腾讯云轻量服务器通过应用模版安装的 openclaw 默认是没法通过 18789 端口访问的（有安全组规则，但服务并未绑定到公网上，所以不存在公网直接能访问），这点他们在安全上还是做得很好的

尊敬的腾讯云用户，您好：

关于您反馈的腾讯云国际轻量云 OpenClaw 应用模板默认开放 18789 端口问题，我们非常重视并已立即进行核实。现说明如下：
1 、为保障用户使用安全，通过腾讯云应用模板部署的 OpenClaw 服务，默认不会对公网开放 WebUI 访问端口（ 18789 ），仅在实例内部监听；
2 、当前轻量服务器防火墙中显示的端口规则为初始化配置，实际部署时 OpenClaw 服务并未绑定公网 IP ，因此公网无法直接访问该端口，不存在外网暴露风险；
3 、我们已关注到该规则可能引起用户误解，后续将优化相关安全组策略的展示与说明，确保配置清晰透明。

感谢您的监督和反馈，我们将持续优化产品体验与安全策略。如有疑问，可通过工单进一步联系我们。

上图是腾讯云轻量应用服务器选择 OpenClaw 应用模板创建后默认的防火墙配置

试了一下，确实如 1 、2 楼所说，公网无法直接访问

@liyoujia1988 #1
@tencentcloud #2
# 🚨 严正质疑：腾讯云轻量模板默认开启 18789 端口存在严重安全隐患

针对腾讯云官方关于 "OpenClaw 模板安全说明" 的回复，本人持保留意见并提出以下核心质疑：

### 1. 核心风险点：默认防火墙规则极不专业
即便 OpenClaw 服务本身默认监听 `127.0.0.1`，但腾讯云轻量云在防火墙策略中**默认预设并开启 18789 端口**的行为，已经越过了基础设施安全的红线。

* **场景 A （重装/手动安装）**：用户如果在该实例上重装系统或手动部署 OpenClaw ，并配置为 `0.0.0.0` 监听。
* **场景 B （ Docker 部署）**：容器化部署时常用的端口映射（如 `-p 18789:18789`）会自动让服务暴露在所有网卡。
* **后果**：由于腾讯云防火墙**默认放行**了该端口，用户在完全不知情的情况下，私钥、API Key 等核心资产直接通过公网裸奔。

### 2. 实测结果：我的密钥已因此泄露
由于该默认配置的诱导性，导致我的 **GCP Vertex AI 密钥被扫描泄露**，在短短不到三天时间内产生了 **$179** 的异常账单。这是由于基础设施安全边界模糊导致的直接经济损失。

### 3. 诉求与建议
* **默认策略必须关闭**：安全组规则不应“预设即开启”，尤其是这种非标准、带 Web UI 的高危端口。
* **风险提示不足**：在应用模板部署页面，未明确告知 18789 端口在防火墙层面的开启状态。

> **结论：** 官方所谓的“不存在外网暴露风险”是基于理想情况的推论，在实际复杂的开发运维环境中，这种**默认开启**的行为就是安全风险的源头！

@xuc #5 假如你再不知情的情况下，并修改为 `0.0.0.0` 监听后。。你就不会这么想了，这种做法极其不专业，因为它公然违反了安全领域的核心准则：默认安全（ Secure by Default ） 和 最小权限原则（ Principle of Least Privilege ）。

修改为 0.0.0.0 监听是谁修改的呢？

@GlobalNPC #8 修改肯定是自己牙，只不过我改之前不知道端口已经开了。。这是前提