5 быстрых проверок безопасности OpenClaw: gateway, auth, token и skills

5 быстрых проверок безопасности OpenClaw.

1. Проверь, не торчит ли gateway наружу.

openclaw config get | grep -E "host|bind"

Если видишь 0.0.0.0 или вообще ничего — это плохо.

Исправление:

{
  "gateway": {
    "host": "127.0.0.1"
  }
}

Удалённый доступ — только через SSH-туннель:

ssh -L 18789:localhost:18789 user@your-vps

1. Проверь, включена ли авторизация.

openclaw config get | grep -E "auth|token"

Если auth выключен или токен слабый — срочно меняй.

Сгенерировать токен:

openssl rand -hex 24

Положи его в gateway.auth.token, лучше через .env, а не хардкодом в JSON.

1. Проверь, не лежат ли ключи в открытом виде.

cat ~/.openclaw/openclaw.json | grep -i "key\|token\|secret"

Если API-ключи видны прямо в конфиге — это уже риск.

Минимум:

chmod 700 ~/.openclaw/credentials
chmod 600 ~/.openclaw/openclaw.json

И да — ключи лучше вынести в .env и ротировать.

1. Проверь установленные skills.

openclaw skills list

Если не смотрел исходники скилла — либо проверь, либо сноси.

Удаление:

openclaw skills uninstall <skill-name>

Ограничение источников:

{
  "skills": {
    "allowSources": ["clawhub:verified"]
  }
}

1. Проверь версию OpenClaw.

openclaw --version

Если давно не обновлялся — почти наверняка сидишь на известной уязвимости.

Обновление и диагностика:

npm install -g openclaw@latest
openclaw doctor --deep

Кстати, пришло обновление для Telegram. Cocoon начинает раскрываться, но пока по-русски что-то слабо общается🥴