你装的每一只“小龙虾”,在内网与公网都藏不住。本文基于OpenClaw官方架构、默认安装行为与实战指纹,一次性讲清:默认开哪些端口、跑哪些服务、留哪些痕迹,让你一眼判断一台机器是否装了OpenClaw。
一、先给结论:OpenClaw默认很谨慎,但特征极强
• 默认只绑127.0.0.1,不主动暴露公网;
• 端口、进程、目录、服务、Web指纹高度固定,极易被检测;
• 一旦改成0.0.0.0或做端口映射,全网可扫、可定位。
一句话:便利拉满,隐蔽性为零。
二、缺省安装必暴露:端口与服务清单(运维/安全必存)
1)核心固定端口(默认127.0.0.1)
端口 服务/用途 绑定地址 风险 说明
18789 Gateway网关(HTTP/WebSocket复用) 127.0.0.1 中 管理面板、控制平面、Agent调度入口
18791 浏览器控制服务 127.0.0.1 低 主端口+2,自动化能力支撑
18793 Canvas工作区文件服务 127.0.0.1 低 主端口+4,技能静态资源服务
2)部署场景额外端口
• 1Panel/Docker默认:18790(桥接通信)
• 旧版历史端口:19890(已弃用,仍有存量暴露)
关键风险点:
只要把bind从loopback改成0.0.0.0,或做SSH隧道/端口转发,这只龙虾立刻“上线”。
三、一眼识龙虾:进程+服务+目录三大铁证
1)进程特征(最准,100%命中)
openclaw
openclaw-gateway
python3 ~/.openclaw/workspace/skills/xxx/simple_coordinator.py
• 父进程:openclaw/openclaw-gateway
• 旧版曾用名:clawdbot/moltbot(同产品不同马甲)
2)系统服务自启(服务器标配)
• systemd用户服务:~/.config/systemd/user/openclaw-gateway-*.service
• 系统服务:/etc/systemd/system/openclaw*.service
• 特征字段:OpenClaw Gateway、--port 18789
3)文件目录(缺省安装跑不了)
~/.openclaw/
├── workspace/skills/ # 技能插件(你的代码就在这)
├── agents/ # 智能体配置
├── logs/ # 运行日志
├── audit/ # 审计日志
└── openclaw.json # 核心配置
• 二进制:/usr/local/bin/openclaw
• 检测命令:ls ~/.openclaw/ && which openclaw
四、远程不用登服务器:3个指纹锁定OpenClaw
1. 标题指纹
OpenClaw Control / Moltbot Control / clawdbot control
2. 健康接口
GET /health 返回reachable、gateway、version
3. 响应固定特征
X-Powered-By: Express、前端资源哈希、ACP Control Plane关键词
黑盒扫描一句话:
扫18789 → 取/health → 匹配标题,全球龙虾秒现身。
五、安全必看:企业内网怎么快速排查
本机一键检查(Linux/macOS)
ps aux | grep -E "openclaw|clawdbot" | grep -v grep
ls -la ~/.openclaw/
ss -tulpn | grep 18789
systemctl list-unit-files | grep openclaw
内网批量发现
• 端口:18789、18790、18791、18793
• 指纹:/health + OpenClaw关键词
• 目录:~/.openclaw/workspace/skills/
六、总结:龙虾几何?一清二楚
• 端口:18789为主,+2、+4自动派生;
• 服务:Gateway网关+浏览器控制+文件
• 目录:~/.openclaw 几乎不改名;
• 指纹:面板标题+/health接口,全网可识别。
你贡献的每一行SKILL代码,都在让这只龙虾更强大;而它的“行踪”,也始终清晰可查、可管、可控。
