Moltbot Security

核心用法

本技能为 Moltbot/Clawdbot/OpenClaw 等AI Agent网关提供端到端安全加固方案，基于真实漏洞研究（发现1,673+个公开暴露网关）设计，覆盖本地部署与远程访问场景。

关键配置步骤：

| 层级 | 措施 | 命令/配置 |

|:---|:---|:---|

| 网络隔离 | 绑定回环地址 | `"bind": "loopback"` |

| 身份认证 | Token/密码认证 | `openssl rand -hex 32` |

| 文件安全 | 严格权限控制 | `chmod 600 ~/.clawdbot/*.json` |

| 远程访问 | Tailscale加密隧道 | `"tailscale": {"mode": "serve"}` |

| 系统加固 | UFW防火墙+SSH密钥 | `ufw default deny incoming` |

快速审计命令：

clawdbot security audit --deep --fix  # 深度扫描+自动修复

---

显著优点

1. 真实威胁驱动：基于Shodan扫描发现的1,673+暴露实例，非理论推演
2. 分层防御设计：从网络层（绑定loopback）到应用层（token认证）到系统层（权限/防火墙）全覆盖
3. 零公网暴露方案：Tailscale组网替代端口开放，消除攻击面
4. 自动化修复：--fix 参数一键修复权限、配置问题
5. 跨平台支持：涵盖macOS/Homebrew、Ubuntu/Debian、Windows及云服务器场景

---

潜在缺点与局限性

| 问题 | 说明 |

|:---|:---|

| **配置复杂度** | 需同时修改JSON配置、环境变量、Shell配置、防火墙规则，新手易遗漏 |

| **Tailscale依赖** | 远程访问强制依赖Tailscale，若Tailscale服务故障则完全失联 |

| **无内置证书管理** | 未提及TLS/HTTPS配置，仅依赖Tailscale的WireGuard加密 |

| **Node.js版本锁定** | 要求v22.12.0+，旧系统升级可能引发兼容问题 |

| **缺乏监控告警** | 无入侵检测、异常登录告警机制 |

| **单点token风险** | 仅支持单token认证，无RBAC或多用户支持 |

---

适合人群

• AI辅助开发者：使用Claude/Cursor + Moltbot进行"vibe coding"的技术用户
• 自托管爱好者：将AI Agent部署在个人服务器/NAS上的进阶用户
• 小型团队DevOps：需为团队搭建私有AI网关的技术负责人
• 安全意识较强的个人用户：担心API密钥与会话历史泄露的隐私敏感者

不适合： 追求开箱即用的非技术用户；需要企业级IAM、审计日志、SLA保障的大型组织。

---

常规风险

| 风险场景 | 后果 | 缓解措施 |

|:---|:---|:---|

| 网关绑定`auto`+无认证 | 攻击者可直接调用API，窃取所有密钥与聊天记录 | 强制`loopback`+token认证 |

| 配置文件权限644 | 其他用户/进程可读API密钥 | `chmod 600` + 定期审计 |

| 防火墙开放18789端口 | 公网直接暴露网关 | `ufw deny 18789`，仅允许Tailscale接口 |

| 使用默认/弱token | 暴力破解后完全接管 | `openssl rand -hex 32`生成高强度随机值 |

| 邮件/文档prompt注入 | AI自动执行恶意指令，泄露数据 | 输入过滤+最小权限原则（技能未覆盖） |

| Node.js漏洞（<v22.12.0） | RCE或权限提升 | 及时升级，关注CVE |

特别警示： 作者提及的"prompt注入攻击"（邮件含隐藏指令→AI自动转发数据）属于AI Agent特有威胁，本技能未提供具体防护措施，需用户额外关注输入 sanitization。

核心用法

Moltbot Security Guide 是一份专为 AI Agent（Clawdbot/Moltbot/OpenClaw）设计的纯文档型安全加固指南，旨在解决网关暴露公网导致的严重安全隐患。用户无需安装可执行组件，直接按文档执行 8 步安全配置即可锁定网关。

关键操作路径：
1. 绑定回环地址 — 修改 ~/.clawdbot/clawdbot.json，将 gateway.bind 设为 loopback，阻止外部网络访问
2. 设置认证令牌 — 生成 64 位 hex token 或启用密码认证，通过环境变量或配置文件注入
3. 修复文件权限 — 执行 chmod 700/600 锁定配置目录和敏感文件
4. 禁用 mDNS 广播 — 设置 CLAWDBOT_DISABLE_BONJOUR=1，减少攻击面
5. 升级 Node.js — 强制要求 v22.12.0+，规避已知 CVE
6. 部署 Tailscale — 创建加密隧道实现安全远程访问，替代公网暴露
7. 配置 UFW 防火墙 — 默认拒绝入站，仅放行 SSH 和 Tailscale 接口
8. 加固 SSH — 禁用密码认证，改用密钥登录

文档提供一键审计命令 clawdbot security audit --deep --fix 自动检测并修复配置问题。

显著优点

• 基于真实威胁情报：引用安全研究员 @NickSpisak_ 的 Shodan 扫描结果（1,673+ 暴露网关），非理论推演
• 零代码执行风险：纯 Markdown 文档 + JSON 元数据，无可执行脚本，静态分析得分 95/100
• 覆盖完整攻击链：从网络层（绑定、防火墙）、认证层（token/password）、到系统层（权限、SSH）纵深防御
• 云原生友好：针对 AWS/DigitalOcean/Hetzner 等云服务器提供 UFW 专项配置
• 远程访问方案成熟：Tailscale 集成方案避免传统 VPN 的复杂性

潜在缺点与局限性

• T3 来源可信度：维护者 NextFrontierBuilds 为 2024 年 6 月创建的 GitHub 个人账号，无长期维护记录，社区影响力有限（12 仓库/25 关注者）
• 引用外部脚本风险：文档包含 curl | sh 形式的 Tailscale/NodeSource 安装示例，用户复制执行时需自行验证来源
• 无自动化回滚机制：配置错误可能导致网关失联，文档未提供完整回滚指南
• 平台覆盖不均：Windows 仅提供 Node.js 下载链接，缺少 PowerShell 详细配置步骤
• 依赖上游项目：安全建议有效性取决于 Clawdbot/Moltbot 本身的实现，文档无法控制实际代码漏洞

适合人群

• AI 辅助开发用户：使用 Claude、Cursor 等 AI 编程工具并通过 Moltbot/Clawdbot 扩展功能的开发者
• 家庭实验室运维者：需远程安全访问本地 AI Agent 的 homelab 用户
• 云服务器新手：在 VPS 上部署 AI Agent 但缺乏安全加固经验的开发者
• 安全意识觉醒者：已意识到"vibe coding"工具可能暴露敏感数据的早期采纳者

常规风险

• 配置误操作风险：错误设置 bind 或防火墙规则可能导致服务完全不可访问
• 凭证泄露风险：若用户将 token 硬编码在配置文件而非环境变量，存在意外提交至 Git 的历史风险
• Tailscale 单点故障：过度依赖 Tailscale 网络可用性，若 Tailscale 服务中断则远程管理失效
• Social Engineering 绕过：文档无法防护 prompt injection 等应用层攻击，仅解决网络层暴露问题
• 供应链延迟风险：Node.js 漏洞修复依赖官方发布周期，文档建议版本可能滞后于最新安全补丁