Skip to main content

安全性

[!WARNING] 個人助理信任模型: 本指南假設每個 Gateway 有一個受信任的操作員邊界(單一使用者/個人助理模型)。 OpenClaw 不是適用於多個對抗性使用者共享一個 Agent/Gateway 的多租戶安全邊界。 如果您需要混合信任或對抗性使用者操作,請分割信任邊界(獨立的 Gateway + 憑證,最好是獨立的 OS 使用者/主機)。

首先明確範圍:個人助理安全模型

OpenClaw 安全指南假設個人助理部署:一個受信任的操作員邊界,可能有多個 Agent。
  • 受支援的安全態勢:每個 Gateway 一個使用者/信任邊界(建議每個邊界使用一個 OS 使用者/主機/VPS)。
  • 不受支援的安全邊界:由相互不信任或對抗性使用者共享的一個 Gateway/Agent。
  • 如果需要對抗性使用者隔離,請按信任邊界分割(獨立的 Gateway + 憑證,最好是獨立的 OS 使用者/主機)。
  • 如果多個不受信任的使用者可以向一個工具啟用的 Agent 發送訊息,請將他們視為共享該 Agent 相同的委派工具授權。
本頁說明在該模型內的強化措施。它不聲稱在一個共享 Gateway 上提供對抗性多租戶隔離。

快速檢查:openclaw security audit

另請參閱:形式驗證(安全模型) 定期執行(尤其是在變更設定或公開網路介面後): 
openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --json
它會標記常見的錯誤(Gateway 驗證暴露、瀏覽器控制暴露、提升的白名單、檔案系統權限)。 OpenClaw 既是產品也是實驗:您將前沿模型行為接入真實的訊息平台和真實的工具。沒有「完全安全」的設定。 目標是要審慎考量:
  • 誰可以和您的機器人對話
  • 機器人被允許在哪裡執行動作
  • 機器人可以存取什麼
從最小的有效存取開始,隨著您建立信心再逐漸擴大。

部署假設(重要)

OpenClaw 假設主機和設定邊界是受信任的:
  • 如果某人可以修改 Gateway 主機狀態/設定(~/.openclaw,包括 openclaw.json),請將他們視為受信任的操作員。
  • 為多個相互不信任/對抗性操作員執行一個 Gateway 不是建議的設定
  • 對於混合信任的團隊,請使用獨立的 Gateway 分割信任邊界(或至少使用獨立的 OS 使用者/主機)。
  • OpenClaw 可以在一台機器上執行多個 Gateway 實例,但建議操作傾向乾淨的信任邊界分離。
  • 建議預設:每台機器/主機(或 VPS)一個使用者,該使用者一個 Gateway,該 Gateway 中一個或多個 Agent。
  • 如果多個使用者需要 OpenClaw,每個使用者使用一個 VPS/主機。

實際後果(操作員信任邊界)

在一個 Gateway 實例內,已驗證的操作員存取是受信任的控制平面角色,而非每位使用者的租戶角色。
  • 具有讀取/控制平面存取權的操作員可以依設計檢查 Gateway 對話元資料/歷史。
  • 對話識別碼(sessionKey、對話 ID、標籤)是路由選擇器,而非授權 Token。
  • 例如:期望 sessions.listsessions.previewchat.history 等方法在共享 Gateway 設定中提供每操作員隔離,超出了此模型的範圍。
  • 如果您需要對抗性使用者隔離,請按信任邊界執行獨立的 Gateway。
  • 一台機器上的多個 Gateway 在技術上是可行的,但不是多使用者隔離的建議基準。

個人助理模型(不是多租戶匯流排)

OpenClaw 設計為個人助理安全模型:一個受信任的操作員邊界,可能有多個 Agent。
  • 如果多人可以向一個工具啟用的 Agent 發送訊息,他們每個人都可以引導相同的權限集。
  • 每位使用者的對話/記憶隔離有助於隱私,但不會將共享的 Agent 轉換為每位使用者的主機授權。
  • 如果使用者可能相互對抗,請按信任邊界執行獨立的 Gateway(或獨立的 OS 使用者/主機)。

共享 Slack 工作區:真實風險

如果「Slack 中的每個人都可以向機器人發送訊息」,核心風險是委派工具授權:
  • 任何允許的發送者都可以在 Agent 策略範圍內引發工具呼叫(exec、瀏覽器、網路/檔案工具);
  • 一個發送者的提示/內容注入可能導致影響共享狀態、裝置或輸出的動作;
  • 如果一個共享 Agent 擁有敏感憑證/檔案,任何允許的發送者都可能透過工具使用驅動資料外洩。
對於團隊工作流程,請使用具有最少工具的獨立 Agent/Gateway;將個人資料 Agent 保持私有。

公司共享 Agent:可接受的模式

當使用該 Agent 的所有人都在相同的信任邊界內(例如同一家公司團隊)且 Agent 嚴格限定於商業範圍時,這是可接受的。
  • 在專用的機器/VM/容器上執行它;
  • 為該執行期使用專用的 OS 使用者 + 專用的瀏覽器/設定檔/帳號;
  • 不要將該執行期登入個人 Apple/Google 帳號或個人密碼管理器/瀏覽器設定檔。
如果您在同一個執行期混用個人和公司身分識別,您會打破分離並增加個人資料暴露風險。

Gateway 和節點信任概念

將 Gateway 和節點視為一個操作員信任域,具有不同的角色:
  • Gateway 是控制平面和策略介面(gateway.auth、工具策略、路由)。
  • 節點 是配對到該 Gateway 的遠端執行介面(指令、裝置動作、主機本地功能)。
  • 向 Gateway 驗證的呼叫者在 Gateway 範圍內受到信任。配對後,節點動作是該節點上的受信任操作員動作。
  • sessionKey 是路由/上下文選擇,而非每位使用者的驗證。
  • Exec 核准(白名單 + 詢問)是操作員意圖的護欄,而非對抗性多租戶隔離。
  • Exec 核准綁定確切的請求上下文和盡力而為的直接本地檔案操作數;它們不從語義上模擬每個執行期/解譯器載入器路徑。請使用沙箱和主機隔離來建立強固的邊界。
如果您需要對抗性使用者隔離,請按 OS 使用者/主機分割信任邊界並執行獨立的 Gateway。

信任邊界矩陣

在評估風險時使用此快速模型:
邊界或控制措施含義常見誤解
gateway.auth(Token/密碼/裝置驗證)向 Gateway API 驗證呼叫者「每一框架都需要每訊息簽名才能安全」
sessionKey上下文/對話選擇的路由金鑰「對話金鑰是使用者驗證邊界」
提示/內容護欄降低模型濫用風險「僅提示注入就能證明驗證繞過」
canvas.eval / 瀏覽器評估啟用時的有意操作員功能「任何 JS eval 原語在此信任模型中自動是漏洞」
本地 TUI ! shell操作員觸發的明確本地執行「本地 shell 便利指令是遠端注入」
節點配對和節點指令配對裝置上的操作員級遠端執行「遠端裝置控制應預設被視為不受信任的使用者存取」

設計上非漏洞的情況

這些模式經常被回報,除非顯示出真實的邊界繞過,否則通常以不處理方式關閉:
  • 沒有策略/驗證/沙箱繞過的僅提示注入鏈。
  • 假設在一個共享主機/設定上進行對抗性多租戶操作的聲明。
  • 在共享 Gateway 設定中將正常操作員讀取路徑存取(例如 sessions.list/sessions.preview/chat.history)歸類為 IDOR 的聲明。
  • 僅限 localhost 的部署發現(例如僅回環 Gateway 上的 HSTS)。
  • 針對此儲存庫中不存在的入站路徑的 Discord 入站 Webhook 簽章發現。
  • sessionKey 視為驗證 Token 的「缺少每位使用者授權」發現。

研究員預檢清單

在開立 GHSA 之前,請驗證以下所有事項:
  1. 在最新 main 或最新版本上仍可重現。
  2. 報告包含確切的程式碼路徑(檔案、函式、行範圍)和測試版本/提交。
  3. 影響跨越了記錄在案的信任邊界(不只是提示注入)。
  4. 聲明未列於超出範圍
  5. 已檢查現有公告以避免重複(適用時重用規範的 GHSA)。
  6. 部署假設是明確的(回環/本地 vs 公開、受信任 vs 不受信任操作員)。

60 秒強化基準

首先使用此基準,然後針對受信任的 Agent 選擇性地重新啟用工具: 
{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "replace-with-long-random-token" },
  },
  session: {
    dmScope: "per-channel-peer",
  },
  tools: {
    profile: "messaging",
    deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
    fs: { workspaceOnly: true },
    exec: { security: "deny", ask: "always" },
    elevated: { enabled: false },
  },
  channels: {
    whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } },
  },
}
這將 Gateway 保持在本地模式、隔離 DM,並預設停用控制平面/執行期工具。

共享收件匣快速規則

如果有超過一個人可以向您的機器人傳送 DM:
  • 設定 session.dmScope: "per-channel-peer"(對於多帳號 Channel 使用 "per-account-channel-peer")。
  • 保持 dmPolicy: "pairing" 或嚴格的白名單。
  • 切勿將共享 DM 與廣泛的工具存取結合。
  • 這可強化協作/共享收件匣,但在使用者共享主機/設定寫入存取時,並非設計為對抗性共同租戶隔離。

稽核檢查的項目(高層級)

  • 入站存取(DM 策略、群組策略、白名單):陌生人可以觸發機器人嗎?
  • 工具爆炸半徑(提升的工具 + 開放的房間):提示注入是否可能變成 shell/檔案/網路動作?
  • 網路暴露(Gateway 繫結/驗證、Tailscale Serve/Funnel、弱/短驗證 Token)。
  • 瀏覽器控制暴露(遠端節點、中繼連接埠、遠端 CDP 端點)。
  • 本地磁碟衛生(權限、符號連結、設定包含、「已同步資料夾」路徑)。
  • 外掛程式(存在擴充功能但沒有明確的白名單)。
  • 策略漂移/設定錯誤(沙箱 Docker 設定已設定但沙箱模式關閉;因為匹配是確切的指令名稱(例如 system.run)且不檢查 shell 文字,所以無效的 gateway.nodes.denyCommands 模式;危險的 gateway.nodes.allowCommands 條目;被每個 Agent 設定檔覆寫的全域 tools.profile="minimal";在寬鬆的工具策略下可達的擴充功能外掛工具)。
  • 執行期期望漂移(例如 tools.exec.host="sandbox" 但沙箱模式關閉,這會直接在 Gateway 主機上執行)。
  • 模型衛生(當設定的模型看起來是舊版時警告;不是硬性阻擋)。
如果您執行 --deep,OpenClaw 也會嘗試盡力而為的即時 Gateway 探針。

憑證儲存對照表

在稽核存取或決定備份內容時使用此對照表:
  • WhatsApp~/.openclaw/credentials/whatsapp/<accountId>/creds.json
  • Telegram 機器人 Token:設定/環境或 channels.telegram.tokenFile(僅限一般檔案;符號連結被拒絕)
  • Discord 機器人 Token:設定/環境或 SecretRef(env/file/exec providers)
  • Slack Token:設定/環境(channels.slack.*
  • 配對白名單
    • ~/.openclaw/credentials/<channel>-allowFrom.json(預設帳號)
    • ~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json(非預設帳號)
  • 模型驗證設定檔~/.openclaw/agents/<agentId>/agent/auth-profiles.json
  • 檔案備份機密 payload(選用)~/.openclaw/secrets.json
  • 舊版 OAuth 匯入~/.openclaw/credentials/oauth.json

安全稽核清單

當稽核顯示發現項目時,將此視為優先順序:
  1. 任何「開放」+ 工具已啟用:首先鎖定 DM/群組(配對/白名單),然後收緊工具策略/沙箱。
  2. 公共網路暴露(LAN 繫結、Funnel、缺少驗證):立即修復。
  3. 瀏覽器控制遠端暴露:視為操作員存取(僅限 Tailnet、有意地配對節點、避免公開暴露)。
  4. 權限:確保狀態/設定/憑證/驗證不是群組/世界可讀的。
  5. 外掛程式/擴充功能:只載入您明確信任的。
  6. 模型選擇:對於任何帶有工具的機器人,偏好現代、強化指令的模型。

安全稽核詞彙表

在真實部署中最可能看到的高訊號 checkId 值(不完整):
checkId嚴重性為何重要主要修復金鑰/路徑自動修復
fs.state_dir.perms_world_writablecritical其他使用者/行程可以修改完整的 OpenClaw 狀態~/.openclaw 的檔案系統權限
fs.config.perms_writablecritical其他人可以變更驗證/工具策略/設定~/.openclaw/openclaw.json 的檔案系統權限
fs.config.perms_world_readablecritical設定可能暴露 Token/設定設定檔的檔案系統權限
gateway.bind_no_authcritical沒有共享機密的遠端繫結gateway.bindgateway.auth.*
gateway.loopback_no_authcritical反向代理的回環可能變成未驗證的gateway.auth.*、代理設定
gateway.http.no_authwarn/criticalGateway HTTP API 在 auth.mode="none" 下可達gateway.auth.modegateway.http.endpoints.*
gateway.tools_invoke_http.dangerous_allowwarn/critical透過 HTTP API 重新啟用危險工具gateway.tools.allow
gateway.nodes.allow_commands_dangerouswarn/critical啟用高影響節點指令(相機/螢幕/聯絡人/行事曆/SMS)gateway.nodes.allowCommands
gateway.tailscale_funnelcritical公共網路暴露gateway.tailscale.mode
gateway.control_ui.allowed_origins_requiredcritical沒有明確瀏覽器來源白名單的非回環控制 UIgateway.controlUi.allowedOrigins
gateway.control_ui.host_header_origin_fallbackwarn/critical啟用 Host 標頭來源後備(DNS 重新繫結強化降級)gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
gateway.control_ui.insecure_authwarn啟用了不安全驗證相容性切換gateway.controlUi.allowInsecureAuth
gateway.control_ui.device_auth_disabledcritical停用裝置身分識別檢查gateway.controlUi.dangerouslyDisableDeviceAuth
gateway.real_ip_fallback_enabledwarn/critical信任 X-Real-IP 後備可能透過代理錯誤設定啟用來源 IP 欺騙gateway.allowRealIpFallbackgateway.trustedProxies
discovery.mdns_full_modewarn/criticalmDNS 完整模式在本地網路上廣播 cliPath/sshPort 元資料discovery.mdns.modegateway.bind
config.insecure_or_dangerous_flagswarn啟用了任何不安全/危險的除錯旗標多個金鑰(見發現詳情)
hooks.token_too_shortwarn更容易暴力破解 hook 入口hooks.token
hooks.request_session_key_enabledwarn/critical外部呼叫者可以選擇 sessionKeyhooks.allowRequestSessionKey
hooks.request_session_key_prefixes_missingwarn/critical外部對話金鑰形狀沒有邊界hooks.allowedSessionKeyPrefixes
logging.redact_offwarn敏感值洩漏到日誌/狀態logging.redactSensitive
sandbox.docker_config_mode_offwarn沙箱 Docker 設定存在但不活躍agents.*.sandbox.mode
sandbox.dangerous_network_modecritical沙箱 Docker 網路使用 hostcontainer:* 命名空間加入模式agents.*.sandbox.docker.network
tools.exec.host_sandbox_no_sandbox_defaultswarnexec host=sandbox 在沙箱關閉時解析為主機 exectools.exec.hostagents.defaults.sandbox.mode
tools.exec.host_sandbox_no_sandbox_agentswarn每個 Agent 的 exec host=sandbox 在沙箱關閉時解析為主機 execagents.list[].tools.exec.hostagents.list[].sandbox.mode
tools.exec.safe_bins_interpreter_unprofiledwarnsafeBins 中沒有明確設定檔的解譯器/執行期 bin 擴大了 exec 風險tools.exec.safeBinstools.exec.safeBinProfilesagents.list[].tools.exec.*
skills.workspace.symlink_escapewarn工作區 skills/**/SKILL.md 解析到工作區根目錄之外(符號連結鏈漂移)工作區 skills/** 檔案系統狀態
security.exposure.open_groups_with_elevatedcritical開放群組 + 提升的工具建立了高影響提示注入路徑channels.*.groupPolicytools.elevated.*
security.exposure.open_groups_with_runtime_or_fscritical/warn開放群組可以在沒有沙箱/工作區護欄的情況下達到指令/檔案工具channels.*.groupPolicytools.profile/denytools.fs.workspaceOnlyagents.*.sandbox.mode
security.trust_model.multi_user_heuristicwarn設定看起來是多使用者的,而 Gateway 信任模型是個人助理分割信任邊界,或共享使用者強化(sandbox.mode、工具拒絕/工作區範圍)
tools.profile_minimal_overriddenwarnAgent 覆寫繞過全域最小設定檔agents.list[].tools.profile
plugins.tools_reachable_permissive_policywarn擴充工具在寬鬆上下文中可達tools.profile + 工具允許/拒絕
models.small_paramscritical/info小型模型 + 不安全的工具介面提高注入風險模型選擇 + 沙箱/工具策略

透過 HTTP 使用控制 UI

控制 UI 需要安全上下文(HTTPS 或 localhost)才能產生裝置身分識別。gateway.controlUi.allowInsecureAuth 是本地相容性切換:
  • 在 localhost 上,它允許在頁面透過非安全 HTTP 載入時進行沒有裝置身分識別的控制 UI 驗證。
  • 它不繞過配對檢查。
  • 它不放寬遠端(非 localhost)裝置身分識別要求。
偏好 HTTPS(Tailscale Serve)或在 127.0.0.1 上開啟 UI。 僅在緊急情況下,gateway.controlUi.dangerouslyDisableDeviceAuth 會完全停用裝置身分識別檢查。這是嚴重的安全降級;除非您正在積極除錯並可以快速還原,否則請保持關閉。 openclaw security audit 在啟用此設定時發出警告。

不安全或危險旗標摘要

openclaw security audit 在啟用已知的不安全/危險除錯開關時包含 config.insecure_or_dangerous_flags。該檢查目前彙總:
  • gateway.controlUi.allowInsecureAuth=true
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true
  • gateway.controlUi.dangerouslyDisableDeviceAuth=true
  • hooks.gmail.allowUnsafeExternalContent=true
  • hooks.mappings[<index>].allowUnsafeExternalContent=true
  • tools.exec.applyPatch.workspaceOnly=false
OpenClaw 設定架構中定義的完整 dangerous* / dangerously* 設定金鑰:
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
  • gateway.controlUi.dangerouslyDisableDeviceAuth
  • browser.ssrfPolicy.dangerouslyAllowPrivateNetwork
  • channels.discord.dangerouslyAllowNameMatching
  • channels.discord.accounts.<accountId>.dangerouslyAllowNameMatching
  • channels.slack.dangerouslyAllowNameMatching
  • channels.slack.accounts.<accountId>.dangerouslyAllowNameMatching
  • channels.googlechat.dangerouslyAllowNameMatching
  • channels.googlechat.accounts.<accountId>.dangerouslyAllowNameMatching
  • channels.msteams.dangerouslyAllowNameMatching
  • channels.zalouser.dangerouslyAllowNameMatching(擴充 Channel)
  • channels.irc.dangerouslyAllowNameMatching(擴充 Channel)
  • channels.irc.accounts.<accountId>.dangerouslyAllowNameMatching(擴充 Channel)
  • channels.mattermost.dangerouslyAllowNameMatching(擴充 Channel)
  • channels.mattermost.accounts.<accountId>.dangerouslyAllowNameMatching(擴充 Channel)
  • agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargets
  • agents.defaults.sandbox.docker.dangerouslyAllowExternalBindSources
  • agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin
  • agents.list[<index>].sandbox.docker.dangerouslyAllowReservedContainerTargets
  • agents.list[<index>].sandbox.docker.dangerouslyAllowExternalBindSources
  • agents.list[<index>].sandbox.docker.dangerouslyAllowContainerNamespaceJoin

反向代理設定

如果您在反向代理(nginx、Caddy、Traefik 等)後面執行 Gateway,您應該設定 gateway.trustedProxies 以正確偵測用戶端 IP。 當 Gateway 從不在 trustedProxies 中的地址偵測到代理標頭時,它不會將連線視為本地用戶端。如果 Gateway 驗證被停用,那些連線將被拒絕。這可防止驗證繞過,否則代理連線看起來會來自 localhost 並獲得自動信任。 
gateway:
  trustedProxies:
    - "127.0.0.1" # 如果您的代理在 localhost 上執行
  # 選用。預設為 false。
  # 僅當您的代理無法提供 X-Forwarded-For 時啟用。
  allowRealIpFallback: false
  auth:
    mode: password
    password: ${OPENCLAW_GATEWAY_PASSWORD}
設定 trustedProxies 後,Gateway 使用 X-Forwarded-For 來確定用戶端 IP。預設情況下忽略 X-Real-IP,除非明確設定 gateway.allowRealIpFallback: true 良好的反向代理行為(覆寫傳入的轉發標頭): 
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;
不良的反向代理行為(附加/保留不受信任的轉發標頭): 
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

HSTS 和來源注意事項

  • OpenClaw Gateway 以本地/回環為優先。如果您在反向代理上終止 TLS,請在代理面向的 HTTPS 域名上設定 HSTS。
  • 如果 Gateway 本身終止 HTTPS,您可以設定 gateway.http.securityHeaders.strictTransportSecurity 以從 OpenClaw 回應發出 HSTS 標頭。
  • 詳細的部署指南在受信任代理驗證
  • 對於非回環控制 UI 部署,預設需要 gateway.controlUi.allowedOrigins
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true 啟用 Host 標頭來源後備模式;將其視為操作員選擇的危險策略。
  • 將 DNS 重新繫結和代理主機標頭行為視為部署強化問題;保持 trustedProxies 嚴格並避免直接將 Gateway 暴露在公共網路上。

本地對話日誌儲存在磁碟上

OpenClaw 在磁碟上的 ~/.openclaw/agents/<agentId>/sessions/*.jsonl 下儲存對話逐字稿。 這是對話連續性(以及可選的對話記憶索引)所必需的,但這也意味著任何具有檔案系統存取權的行程/使用者都可以讀取這些日誌。請將磁碟存取視為信任邊界,並鎖定 ~/.openclaw 的權限(請參閱下面的稽核章節)。如果您需要在 Agent 之間進行更強的隔離,請在獨立的 OS 使用者或獨立的主機下執行它們。

節點執行(system.run)

如果配對了 macOS 節點,Gateway 可以在該節點上呼叫 system.run。這是 Mac 上的遠端程式碼執行
  • 需要節點配對(核准 + Token)。
  • 在 Mac 上透過設定 → Exec 核准(安全性 + 詢問 + 白名單)進行控制。
  • 核准模式綁定確切的請求上下文,以及在可能的情況下一個具體的本地腳本/檔案操作數。如果 OpenClaw 無法為解譯器/執行期指令識別確切的一個直接本地檔案,核准支援的執行會被拒絕,而不是承諾完整的語義覆蓋。
  • 如果您不需要遠端執行,請將安全性設定為拒絕並移除該 Mac 的節點配對。

動態技能(監視器 / 遠端節點)

OpenClaw 可以在對話中途重新整理技能列表:
  • 技能監視器:對 SKILL.md 的變更可以在下一個 Agent 輪次更新技能快照。
  • 遠端節點:連接 macOS 節點可以讓僅 macOS 的技能符合資格(基於 bin 探測)。
將技能資料夾視為受信任的程式碼並限制誰可以修改它們。

威脅模型

您的 AI 助理可以:
  • 執行任意 shell 指令
  • 讀取/寫入檔案
  • 存取網路服務
  • 向任何人發送訊息(如果您給它 WhatsApp 存取權)
向您發送訊息的人可以:
  • 嘗試欺騙您的 AI 做壞事
  • 社交工程存取您的資料
  • 探測基礎設施細節

核心概念:存取控制優先於智慧

這裡的大多數失敗並非花俏的漏洞利用——而是「某人向機器人發送訊息,機器人按照他們的要求行事。」 OpenClaw 的立場:
  • 身分識別優先: 決定誰可以與機器人對話(DM 配對 / 白名單 / 明確的「開放」)。
  • 範圍其次: 決定機器人被允許在哪裡執行動作(群組白名單 + 提及限制、工具、沙箱、裝置權限)。
  • 模型最後: 假設模型可以被操縱;設計使操縱具有有限的爆炸半徑。

指令授權模型

Slash 指令和指示僅對已授權的發送者有效。授權源自 Channel 白名單/配對加上 commands.useAccessGroups(請參閱設定Slash 指令)。如果 Channel 白名單為空或包含 "*",則該 Channel 的指令實際上是開放的。 /exec 是授權操作員的僅對話便利功能。它寫入設定或變更其他對話。

控制平面工具風險

兩個內建工具可以進行持久性的控制平面變更:
  • gateway 可以呼叫 config.applyconfig.patchupdate.run
  • cron 可以建立在原始聊天/任務結束後持續執行的排程工作。
對於任何處理不受信任內容的 Agent/介面,預設拒絕這些: 
{
  tools: {
    deny: ["gateway", "cron", "sessions_spawn", "sessions_send"],
  },
}
commands.restart=false 只阻擋重啟動作。它不停用 gateway 設定/更新動作。

外掛程式/擴充功能

外掛程式與 Gateway 在同一行程中執行。將它們視為受信任的程式碼:
  • 只安裝來自您信任來源的外掛程式。
  • 偏好明確的 plugins.allow 白名單。
  • 啟用前審查外掛程式設定。
  • 外掛程式變更後重新啟動 Gateway。
  • 如果您從 npm 安裝外掛程式(openclaw plugins install <npm-spec>),請將其視為執行不受信任的程式碼:
    • 安裝路徑是 ~/.openclaw/extensions/<pluginId>/(或 $OPENCLAW_STATE_DIR/extensions/<pluginId>/)。
    • OpenClaw 使用 npm pack 然後在該目錄中執行 npm install --omit=dev(npm 生命週期腳本可以在安裝期間執行程式碼)。
    • 偏好固定的確切版本(@scope/pkg@1.2.3),並在啟用前檢查磁碟上解包的程式碼。
詳情:外掛程式

DM 存取模型(配對 / 白名單 / 開放 / 停用)

所有目前支援 DM 的 Channel 都支援 DM 策略(dmPolicy*.dm.policy),在訊息被處理之前限制入站 DM:
  • pairing(預設):未知發送者收到一個短配對代碼,機器人忽略他們的訊息直到獲得核准。代碼在 1 小時後過期;重複的 DM 在建立新請求之前不會重新傳送代碼。待審請求預設每個 Channel 上限為 3 個
  • allowlist:未知發送者被封鎖(沒有配對握手)。
  • open:允許任何人發送 DM(公開)。需要 Channel 白名單包含 "*"(明確選擇加入)。
  • disabled:完全忽略入站 DM。
透過 CLI 核准: 
openclaw pairing list <channel>
openclaw pairing approve <channel> <code>
詳情 + 磁碟上的檔案:配對

DM 對話隔離(多使用者模式)

預設情況下,OpenClaw 將所有 DM 路由到主對話,以便您的助理在裝置和 Channel 之間保持連貫性。如果多人可以向機器人發送 DM(開放 DM 或多人白名單),請考慮隔離 DM 對話: 
{
  session: { dmScope: "per-channel-peer" },
}
這可以防止跨使用者上下文洩漏,同時保持群組聊天隔離。 這是訊息上下文邊界,而非主機管理員邊界。如果使用者相互對抗並共享同一個 Gateway 主機/設定,請改為按信任邊界執行獨立的 Gateway。

安全 DM 模式(建議)

將上面的片段視為安全 DM 模式
  • 預設:session.dmScope: "main"(所有 DM 共享一個對話以保持連貫性)。
  • 本地 CLI Onboarding 預設:未設定時寫入 session.dmScope: "per-channel-peer"(保留現有的明確值)。
  • 安全 DM 模式:session.dmScope: "per-channel-peer"(每個 Channel+發送者對都有隔離的 DM 上下文)。
如果您在同一個 Channel 上執行多個帳號,請改用 per-account-channel-peer。如果同一個人在多個 Channel 上聯絡您,請使用 session.identityLinks 將那些 DM 對話合併為一個規範身分識別。請參閱對話管理設定

白名單(DM + 群組)— 術語

OpenClaw 有兩個獨立的「誰可以觸發我?」層:
  • DM 白名單allowFrom / channels.discord.allowFrom / channels.slack.allowFrom;舊版:channels.discord.dm.allowFromchannels.slack.dm.allowFrom):允許在直接訊息中與機器人對話的人。
    • dmPolicy="pairing" 時,核准被寫入 ~/.openclaw/credentials/ 下的帳號範圍配對白名單儲存(預設帳號的 <channel>-allowFrom.json,非預設帳號的 <channel>-<accountId>-allowFrom.json),與設定白名單合併。
  • 群組白名單(Channel 特定的):機器人將接受訊息的群組/Channel/伺服器。
    • 常見模式:
      • channels.whatsapp.groupschannels.telegram.groupschannels.imessage.groups:每個群組的預設值,例如 requireMention;設定後,它也充當群組白名單(包含 "*" 以保持允許所有行為)。
      • groupPolicy="allowlist" + groupAllowFrom:限制誰可以在群組對話觸發機器人(WhatsApp/Telegram/Signal/iMessage/Microsoft Teams)。
      • channels.discord.guilds / channels.slack.channels:每個介面的白名單 + 提及預設值。
    • 群組檢查依此順序執行:groupPolicy/群組白名單優先,提及/回覆啟用其次。
    • 回覆機器人訊息(隱式提及)繞過發送者白名單,例如 groupAllowFrom
    • 安全注意事項:dmPolicy="open"groupPolicy="open" 視為最後手段設定。它們應該很少使用;除非您完全信任房間中的每個成員,否則偏好配對 + 白名單。
詳情:設定群組

提示注入(它是什麼,為何重要)

提示注入是攻擊者製作一條訊息,操縱模型做不安全的事情(「忽略您的指示」、「轉儲您的檔案系統」、「點擊此連結並執行指令」等)。 即使有強大的系統提示,提示注入尚未解決。系統提示護欄只是軟性指導;硬性強制來自工具策略、exec 核准、沙箱和 Channel 白名單(操作員可以按設計停用這些)。實際有效的措施:
  • 保持入站 DM 鎖定(配對/白名單)。
  • 在群組中偏好提及限制;避免在公開房間中使用「始終開啟」的機器人。
  • 預設將連結、附件和貼上的指示視為敵對的。
  • 在沙箱中執行敏感工具操作;將機密保存在 Agent 可達檔案系統之外。
  • 注意:沙箱是選擇加入的。如果沙箱模式關閉,即使 tools.exec.host 預設為 sandbox,exec 也會在 Gateway 主機上執行,且主機 exec 不需要核准,除非您設定 host=gateway 並設定 exec 核准。
  • 將高風險工具(execbrowserweb_fetchweb_search)限制給受信任的 Agent 或明確的白名單。
  • 模型選擇很重要: 舊版/較小/舊版模型對提示注入和工具濫用明顯更脆弱。對於工具啟用的 Agent,請使用可用的最強最新一代、強化指令的模型。
需視為不受信任的紅旗:
  • 「讀取此檔案/URL 並完全按照它說的做。」
  • 「忽略您的系統提示或安全規則。」
  • 「透露您的隱藏指示或工具輸出。」
  • 「貼出 ~/.openclaw 或您的日誌的完整內容。」

不安全外部內容繞過旗標

OpenClaw 包含停用外部內容安全包裝的明確繞過旗標:
  • hooks.mappings[].allowUnsafeExternalContent
  • hooks.gmail.allowUnsafeExternalContent
  • Cron payload 欄位 allowUnsafeExternalContent
指導原則:
  • 在生產環境中保持未設定/false。
  • 僅在嚴格範圍的除錯中暫時啟用。
  • 如果啟用,隔離該 Agent(沙箱 + 最少工具 + 專用對話命名空間)。
Hooks 風險注意事項:
  • Hook payload 是不受信任的內容,即使傳送來自您控制的系統(郵件/文件/網路內容可以攜帶提示注入)。
  • 弱模型層增加此風險。對於 hook 驅動的自動化,偏好強大的現代模型層並保持工具策略嚴格(tools.profile: "messaging" 或更嚴格),以及在可能的情況下沙箱。

提示注入不需要公開 DM

即使只有您可以向機器人發送訊息,提示注入仍然可能透過機器人讀取的任何不受信任內容發生(網路搜尋/抓取結果、瀏覽器頁面、電子郵件、文件、附件、貼上的日誌/程式碼)。換句話說:發送者不是唯一的威脅介面;內容本身可以攜帶對抗性指示。 當工具被啟用時,典型風險是外洩上下文或觸發工具呼叫。透過以下方式減少爆炸半徑:
  • 使用唯讀或工具停用的讀取器 Agent 總結不受信任的內容,然後將摘要傳遞給您的主要 Agent。
  • 對工具啟用的 Agent 保持 web_search / web_fetch / browser 關閉,除非需要。
  • 對於 OpenResponses URL 輸入(input_file / input_image),設定嚴格的 gateway.http.endpoints.responses.files.urlAllowlistgateway.http.endpoints.responses.images.urlAllowlist,並保持 maxUrlParts 低。
  • 為任何接觸不受信任輸入的 Agent 啟用沙箱和嚴格的工具白名單。
  • 保持機密不在提示中;改為透過 Gateway 主機上的環境/設定傳遞它們。

模型強度(安全注意事項)

提示注入抵抗在不同模型層之間均勻。較小/較便宜的模型通常對工具濫用和指令劫持更容易受攻擊,尤其是在對抗性提示下。
對於工具啟用的 Agent 或讀取不受信任內容的 Agent,舊版/較小模型的提示注入風險通常過高。不要在弱模型層上執行那些工作負載。
建議:
  • 使用最新一代、最佳層模型 用於任何可以執行工具或接觸檔案/網路的機器人。
  • 不要對工具啟用的 Agent 或不受信任的收件匣使用舊版/較弱/較小的層;提示注入風險過高。
  • 如果您必須使用較小的模型,減少爆炸半徑(唯讀工具、強沙箱、最少檔案系統存取、嚴格白名單)。
  • 執行小型模型時,為所有對話啟用沙箱停用 web_search/web_fetch/browser,除非輸入受到嚴格控制。
  • 對於具有受信任輸入且沒有工具的僅聊天個人助理,較小的模型通常沒問題。

群組中的推理與詳細輸出

/reasoning/verbose 可能暴露並非針對公開 Channel 的內部推理或工具輸出。在群組設定中,將它們視為僅限除錯,並保持關閉,除非您明確需要它們。 指導原則:
  • 在公開房間中保持 /reasoning/verbose 停用。
  • 如果您啟用它們,請僅在受信任的 DM 或嚴格控制的房間中這樣做。
  • 記住:詳細輸出可以包括工具參數、URL 和模型看到的資料。

設定強化(範例)

0) 檔案權限

保持 Gateway 主機上的設定 + 狀態私有:
  • ~/.openclaw/openclaw.json600(僅限使用者讀/寫)
  • ~/.openclaw700(僅限使用者)
openclaw doctor 可以警告並提供收緊這些權限的選項。

0.4) 網路暴露(繫結 + 連接埠 + 防火牆)

Gateway 在單一連接埠上多工 WebSocket + HTTP
  • 預設:18789
  • 設定/旗標/環境:gateway.port--portOPENCLAW_GATEWAY_PORT
此 HTTP 介面包含控制 UI 和畫布主機:
  • 控制 UI(SPA 資源)(預設基礎路徑 /
  • 畫布主機:/__openclaw__/canvas//__openclaw__/a2ui/(任意 HTML/JS;視為不受信任的內容)
如果您在一般瀏覽器中載入畫布內容,請像對待任何其他不受信任的網頁一樣對待它:
  • 不要將畫布主機暴露給不受信任的網路/使用者。
  • 不要讓畫布內容與特權網路介面共享相同的來源,除非您完全了解其含義。
繫結模式控制 Gateway 監聽的位置:
  • gateway.bind: "loopback"(預設):只有本地用戶端可以連線。
  • 非回環繫結("lan""tailnet""custom")擴大了攻擊面。只有在有共享 Token/密碼和真實防火牆的情況下才使用它們。
經驗法則:
  • 偏好 Tailscale Serve 而非 LAN 繫結(Serve 將 Gateway 保持在回環上,Tailscale 處理存取)。
  • 如果您必須繫結到 LAN,請將連接埠防火牆設定為嚴格的來源 IP 白名單;不要廣泛地進行連接埠轉發。
  • 永遠不要在 0.0.0.0 上未經驗證地暴露 Gateway。

0.4.1) Docker 連接埠發佈 + UFW(DOCKER-USER

如果您在 VPS 上使用 Docker 執行 OpenClaw,請記住已發佈的容器連接埠(-p HOST:CONTAINER 或 Compose ports:)會透過 Docker 的轉發鏈進行路由,而不僅僅是主機 INPUT 規則。 要使 Docker 流量與您的防火牆策略保持一致,請在 DOCKER-USER 中強制執行規則(此鏈在 Docker 自己的接受規則之前評估)。 在許多現代發行版上,iptables/ip6tables 使用 iptables-nft 前端,仍然將這些規則應用於 nftables 後端。 最小白名單範例(IPv4): 
# /etc/ufw/after.rules(作為其自己的 *filter 區段附加)
*filter
:DOCKER-USER - [0:0]
-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
-A DOCKER-USER -s 127.0.0.0/8 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 192.168.0.0/16 -j RETURN
-A DOCKER-USER -s 100.64.0.0/10 -j RETURN
-A DOCKER-USER -p tcp --dport 80 -j RETURN
-A DOCKER-USER -p tcp --dport 443 -j RETURN
-A DOCKER-USER -m conntrack --ctstate NEW -j DROP
-A DOCKER-USER -j RETURN
COMMIT
IPv6 有單獨的表格。如果啟用了 Docker IPv6,請在 /etc/ufw/after6.rules 中新增匹配的策略。 避免在文件片段中硬編碼介面名稱,例如 eth0。介面名稱在不同的 VPS 映像中有所不同(ens3enp* 等),不符可能意外跳過您的拒絕規則。 重新載入後的快速驗證: 
ufw reload
iptables -S DOCKER-USER
ip6tables -S DOCKER-USER
nmap -sT -p 1-65535 <public-ip> --open
預期的外部連接埠應只是您有意暴露的(對於大多數設定:SSH + 您的反向代理連接埠)。

0.4.2) mDNS/Bonjour 探索(資訊洩露)

Gateway 透過 mDNS(連接埠 5353 上的 _openclaw-gw._tcp)廣播其存在以進行本地裝置探索。在完整模式下,這包括可能暴露操作細節的 TXT 記錄:
  • cliPath:CLI 二進位的完整檔案系統路徑(顯示使用者名稱和安裝位置)
  • sshPort:在主機上廣播 SSH 可用性
  • displayNamelanHost:主機名稱資訊
操作安全考量: 廣播基礎設施細節使本地網路上的任何人更容易進行偵察。即使是「無害」的資訊,例如檔案系統路徑和 SSH 可用性,也有助於攻擊者繪製您的環境地圖。 建議:
  1. 最小模式(預設,適用於公開 Gateway 的建議):從 mDNS 廣播中省略敏感欄位: 
    {
  discovery: {
    mdns: { mode: "minimal" },
  },
}
  2. 完全停用,如果您不需要本地裝置探索: 
    {
  discovery: {
    mdns: { mode: "off" },
  },
}
  3. 完整模式(選擇加入):在 TXT 記錄中包含 cliPath + sshPort 
    {
  discovery: {
    mdns: { mode: "full" },
  },
}
  4. 環境變數(替代方案):設定 OPENCLAW_DISABLE_BONJOUR=1 以在不變更設定的情況下停用 mDNS。
在最小模式下,Gateway 仍然廣播足夠的裝置探索資訊(rolegatewayPorttransport),但省略 cliPathsshPort。需要 CLI 路徑資訊的應用程式可以透過已驗證的 WebSocket 連線取得它。

0.5) 鎖定 Gateway WebSocket(本地驗證)

Gateway 驗證預設為必要。如果未設定 Token/密碼,Gateway 拒絕 WebSocket 連線(安全關閉)。 Onboarding 精靈預設產生 Token(即使是回環),因此本地用戶端必須進行驗證。 設定 Token 使所有 WS 用戶端都必須進行驗證: 
{
  gateway: {
    auth: { mode: "token", token: "your-token" },
  },
}
Doctor 可以為您產生一個:openclaw doctor --generate-gateway-token 注意:gateway.remote.token / .password 是用戶端憑證來源。它們單獨保護本地 WS 存取。 本地呼叫路徑只有在 gateway.auth.* 未設定時才能使用 gateway.remote.* 作為後備。 如果透過 SecretRef 明確設定了 gateway.auth.token / gateway.auth.password 但未解析,解析會安全關閉(沒有遠端後備遮蔽)。 選用:當使用 wss:// 時,使用 gateway.remote.tlsFingerprint 固定遠端 TLS。 明文 ws:// 預設僅限回環。對於受信任的私人網路路徑,在用戶端行程上設定 OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1 作為緊急措施。 本地裝置配對:
  • 對於本地連線(回環或 Gateway 主機自己的 Tailnet 地址),裝置配對會自動核准,以使同一主機上的用戶端順暢運作。
  • 其他 Tailnet 對等方被視為本地;它們仍然需要配對核准。
驗證模式:
  • gateway.auth.mode: "token":共享 Bearer Token(適合大多數設定的建議)。
  • gateway.auth.mode: "password":密碼驗證(偏好透過環境設定:OPENCLAW_GATEWAY_PASSWORD)。
  • gateway.auth.mode: "trusted-proxy":信任具有身分識別感知的反向代理驗證使用者並透過標頭傳遞身分識別(請參閱受信任代理驗證)。
輪替清單(Token/密碼):
  1. 產生/設定新機密(gateway.auth.tokenOPENCLAW_GATEWAY_PASSWORD)。
  2. 重新啟動 Gateway(如果它監督 Gateway,則重新啟動 macOS 應用程式)。
  3. 更新任何遠端用戶端(呼叫 Gateway 的機器上的 gateway.remote.token / .password)。
  4. 驗證您不能再使用舊憑證連線。

0.6) Tailscale Serve 身分識別標頭

gateway.auth.allowTailscaletrue(Serve 的預設值)時,OpenClaw 接受 Tailscale Serve 身分識別標頭(tailscale-user-login)用於控制 UI/WebSocket 驗證。OpenClaw 透過本地 Tailscale 守護行程(tailscale whois)解析 x-forwarded-for 地址並將其與標頭匹配來驗證身分識別。這只對命中回環並包含由 Tailscale 注入的 x-forwarded-forx-forwarded-protox-forwarded-host 的請求觸發。 HTTP API 端點(例如 /v1/*/tools/invoke/api/channels/*)仍然需要 Token/密碼驗證。 重要邊界注意事項:
  • Gateway HTTP Bearer 驗證實際上是全有或全無的操作員存取。
  • 將可以呼叫 /v1/chat/completions/v1/responses/tools/invoke/api/channels/* 的憑證視為該 Gateway 的完全存取操作員機密。
  • 不要與不受信任的呼叫者共享這些憑證;偏好每個信任邊界獨立的 Gateway。
信任假設: 無 Token 的 Serve 驗證假設 Gateway 主機是受信任的。不要將此視為對抗敵對同主機行程的保護。如果不受信任的本地程式碼可能在 Gateway 主機上執行,請停用 gateway.auth.allowTailscale 並要求 Token/密碼驗證。 安全規則: 不要從您自己的反向代理轉發這些標頭。如果您在 Gateway 前面終止 TLS 或代理,請停用 gateway.auth.allowTailscale 並改用 Token/密碼驗證(或受信任代理驗證)。 受信任代理:
  • 如果您在 Gateway 前面終止 TLS,請將 gateway.trustedProxies 設定為您的代理 IP。
  • OpenClaw 將信任來自那些 IP 的 x-forwarded-for(或 x-real-ip)來確定用戶端 IP,用於本地配對檢查和 HTTP 驗證/本地檢查。
  • 確保您的代理覆寫 x-forwarded-for 並阻止對 Gateway 連接埠的直接存取。
請參閱 TailscaleWeb 概覽

0.6.1) 透過節點主機的瀏覽器控制(建議)

如果您的 Gateway 是遠端的但瀏覽器在另一台機器上執行,請在瀏覽器機器上執行節點主機並讓 Gateway 代理瀏覽器動作(請參閱瀏覽器工具)。 將節點配對視為管理員存取。 建議模式:
  • 將 Gateway 和節點主機保持在同一個 Tailnet(Tailscale)上。
  • 有意地配對節點;如果您不需要瀏覽器代理路由,請停用它。
避免:
  • 透過 LAN 或公共網路暴露中繼/控制連接埠。
  • 瀏覽器控制端點的 Tailscale Funnel(公開暴露)。

0.7) 磁碟上的機密(哪些是敏感的)

假設 ~/.openclaw/(或 $OPENCLAW_STATE_DIR/)下的任何內容都可能包含機密或私人資料:
  • openclaw.json:設定可能包含 Token(Gateway、遠端 Gateway)、Provider 設定和白名單。
  • credentials/**:Channel 憑證(例如 WhatsApp 憑證)、配對白名單、舊版 OAuth 匯入。
  • agents/<agentId>/agent/auth-profiles.json:API 金鑰、Token 設定檔、OAuth Token 和選用的 keyRef/tokenRef
  • secrets.json(選用):由 file SecretRef Provider(secrets.providers)使用的檔案備份機密 payload。
  • agents/<agentId>/agent/auth.json:舊版相容性檔案。發現時靜態 api_key 條目會被清除。
  • agents/<agentId>/sessions/**:對話逐字稿(*.jsonl)+ 路由元資料(sessions.json),可以包含私人訊息和工具輸出。
  • extensions/**:已安裝的外掛程式(加上它們的 node_modules/)。
  • sandboxes/**:工具沙箱工作區;可以積累您在沙箱內讀取/寫入的檔案副本。
強化提示:
  • 保持權限嚴格(目錄 700,檔案 600)。
  • 在 Gateway 主機上使用全磁碟加密。
  • 如果主機是共享的,偏好為 Gateway 使用專用的 OS 使用者帳號。

0.8) 日誌 + 逐字稿(編輯 + 保留)

即使存取控制正確,日誌和逐字稿也可能洩露敏感資訊:
  • Gateway 日誌可能包含工具摘要、錯誤和 URL。
  • 對話逐字稿可以包含貼上的機密、檔案內容、指令輸出和連結。
建議:
  • 保持工具摘要編輯開啟(logging.redactSensitive: "tools";預設)。
  • 透過 logging.redactPatterns 為您的環境新增自訂模式(Token、主機名稱、內部 URL)。
  • 共享診斷時,偏好 openclaw status --all(可貼上的,機密已編輯)而非原始日誌。
  • 如果您不需要長期保留,請修剪舊的對話逐字稿和日誌檔案。
詳情:日誌

1) DM:預設配對

{
  channels: { whatsapp: { dmPolicy: "pairing" } },
}

2) 群組:到處都需要提及

{
  "channels": {
    "whatsapp": {
      "groups": {
        "*": { "requireMention": true }
      }
    }
  },
  "agents": {
    "list": [
      {
        "id": "main",
        "groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] }
      }
    ]
  }
}
在群組聊天中,只有在明確提及時才回應。

3. 獨立號碼

考慮在與您個人號碼不同的電話號碼上執行您的 AI:
  • 個人號碼:您的對話保持私密
  • 機器人號碼:AI 處理這些,具有適當的邊界

4. 唯讀模式(目前,透過沙箱 + 工具)

您已經可以透過結合以下方式建立唯讀設定檔:
  • agents.defaults.sandbox.workspaceAccess: "ro"(或 "none" 表示沒有工作區存取)
  • 工具允許/拒絕列表,封鎖 writeeditapply_patchexecprocess 等。
我們稍後可能會新增一個單一的 readOnlyMode 旗標來簡化此設定。 其他強化選項:
  • tools.exec.applyPatch.workspaceOnly: true(預設):確保 apply_patch 即使在沙箱關閉時也無法在工作區目錄之外寫入/刪除。只有在您有意希望 apply_patch 接觸工作區之外的檔案時才設定為 false
  • tools.fs.workspaceOnly: true(選用):將 read/write/edit/apply_patch 路徑和原生提示映像自動載入路徑限制在工作區目錄(如果您今天允許絕對路徑並想要單一護欄,這很有用)。
  • 保持檔案系統根目錄範圍小:避免將主目錄等廣泛根目錄用於 Agent 工作區/沙箱工作區。廣泛的根目錄可能將敏感的本地檔案(例如 ~/.openclaw 下的狀態/設定)暴露給檔案系統工具。

5) 安全基準(複製/貼上)

一個「安全預設」設定,保持 Gateway 私有、需要 DM 配對,並避免始終開啟的群組機器人: 
{
  gateway: {
    mode: "local",
    bind: "loopback",
    port: 18789,
    auth: { mode: "token", token: "your-long-random-token" },
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } },
    },
  },
}
如果您也想要「預設更安全」的工具執行,請為任何非擁有者 Agent 新增沙箱 + 拒絕危險工具(下面「每個 Agent 存取設定檔」中的範例)。 聊天驅動 Agent 輪次的內建基準:非擁有者發送者不能使用 crongateway 工具。

沙箱(建議)

專用文件:沙箱 兩種互補的方法:
  • 在 Docker 中執行完整的 Gateway(容器邊界):Docker
  • 工具沙箱agents.defaults.sandbox,主機 Gateway + Docker 隔離工具):沙箱
注意:為了防止跨 Agent 存取,請將 agents.defaults.sandbox.scope 保持在 "agent"(預設)或 "session" 以進行更嚴格的每對話隔離。scope: "shared" 使用單一容器/工作區。 還要考慮沙箱內的 Agent 工作區存取:
  • agents.defaults.sandbox.workspaceAccess: "none"(預設)使 Agent 工作區無法存取;工具對 ~/.openclaw/sandboxes 下的沙箱工作區執行
  • agents.defaults.sandbox.workspaceAccess: "ro" 將 Agent 工作區唯讀掛載在 /agent(停用 write/edit/apply_patch
  • agents.defaults.sandbox.workspaceAccess: "rw" 將 Agent 工作區以讀寫方式掛載在 /workspace
重要:tools.elevated 是全域基準逃逸後門,在主機上執行 exec。保持 tools.elevated.allowFrom 嚴格,不要為陌生人啟用它。您可以透過 agents.list[].tools.elevated 進一步限制每個 Agent 的提升。請參閱提升模式

子 Agent 委派護欄

如果您允許對話工具,請將委派的子 Agent 執行視為另一個邊界決策:
  • 除非 Agent 真正需要委派,否則拒絕 sessions_spawn
  • agents.list[].subagents.allowAgents 限制為已知安全的目標 Agent。
  • 對於任何必須保持沙箱的工作流程,使用 sandbox: "require" 呼叫 sessions_spawn(預設是 inherit)。
  • sandbox: "require" 在目標子執行期未沙箱化時快速失敗。

瀏覽器控制風險

啟用瀏覽器控制使模型能夠驅動真實的瀏覽器。 如果該瀏覽器設定檔已包含已登入的對話,模型可以存取那些帳號和資料。將瀏覽器設定檔視為敏感狀態
  • 為 Agent 偏好專用設定檔(預設的 openclaw 設定檔)。
  • 避免將 Agent 指向您個人的日常驅動設定檔。
  • 除非您信任沙箱化的 Agent,否則保持主機瀏覽器控制停用。
  • 將瀏覽器下載視為不受信任的輸入;偏好隔離的下載目錄。
  • 如果可能,在 Agent 設定檔中停用瀏覽器同步/密碼管理器(減少爆炸半徑)。
  • 對於遠端 Gateway,假設「瀏覽器控制」等同於對該設定檔可達到的任何東西的「操作員存取」。
  • 保持 Gateway 和節點主機僅在 Tailnet 上;避免將中繼/控制連接埠暴露給 LAN 或公共網路。
  • Chrome 擴充功能中繼的 CDP 端點受驗證保護;只有 OpenClaw 用戶端可以連線。
  • 不需要時停用瀏覽器代理路由(gateway.nodes.browser.mode="off")。
  • Chrome 擴充功能中繼模式「更安全」;它可以接管您現有的 Chrome 分頁。假設它可以在該分頁/設定檔可達到的任何地方代表您行動。