你的 OpenClaw 已经暴露在公网，正在被扫描

OpenClaw 才爆火 2 个月。

截至 2026 年 3 月中旬，全球就已经有大约 54 万个 OpenClaw Agent，直接暴露在公网，面临随时被黑客攻击的潜在风险。

这不是一个“技术问题”。

这是一个：

大规模正在发生的安全问题。

---

如果你也在用 OpenClaw，

你需要认真想一件事：

你现在的这个 Agent，

是不是也在这 54 万里。

---

如果答案是“可能”。

那你已经不是在“本地跑 AI”。

你是在把整个 AI Agent 系统，
直接挂在互联网。

而你自己，
还以为它只是“本地运行”。

真正危险的地方在于：

你暴露的，从来不只是一个页面。

一旦你的 OpenClaw 面板可以被公网访问，别人接触到的可能是：

• 你的 Agent 控制入口
• 你的会话上下文
• 你的工具调用能力
• 你的 API Key 使用面
• 你的自动化执行权限
• 甚至你接入过的系统和账号能力

换句话说：

你不是暴露了一个 Web 页面。
你暴露的是——你的 AI 行动系统入口。

再说得更直接一点：

你不是把网站放到公网。
你是把“AI 分身的控制权”，放到了公网。

---

你以为你暴露的是一个页面，

实际上暴露的是整个 AI Agent 系统。

问题从来不在技术。

而在认知。

在传统时代：

公网暴露一个页面，
最多是“网站被扫”。

但在 AI Agent 时代：

公网暴露一个 Agent 面板，意味着：

有人正在接近你的上下文、权限和执行能力。

如果配置再松一点、版本再旧一点，风险会快速升级为：

• 被探测
• 被撞配置
• 被利用漏洞
• 被窃取 token
• 被滥用资源
• 被接管实例

很多人不敏感，是因为他们脑子里想的是：

“我只是装了个工具。”

但现实是：

你装的不是工具。
你装的是一个连接模型、工具、账号、自动化能力的系统。

所以今天真正该问的，不是：

“我的 OpenClaw 能不能跑起来？”

而是：

“它现在，是不是已经暴露在公网？”

---

先说结论

OpenClaw 不一定会自动暴露公网。

但它绝对不是“默认安全”。

是否暴露，取决于三件事：

1. 监听地址是不是 0.0.0.0
2. 机器有没有公网 IP
3. 端口是否开放

只要这三件事同时成立：

👉 你的 OpenClaw，大概率已经是公网可访问状态。

不是 OpenClaw 暴露了你。
是你的部署方式，把它送上了公网。

---

为什么这件事现在更危险？

因为 Agent ≠ 传统服务。

传统服务暴露，通常只是：

• 一个页面
• 一个接口
• 一个后台

但 OpenClaw 这种 Agent 系统背后连接的是：

• LLM 调用
• 工具执行能力
• 外部账号
• 自动化任务
• 历史上下文

所以风险不是线性增加。

而是被“能力连接”放大。

可以这样理解：

过去暴露的是“门”。
现在暴露的是：

门 + 钥匙串 + 操作台。

---

为什么这么多人会中招？

因为很多人不知道一件事：

服务启动 ≠ 服务只在本地。

大多数人做的只是：

• 跑了个 Docker
• 买了台云服务器
• 加了个域名
• 想远程方便访问

但这些动作一旦组合不当：

👉 就等于把 OpenClaw 直接上线到互联网。

绝大多数暴露案例，不是黑客太强。

而是用户自己，用一条命令公开了系统。

---

怎么判断你有没有暴露？

不要猜。
不要凭感觉。

只查三件事：

1️⃣ 看监听地址

ss -tulnp | grep 18789

如果是：

0.0.0.0:18789

👉 正在监听所有网络接口

如果机器有公网 IP，就有被访问风险。

如果是：

127.0.0.1:18789

👉 只允许本机访问，相对安全。

2️⃣ 看有没有公网 IP

curl ifconfig.me

返回公网地址：

👉 说明你的机器在互联网可见范围内。

特别注意：

• 云服务器
• VPS
• AWS / 阿里云 / 腾讯云

这些环境，本身就是“默认对公网开放”的。

3️⃣ 从外部实测

curl http://你的公网IP:18789

只要能返回页面：

👉 就已经是公网暴露。

判断很简单：

外网能不能直接访问到。

能，就是暴露。

---

Docker 用户最容易踩坑

最常见的一条命令：

docker run -p 18789:18789 openclaw

很多人以为只是启动服务。

但它的真实含义是：

👉 把端口直接映射到宿主机。

如果宿主机有公网 IP + 没有限制：

👉 就等于把 OpenClaw 公开到互联网。

绝大多数事故，不复杂：

公网机器 + 端口映射 + 没限制

然后扫描器就来了。

---

有域名，不代表安全

很多人会说：

“我有域名”
“我有 Nginx / Caddy”

但：

• 域名 ≠ 安全
• 反代 ≠ 防护

如果结构是：

domain → OpenClaw

但没有：

• 访问控制
• 身份认证
• 零信任机制

👉 本质还是公网暴露。

---

一个最简单的判断标准

相对安全

• 绑定 127.0.0.1
• 不开放端口
• 不允许公网访问
• 通过 Tunnel / 私有网络访问
• 有额外认证层

高风险

• 监听 0.0.0.0
• 云服务器公网 IP
• 端口直接开放
• 外部可访问面板
• Docker 直接映射

如果你命中了后者：

别再问“会不会被扫”。

更现实的问题是：

👉 你是什么时候被扫到的。

---

“没人会注意我”，是错觉

今天的互联网：

不是有没有人盯你。

而是：

你是否已经进入“默认被扫描”的范围。

扫描是：

• 自动化的
• 规模化的
• 持续发生的

只要你的服务：

• 可公网访问
• 有特征
• 可识别

👉 被发现只是时间问题。

---

最推荐的部署方式

正确思路只有一个：

👉 不要直接暴露

结构应该是：

OpenClaw
↓
127.0.0.1
↓
Tunnel（Cloudflare / Tailscale / WireGuard）
↓
私有访问

这样做的核心价值：

• 不暴露端口
• 不被扫描
• 攻击面极小
• 仍可远程访问

---

最后一件事（重点）

如果你已经在跑 OpenClaw，

现在最重要的不是继续折腾功能，

而是先确认一件事：

👉 你的 Agent，是不是已经暴露在公网。

过去暴露的是网站。
现在暴露的，是你的 AI 分身。

如果你想把 OpenClaw 用得更好，

想让自己的龙虾变得即安全又好用，

建议你尽早建立一套正确的安全认知和使用方式。

我会在 DeepCarry 会员社区，

持续分享 OpenClaw 的使用技巧、部署经验，以及安全相关的最佳实践。

👉 https://deepcarry.io/zh/member

这是一堂所有人都必须补的安全课。