跳到主要內容
邊界實驗室 · Boundary Lab
攻擊面邊界 101
2 / 5
正在啟動 Python 環境(首次約 15 秒)...

Network Surface:Localhost Binding 與 LAN 暴露

你把服務綁到哪個位址,不是部署細節。那就是你的第一層安全邊界。

Hook

你在家裡裝了 OpenClaw。 原因很單純。

你想把一些日常操作, 交給本機 agent 幫你跑。

像是:

  • 整理待辦
  • 查知識庫
  • 開 dev server
  • 幫你串幾個 tool 做自動化

一開始你只是在自己的電腦上用。

後來你想:

「手機也能控制就好了。」

於是你把 gateway 改成:

0.0.0.0

你心裡的劇本很熟悉:

只是 home LAN。 只是臨時測一下。

不會有人知道。 到了 2026 年 2 月 28 日,

ClawJacked 的報告被公開後,

很多人才第一次意識到:

本機 agent gateway 不是你以為的「只要能用就好」那種小服務。

它本身就是高風險面。 Maki 看到報告當天,

第一件事不是研究 exploit 細節。 而是把所有 home 服務的 binding

先檢查一輪。 凡是沒必要對外的,

全部改成:

127.0.0.1 這個反應很對。

因為在大多數工程現場, 最便宜、

也最常被忽略的 hardening,

就是:

不要把服務先開給整個網路。

Learn

0.0.0.0127.0.0.1 到底差在哪

這不是語法 trivia。 這是網路面最基本的安全決策。

綁定位址意思風險直覺
127.0.0.1只監聽 loopback只有同一台主機可達
localhost通常解析到 loopback效果接近 127.0.0.1
::1IPv6 loopback同樣只限本機
0.0.0.0監聽所有 IPv4 interfaceLAN、VPN、甚至公網卡都可能碰到

如果你只記一句,

就記:

0.0.0.0 代表「我不知道誰會從哪張網卡打進來,但全部先收。」

這個預設, 對高風險服務非常不友善。

為什麼課程要把 127.0.0.1 當成預設

因為大部分 dev server, 其實沒有任何理由先開給其他裝置。

尤其是這些:

  • MCP tool API
  • RAG server
  • agent gateway
  • debug dashboard
  • internal admin panel
  • local webhook receiver

它們最常見的使用場景, 就是你本人、

在你自己的機器上、 做開發或驗證。

那就應該先綁 loopback。 不是先綁所有介面,

再祈禱沒人來碰。

0.0.0.0 的問題不是只有「變成公網」

很多人聽到這裡會回:

「可是在家裡 LAN 也不算公網啊。」 沒錯。

但這不代表安全。 因為只要服務綁到所有介面,

它就同時對這些來源敞開:

  • 同一個 Wi‑Fi 的裝置
  • 同一個有線區網的裝置
  • 你的 VPN 虛擬網卡
  • 任何你一時忘記的 bridge network
  • 容器轉發後的新入口

工程師最容易低估的, 不是 internet。

而是「原本以為只有自己會碰到」的內部網段。

Localhost 也不是護身符

這裡要再講嚴一點。 把服務綁到 127.0.0.1

是必要, 但對高風險服務來說,

通常還不夠。

因為 localhost 的安全前提是:

你同主機上的其他路徑沒有辦法代你連進去。 現實世界不一定。

ClawJacked 類事件提醒大家的是:

看起來像「只有本機」的 gateway,

如果還存在:

  • 瀏覽器可橋接的介面
  • 過弱的認證
  • localhost 例外白名單
  • loopback 免 rate limit

那它依然可能被利用。

所以正確理解不是:

「localhost 很危險,所以乾脆開 0.0.0.0 方便一點。」

而是:

「localhost 是最低標,不是全部。」

正確的預設:先 loopback,再補進階暴露策略

這門課的口訣很簡單:

預設先 127.0.0.1,例外再顯式升級。

這個「升級」不能是無聲的。 必須是有意識的決策。

例如你真的需要讓其他裝置連進來,

那你應該至少在三條路裡選一條:

  1. 走私有 VPN mesh
  2. 走 reverse proxy + auth
  3. 走明確的 localhost-only publish 策略

例外一:Tailscale / WireGuard

如果需求是:

你的手機、 你的平板、

你的另一台筆電, 需要連回家裡服務。

比較好的做法不是直接開 LAN。

而是走:

  • Tailscale
  • WireGuard
  • 其他私有 mesh VPN

原因很務實。 你把可達範圍,

從「所有在同網段的人」, 縮成「加入這個私網的人」。

這就是在縮 network surface。

例外二:nginx reverse proxy + auth + allowlist

如果你真的要把服務暴露給團隊, 至少不要直接讓原始 process 裸奔。

比較像樣的形狀是:

  • app 只綁 127.0.0.1
  • nginx 對外收流量
  • nginx 上做 basic auth 或更正式的 SSO
  • 需要時再加 IP allowlist

這個 pattern 的價值, 不是它魔法般安全。

而是它把暴露面集中到一個比較好管的入口。

例外三:Docker publish 也要寫清楚

很多人以為:

我都放進 container 了, 網路面自然比較安全。

不一定。

因為你一寫:

ports:
  - "8000:8000"

很多情況下, 你其實就是把 container 服務公開到 host 的所有介面。

比較好的寫法是:

ports:
  - "127.0.0.1:8000:8000"

這一行的差別, 就是你要不要把它當成 loopback-only 服務。

常見的高風險服務,預設都該只綁本機

這裡不要只把 lesson 套在 OpenClaw。 同樣規則,

適用於:

  • OpenClaw gateway
  • memhall API
  • mk-council admin endpoint
  • mk-brain RAG server
  • 任何 python -m http.server
  • 任何本地 dashboard
  • 任何 dev-only webhook listener

只要它不是為了正式對外服務,

你的預設就不該是:

0.0.0.0

「先開給 LAN 測一下」是最危險的句子之一

這句話危險, 不是因為 LAN 一定有人在掃你。

而是因為它把安全決策降成了臨時心情。

一個服務只要進入:

「先這樣,等一下再改回來」 這種狀態,

它就很容易跟著你的筆電到處走。 家裡可以用。

公司 Wi‑Fi 可以用。 咖啡廳也還在用。

而 attack surface 往往就是這樣長出來的。

最小檢查動作:先看機器到底在聽什麼

很多時候你不需要先猜。 直接看。

lsof -nP -iTCP -sTCP:LISTEN

或:

ss -lntp

你要看的不是只有 port 號。

更重要的是:

它綁在哪個位址。

如果你看到:

  • *:8000
  • 0.0.0.0:3000
  • :::8080

就要立刻問:

這真的是我要的嗎?

文件上要寫明,不要默默開

這種決策如果只是藏在某個 compose 檔裡, 幾週後連你自己都會忘。

所以課程要求的是:

LAN 暴露必須明寫。

例如:

  • 在 infra 文件註明原因
  • infrastructure-quick-ref 記錄入口
  • 在 compose 檔旁註記它為什麼不是 loopback-only
  • 在 PR 說明裡寫清楚這是刻意暴露,不是預設行為

不要讓 0.0.0.0 變成沒有任何說明的靜默決策。

高風險服務即使只綁 localhost,也該加 auth

這句話看似多餘, 其實很重要。

如果你的服務能:

  • 執行 shell
  • 讀 token
  • 代操作 email
  • 讀寫知識庫

那它就不是一般的 dev server。 它是 LLM tool API。

這類服務即使只綁本機,

你也應該考慮:

  • API token
  • session auth
  • request signature
  • rate limit

因為一旦本機有其他路徑能打到它, 沒有 auth 的 localhost service

就只是比較不吵的 attack surface。

從 network surface 角度,你真正要記住的是什麼

不是每次都去背哪個服務哪個版本有洞。

而是先形成這個反射:

沒有必要,永遠不要先綁 0.0.0.0

後面真的有需求,

再一層一層加:

  • VPN
  • reverse proxy
  • auth
  • allowlist

這樣你是在「有意識地打開」。 不是「圖方便地忘了關」。

一個很短的配置判讀規則

如果你看到以下寫法:

  • python app.py --host 0.0.0.0
  • uvicorn main:app --host 0.0.0.0
  • ports: ["8000:8000"]
  • listen 0.0.0.0:9000

先不要問功能。 先問邊界。

這些字串本身, 就是 network surface 的訊號。

AI 協作:學了這個,跟 AI 怎麼配合?

這個技能在 AI 協作中的定位, 是讓你要求 AI 先幫你盤點服務的 binding 與 publish 規則,

而不是只在出事後才叫它幫你查 log。 你的人類優勢:

  • 只有你知道哪些服務真的需要跨裝置存取,哪些其實完全可以留在本機。
  • 只有你能決定某個內部工具值不值得為了方便測試而承擔額外 LAN 暴露面。

可以這樣跟 AI 說:

我有一份 docker-compose 和幾個 dev server 啟動指令。請先列出哪些服務綁 0.0.0.0、哪些只是 127.0.0.1。對每一個 0.0.0.0 項目,判斷它應該改成 loopback-only、放到 Tailscale、還是放到 nginx reverse proxy 後面。先給我最小 hardening 版本,不要直接重構整套 infra。

Do

挑戰任務

Task 1

下面這段 compose 有三個 service:rag-api 使用 ports: ["8000:8000"]admin-ui 使用 ports: ["127.0.0.1:3000:3000"]mcp-debug 使用 ports: ["0.0.0.0:9100:9100"]。請寫一段 Python,印出所有不安全 binding 的修正結果,格式固定為 rag-api=>127.0.0.1:8000:8000,mcp-debug=>127.0.0.1:9100:9100

BackNext Lesson →