Clash external-controller 安全配置：secret 与公网风险

风险到底有多大

控制接口是一个无需登录就能调用的管理 API（除非你设了 secret）。如果它监听在 0.0.0.0:9090 又暴露到公网，任何人扫到这个端口都能：替你切换节点、篡改分流规则、查看你正在访问的所有连接，甚至把你的代理当跳板。这不是理论——公网上常年有人批量扫这类裸露端口。

三条红线

1. 空 secret：相当于管理后台不要密码。
2. 监听 0.0.0.0：同一局域网内别的设备都能连——合租、公司、公共 Wi-Fi 下尤其危险。
3. 把 9090 端口转发/映射到公网：全互联网都能扫到，最严重。

正确做法

# 桌面单机：只监听本机，外人碰不到
external-controller: 127.0.0.1:9090
secret: "用随机生成的长口令，别用 123456"

• 能本机就本机：单机使用时绑定 127.0.0.1，这是最安全的默认。
• secret 必设且要强：随机长字符串，别和别处口令重复。
• 不需要就别开 external-ui：减少暴露面。
• 软路由/服务器：哪怕只在局域网用，也要设 secret；不需要远程就绝不做公网端口映射。

非要远程访问怎么办

确实需要在外面管理服务器上的内核，不要直接把 9090 丢公网。用下面任一方式套一层：

• SSH 隧道：本地端口转发到服务器的 127.0.0.1:9090，最简单也最稳。
• 反向代理 + HTTPS + 独立认证：用 Nginx/Caddy 在前面加一层 Basic Auth 或更强的鉴权，再开放。
• WireGuard / Tailscale 等私有网络：把内核留在私网里，只有你的设备能进。