OpenClaw Tailscale：零公网暴露的安全永在线 AI 智能体访问方案

核心要点

• OpenClaw + Tailscale 构建零信任加密网格网络，完全消除公网端口，极大降低攻击面。
• 官方集成可自动配置 Tailscale Serve（仅 Tailnet 内 HTTPS）或 Tailscale Funnel（带密码的公网访问），同时将 Gateway 绑定到 loopback 实现最高安全性。
• 支持 VPS（Hetzner、DigitalOcean）、Mac Mini、Raspberry Pi 等生产环境，结合 ACL、标签和沙箱实现永在线运行。
• 社区部署数据显示，Tailnet 访问延迟极低，对暴力破解和凭证填充攻击具有极强防护能力。
• 进阶配置包括 Tailscale SSH、身份头传递以及严格 ACL 隔离智能体节点。

什么是 OpenClaw？

OpenClaw 是一个开源的自托管自主 AI 智能体，可将 Claude、GPT 等大语言模型连接到 Telegram、WhatsApp、Discord、Slack 等消息平台。它能够执行真实世界任务，包括执行 Shell 命令、文件操作、邮件/日历管理、浏览器自动化，以及社区开发的各种自定义技能。

与传统聊天机器人不同，OpenClaw 支持持久运行、主动心跳与定时任务、本地 Markdown 长时记忆，以及通过动态创建技能实现自我迭代。其 Gateway 组件是负责安全消息路由和控制界面的核心。

该项目于 2025 年底推出后迅速走红，社区围绕安全、生产级部署展开了大量讨论和优化。

为什么要把 OpenClaw 与 Tailscale 搭配使用？

直接将 OpenClaw Gateway 暴露到公网风险极高：智能体拥有执行任意命令、读写文件、调用 API Key 的能力。开放端口极易遭受暴力破解、凭证填充乃至远程代码执行攻击。

Tailscale 通过基于 WireGuard 的零配置加密网格 VPN 完美解决了这一问题。设备通过 OAuth 或认证密钥加入网络，获得稳定的私有 IP（100.x.x.x 段）和 MagicDNS 域名，无需端口转发或公网暴露。

分析表明，采用 Tailscale 集成的 OpenClaw 部署可实现：

• 零公网攻击面（正确配置下）
• Tailscale Serve 自动提供 HTTPS 证书
• 基于身份的认证（Tailscale 用户/设备头）
• 从笔记本、手机或其他 Tailnet 设备无缝远程访问

社区反馈显示，这一组合已成为自托管 AI 智能体“隐形堡垒”部署的事实标准。

OpenClaw 官方 Tailscale 集成

OpenClaw Gateway 原生支持 Tailscale 自动化配置。

支持模式

• serve（强烈推荐）：仅限 Tailnet 访问，Gateway 绑定到 loopback。Tailscale Serve 负责代理 HTTPS 并提供有效证书。
• funnel：通过 Tailscale Funnel 提供公网 HTTPS，需设置密码，仅在确实需要公开访问时使用。
• off（默认）：不启用自动化，手动配置 Tailscale。

配置示例（config.yaml 或 JSON）：

gateway:
  bind: "loopback"
  tailscale:
    mode: "serve"
  controlUi:
    allowInsecureAuth: false

常用命令：

# 推荐：仅 Tailnet 访问
openclaw gateway --tailscale serve

# 带密码的公网访问
openclaw gateway --tailscale funnel --auth password

配置完成后，即可通过 https://你的设备名.tailnet.ts.net 在 Tailnet 内安全访问控制面板。

安全部署完整步骤

1. 准备主机

推荐使用 Hetzner Cloud、DigitalOcean VPS，或家里的 Mac Mini / Raspberry Pi 等常开设备。

2. 安装并认证 Tailscale

curl -fsSL https://tailscale.com/install.sh | sh
tailscale up

生产环境建议使用 Auth Key（可复用带标签的密钥）。

3. 加固主机

• 创建独立普通用户 openclaw
• 关闭密码 SSH，开启 Tailscale SSH
• 配置防火墙，仅允许 Tailscale 接口（tailscale0）流量
• 开启 OpenClaw 沙箱模式

4. 安装 OpenClaw

使用官方安装方式，完成 onboarding，配置 LLM Key、消息通道（推荐 Telegram）和技能。

5. 启用 Tailscale 集成

设置 bind: loopback 和 tailscale.mode: serve，重启 Gateway。

6. 配置 Tailnet ACL（推荐）

在 Tailscale 管理后台创建严格 ACL，仅允许管理员设备访问智能体节点，防止横向移动。

高级配置与边缘情况

• Mac Mini 常开方案、Docker 部署、零公网端口 VPS 方案
• 使用 Brainpack 实现主机迁移时记忆无缝转移
• 常见坑点：未重启 daemon、绑定到 0.0.0.0、ACL 过于宽松、未开启沙箱等
• 性能实测：Tailnet 访问延迟通常低于 50ms，相比直连几乎无额外开销

故障排查

• Gateway 启动后无法访问 → 检查 tailscale status 并重启服务
• 面板提示不安全认证 → 切换为 Serve 模式
• WebSocket 连接失败 → 确认双方在同一 Tailnet 且防火墙放行

总结

OpenClaw 搭配 Tailscale 是目前自托管自主 AI 智能体最安全、优雅的方案之一。通过将 Gateway 绑定到本地回环 + Tailscale Serve，你可以在完全不暴露公网端口的情况下，获得随时随地安全访问的永在线 AI 能力。

这种“隐形堡垒”式部署已成为 OpenClaw 社区的生产级标配。

准备好了吗？现在就去你的主机上安装 Tailscale，然后按照官方指南开启 Tailscale 集成，让你的 AI 智能体真正做到安全、永在线、无暴露。