawHavoc
自托管 OpenClaw 的检查、加固与交付路径

OpenClaw 加固,从免费清单开始
再升级到 M78Armor

M78Armor 面向自己运行 OpenClaw 的团队。先用免费安全清单判断问题,再用免费 m78setup 发布包做基础准备;如果需要自动化加固脚本和更清晰的留档材料,再走付费订购路径。

获取免费清单获取免费 m78setup 发布包提交订购申请
付费流程:提交订购申请 -> 邮件接收银行转账说明 -> 付款确认后手动交付
本地审查预览
$ node m78armor.js --mode audit
WARN 网关仍绑定到 0.0.0.0 公网接口
FAIL 已启用认证,但密钥强度仍然偏弱
WARN 反向代理边界未收紧,控制面暴露仍偏宽
INFO 留档包已准备:baseline-sheet.md / deployment-inventory.md
NEXT 先收紧暴露面,再轮换密钥并验证技能审批路径
检查先看清当前部署问题。
加固把发现转成更短的修复动作。
留档把后续要解释的内容提前准备好。
Threat model

为什么现在就要加固?

大多数 OpenClaw 事故,并不是输在复杂零日,而是输在普通的配置失误:暴露过宽、密钥过弱、运行边界松散、技能来源不受控。真正要先做的,不是讲架构故事,而是先把已经运行的部署收紧。

暴露面会先出问题

只要网关可从公网直接到达,哪怕只是个人环境,也会进入同一类扫描面。

补丁只解决一部分

升级版本有必要,但认证、边界、权限和日志仍然掌握在操作方手里。

技能本质上是供应链

每个第三方技能都在扩展信任边界。来源、审批和长期文件保护都必须进入加固范围。

What you receive

你实际会收到什么

一眼看懂交付结构:核心运行层是什么,帮你上手的内容是什么,高阶版本额外增加了哪些工作文件和留档材料。

Script

本地加固脚本

本地运行的扫描脚本,优先检查最容易失守的配置和边界。

Guide

帮助文件

帮助用户完成安装、首轮运行和结果理解的短说明。

Sheet

FAQ 页面

把首次使用时最常见的问题和边界情况提前说明清楚。

Inventory

工作文件

仅高阶版本提供:用于基线审查、部署清单和操作跟踪的结构化文件。

Evidence

留档材料

仅高阶版本提供:当老板、客户或合伙人追问时,可以直接拿出来说明的结构化材料。

Workflow

从发现问题到形成记录

产品故意收窄范围。它做的不是“所有安全工作”,而是把最容易出事的第一段流程压缩得更短:先看结果,再收紧边界,再保留证据。

1

先检查

先用本地扫描了解暴露、边界、运行身份与技能控制问题。

2

再收敛

把发现的问题转成更短的修复路径,而不是继续拼接碎片教程。

3

再留档

需要向别人说明时,不必再从终端输出和截图里拼凑证据。

Coverage preview

10 项最先要看的检查项

这些检查反复出现在真实的自托管 OpenClaw 部署里。产品不是试图解决一切,而是优先收紧最容易失守的控制点。

网关暴露网关是否仍绑定到 0.0.0.0,且对公网可达。
认证与密钥是否启用认证,密钥是否足够强,是否真正生效。
CVE 状态当前版本是否仍位于已知漏洞暴露范围内。
控制面范围控制面是否比真实需要的范围更宽。
敏感文件权限配置文件与密钥是否被错误身份读取。
边界收敛默认端口、反向代理与 VPN 边界是否仍然松散。
技能审批技能安装是否可控,还是处于开放状态。
长期文件保护SOUL.md 与 MEMORY.md 是否进入保护边界。
运行身份最小权限与运行身份隔离是否到位。
日志能力日志是否足够支撑后续回溯与解释。
Fit

适合谁 / 不适合谁

适合

  • 个人自托管开发者和小型技术团队
  • VPS、本机、Aliyun、腾讯云等自主管理环境
  • 能够执行命令,但不想再从零拼接安全路径的操作者
  • 需要一个实际可跑的加固流程,而不是订阅平台

不适合

  • 已有成熟内部工具的大型企业平台团队
  • 不控制运行边界的托管客户
  • 期待供应商替自己承担全部责任的采购场景
  • 想要“一键就绝对安全”的用户
Commercial model

三种方案,按需选择

免费手动检查、自动化加固脚本、或自动化加固脚本加留档材料。付费工具包在订购申请和银行转账确认后手动交付。

免费安全清单
免费
不想花钱、时间又充裕的话,手动配置也能解决问题。
  • 直接下载,不用注册
  • 手动逐项安全配置
获取免费清单
基础加固工具包
¥88 / $29
想省时间?自动化加固脚本帮你一步到位。
  • 自动化安全配置脚本
  • 附快速上手指南与 FAQ 页面
  • 提交申请后邮件发送转账说明
下单基础版
加固留档工具包
¥188 / $49
还需要交接材料和留档记录?一步搞定。
  • 包含基础版全部内容
  • 增加工作文件与留档材料
  • 付款确认后手动交付
提交订购申请
付费流程:提交订购申请,邮件接收银行转账说明,完成银行转账后,再按付款确认结果手动交付。
Evidence preview

为什么还需要留档层

更高一层的工具包,不只是“文件更多”。它是在有人追问时,给出更干净的回答:检查了什么、改了什么、还有哪些需要继续处理。

Action

快速行动计划

把下一步修复动作写清楚,而不是只在聊天里说一遍。

Gate

技能审批闸门

把技能安装、来源检查和边界审批整理成可复核材料。

One-pager

安全说明单页

适合给客户、老板或合伙人看的简洁说明版本。

Report

审计证据报告

把检查和变更整理成更完整的证据包,而不是散落截图。

Search intent FAQ

常见问题

OpenClaw 已经升级了,还需要加固吗?

需要。升级只解决已知漏洞,并不会自动收敛公网暴露、权限过大、认证薄弱或不受控的技能安装策略。

运行第三方脚本安全吗?

M78Armor 默认本地运行,不把配置、日志或密钥上传到云端。运行包可读,并提供 SHA-256 完整性校验。

两种付费工具包的核心差别是什么?

基础加固工具包解决“先评估、再收敛”的问题;加固留档工具包额外提供可直接复用的留档与解释材料。

为什么免费安全清单是免费的?

因为手动检查本身就有价值。免费清单帮助用户先判断问题,再决定是否需要更快、更可重复的工具包。

这会不会保证绝对安全?

不会。它改善的是加固过程,不会替代测试、变更控制和你对自己环境的责任。

需要购买说明或交付路径?

免费内容可直接下载;付费工具包走手动路径,流程清晰,但不走自动结账。

提交订购申请对比工具包
订购申请二维码
公开联系邮箱:support@m78armor.com;微信仅作次要联系渠道。