本文介绍如何将 OpenClaw AI Agent 服务接入腾讯云 EdgeOne,并配置平台提供的免费安全防护能力,包括默认 DDoS 防护、基础托管规则漏洞防护、访问控制及 AI 爬虫处置能力。
本文适用于:
1. 通过 ClawScan 检测报告了解到 EO 安全防护方案的用户,帮助你完成从「领取免费套餐」到「配置安全防护」的全流程。
2. 已有 OpenClaw 或其他 AI Agent 部署在云服务器上,期望了解 AI Agent 公网安全部署方案的用户。
前提条件
1. 已注册腾讯云账号并完成实名认证,有关实名认证的介绍请参见 实名认证基本介绍。
2. OpenClaw 服务已部署且可通过 IP 访问。
3. 已经完成域名注册,有关介绍请参见 域名注册流程介绍。
为什么 AI Agent 需要网络安全防护?
ClawScan 负责检测你的 Agent「内部」风险:Skill 供应链、CVE 漏洞、恶意依赖。
但 Agent 上线后还面临「外部」威胁 —— 来自公网的恶意请求、接口滥用、数据爬取、DDoS 攻击。
腾讯云 EdgeOne 作为网络层的安全防线,与 ClawScan 形成互补:
防护层 | 工具 | 检测和处置对象 |
AI Agent 内部 | EdgeOne ClawScan | Skill 供应链、CVE 漏洞、恶意依赖 |
网络 / 应用层 | EdgeOne WAF、Bot 管理 | 外部攻击流量、接口滥用、数据爬取 |
基础设施层 | EdgeOne DDoS / CC 防护 (L3/4/7 DDoS 防护) | 大流量攻击、CC 刷接口 |
步骤1:免费版套餐领取
EdgeOne 免费版权益
EdgeOne 提供免费版套餐,注册即可使用,适合个人开发者和小型 AI 应用快速接入。免费版套餐通过基础资源支持,在功能层面提供了基础加速能力,同时也提供了平台级 DDoS 防护、基础 WAF 防护、基础 Bot 管理能力,详情请参见 免费版套餐使用说明。
领取步骤
1. 参与 EdgeOne 免费套餐兑换活动,获取免费套餐兑换码。
2. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击计费管理 > 套餐管理。
3. 在套餐管理页面,单击兑换套餐。
4. 输入免费版套餐兑换码完成兑换。
步骤2:域名接入
1. 登录 边缘安全加速平台 EO 控制台。
2. 参考 快速入门教程 完成域名接入操作,将运行你的 OpenClaw 的云服务器公网 IP 和端口(默认端口 18789)作为源站,使用提前准备好的域名对外服务。
步骤3:配置安全防护策略
启用托管规则漏洞防护拦截模式
托管规则提供预置的 Web 漏洞防护规则库。接入后默认为观察评估模式,推荐参考以下步骤开启拦截模式,实时阻断漏洞侵入风险。
1. 登录 边缘安全加速平台控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 单击安全防护 > Web 防护。默认为站点级防护策略,单击域名级防护策略 Tab,在域名级防护策略中,单击目标域名进入目标域名防护策略配置界面,例如:
www.example.com。3. 在托管规则模块中,关闭评估模式开关。
4. 确认规则集中的规则处置方式均为拦截,则阻断漏洞风险规则实时生效。
配置访问控制策略
针对 OpenClaw AI Agent 服务的访问控制需求,建议通过 IP 黑白名单和地域封禁实现细粒度的访问限制,降低服务暴露面,防止未授权访问。
方案一:IP 白名单(推荐)
适用场景
团队有固定办公 IP 或 VPN 出口 IP
OpenClaw 管理界面服务仅供内部开发人员或特定系统调用
需要最严格的访问控制,仅允许已知可信 IP
配置步骤
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 单击安全防护 > Web 防护。默认为站点级防护策略,若需为当前站点下特定域名配置差异化的防护策略,请进入域名级防护策略 Tab,单击相应域名进入域名级防护策略配置页。
3. 定位到自定义规则卡片,单击基础访问管控中的添加规则。
4. 在规则编辑页面中,匹配字段选择客户端 IP,逻辑符号选择不匹配,匹配内容填写你的出口公网 IP,处置方式选择拦截。
5. 点击保存并发布以生效配置。该条策略的效果是仅允许你的出口公网 IP 访问该策略所关联的域名。
方案二:地域白名单
适用场景
团队分布固定,仅需服务特定省份/国家用户
作为 IP 白名单的补充,先通过地域过滤减少攻击面
配置步骤
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 单击安全防护 > Web 防护。默认为站点级防护策略,若需为当前站点下特定域名配置差异化的防护策略,请进入域名级防护策略 Tab,单击相应域名进入域名级防护策略配置页。
3. 定位到自定义规则卡片,单击基础访问管控中的添加规则。
4. 在规则编辑页面中,匹配字段选择区域,逻辑符号选择不包含,匹配内容选择你所在的地域,处置方式选择拦截。
5. 点击保存并发布以生效配置。该条策略的效果是仅允许你所在地域的 IP 访问该策略所关联的域名。
启用 AI 爬虫处置能力
DDoS 防护
步骤4:升级至更高版本套餐解锁更多高级能力(可选)
源站 IP 白名单
扩展托管规则漏洞防护能力
你可以将 EO 套餐版本升级至基础版,以获得覆盖 OWASP TOP 10 漏洞的防护规则集。
若进一步升级至标准版,则可额外获得漏洞规则集 自动更新 功能,提升对于 0-day 漏洞的防护能力。
获取更多帮助
如果你在接入过程中遇到问题,或想了解更多 AI Agent 安全防护方案,欢迎通过以下渠道联系我们:
EO x AIG 交流社群(微信):点击加入。
EO x AIG 交流社群(Discord):点击加入。
