Seguridad

Alcance primero: modelo de seguridad de asistente personal

La guía de seguridad de OpenClaw asume un despliegue de asistente personal: un límite de operador de confianza, potencialmente muchos agentes.

Postura de seguridad admitida: un usuario/límite de confianza por puerta de enlace (preferiblemente un usuario/host/VPS del SO por límite).
Límite de seguridad no admitido: una puerta de enlace/agente compartido utilizado por usuarios mutuamente no confiables o adversarios.
Si se requiere el aislamiento de usuarios adversarios, divídalo por límite de confianza (puerta de enlace separada + credenciales, e idealmente usuarios/hosts del SO separados).
Si varios usuarios no confiables pueden enviar mensajes a un agente con herramientas habilitadas, trátelos como si compartieran la misma autoridad de herramienta delegada para ese agente.

Esta página explica el endurecimiento dentro de ese modelo. No reclama el aislamiento multiinquilino hostil en una puerta de enlace compartida.

Verificación rápida: `openclaw security audit`

Consulte también: Verificación formal (Modelos de seguridad)

Ejecute esto regularmente (especialmente después de cambiar la configuración o exponer superficies de red):

openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --json

security audit --fix se mantiene deliberadamente estrecho: invierte las políticas comunes de grupos abiertos a listas de permitidos, restaura logging.redactSensitive: "tools", ajusta los permisos de estado/configuración/archivos incluidos y usa restablecimientos de ACL de Windows en lugar de chmod POSIX cuando se ejecuta en Windows.

Marca las trampas comunes (exposición de autenticación del Gateway, exposición del control del navegador, listas de permitidos elevadas, permisos del sistema de archivos, aprobaciones de ejecución permisivas y exposición de herramientas de canal abierto).

OpenClaw es tanto un producto como un experimento: está conectando el comportamiento de modelos de vanguardia a superficies de mensajería reales y herramientas reales. No existe una configuración “perfectamente segura”. El objetivo es ser deliberado acerca de:

quién puede hablar con su bot
dónde se permite que actúe el bot
qué puede tocar el bot

Comience con el acceso más pequeño que aún funcione, luego ábralo a medida que gane confianza.

Despliegue y confianza del host

OpenClaw asume que el host y el límite de configuración son de confianza:

Si alguien puede modificar el estado/configuración del host Gateway (~/.openclaw, incluyendo openclaw.json), trátelo como un operador de confianza.
Ejecutar un Gateway para múltiples operadores mutuamente no confiables/adversarios no es una configuración recomendada.
Para equipos de confianza mixta, separe los límites de confianza con gateways independientes (o como mínimo usuarios/hosts de SO independientes).
Predeterminado recomendado: un usuario por máquina/host (o VPS), una puerta de enlace para ese usuario y uno o más agentes en esa puerta de enlace.
Dentro de una instancia de Gateway, el acceso del operador autenticado es un rol de plano de control confiable, no un rol de inquilino por usuario.
Los identificadores de sesión (sessionKey, IDs de sesión, etiquetas) son selectores de enrutamiento, no tokens de autorización.
Si varias personas pueden enviar mensajes a un agente con herramientas habilitadas, cada una de ellas puede dirigir ese mismo conjunto de permisos. El aislamiento de sesión/memoria por usuario ayuda a la privacidad, pero no convierte un agente compartido en autorización de host por usuario.

Operaciones de archivos seguras

OpenClaw usa @openclaw/fs-safe para el acceso a archivos limitado por root, escrituras atómicas, extracción de archivos, espacios de trabajo temporales y asistentes de archivos secretos. OpenClaw establece el asistente opcional de Python POSIX de fs-safe en desactivado por defecto; configure OPENCLAW_FS_SAFE_PYTHON_MODE=auto o require solo cuando desee el endurecimiento adicional de mutación relativa a fd y pueda soportar un tiempo de ejecución de Python.

Detalles: Operaciones seguras de archivos.

Espacio de trabajo de Slack compartido: riesgo real

Si “todos en Slack pueden enviar mensajes al bot”, el riesgo principal es la autoridad de herramienta delegada:

cualquier remitente permitido puede inducir llamadas a herramientas (exec, navegador, herramientas de red/archivos) dentro de la política del agente;
la inyección de prompt/contenido de un remitente puede causar acciones que afecten el estado compartido, dispositivos o salidas;
si un agente compartido tiene credenciales/archivos confidenciales, cualquier remitente permitido puede potencialmente conducir una exfiltración mediante el uso de herramientas.

Use agentes/puertas de enlace separados con herramientas mínimas para flujos de trabajo de equipo; mantenga los agentes de datos personales privados.

Agente compartido por la empresa: patrón aceptable

Esto es aceptable cuando todos los que usan ese agente están en el mismo límite de confianza (por ejemplo, un equipo de una empresa) y el agente está estrictamente limitado al ámbito empresarial.

ejecútelo en una máquina/VM/contenedor dedicado;
use un usuario de sistema operativo dedicado + navegador/perfil/cuentas dedicadas para ese tiempo de ejecución;
no inicie sesión en ese tiempo de ejecución con cuentas personales de Apple/Google ni con perfiles personales de gestores de contraseñas/navegadores.

Si mezcla identidades personales y de la empresa en el mismo tiempo de ejecución, colapsa la separación y aumenta el riesgo de exposición de datos personales.

Concepto de confianza de puerta de enlace y nodo

Trate la puerta de enlace y el nodo como un dominio de confianza del operador, con diferentes roles:

Gateway es el plano de control y la superficie de política (gateway.auth, política de herramientas, enrutamiento).
Node es la superficie de ejecución remota emparejada con esa puerta de enlace (comandos, acciones del dispositivo, capacidades locales del host).
Un llamante autenticado en la puerta de enlace es confiable en el ámbito de la puerta de enlace. Después del emparejamiento, las acciones del nodo son acciones de operador confiables en ese nodo.
Los niveles de ámbito del operador y las comprobaciones en el momento de aprobación se resumen en Ámbitos del operador.
Los clientes de backend de bucle invertido directo autenticados con el token/contraseña compartido de la puerta de enlace pueden realizar RPC del plano de control interno sin presentar una identidad de dispositivo de usuario. Esto no es una omisión del emparejamiento remoto o del navegador: los clientes de red, los clientes de nodo, los clientes de token de dispositivo y las identidades explícitas de dispositivo aún pasan por el emparejamiento y la aplicación de actualización de ámbito.
sessionKey es la selección de enrutamiento/contexto, no la autenticación por usuario.
Las aprobaciones de ejecución (lista blanca + pedir) son salvaguardas para la intención del operador, no un aislamiento multiinquilino hostil.
El valor predeterminado del producto de OpenClaw para configuraciones de un solo operador confiable es que la ejecución en el host en gateway/node está permitida sin indicaciones de aprobación (security="full", ask="off" a menos que lo ajuste). Ese valor predeterminado es una experiencia de usuario intencional, no una vulnerabilidad por sí misma.
Las aprobaciones de ejecución vinculan el contexto exacto de la solicitud y los operandos de archivos locales directos con el mejor esfuerzo; no modelan semánticamente todas las rutas del cargador del tiempo de ejecución/intérprete. Utilice el sandboxing y el aislamiento del host para límites fuertes.

Si necesitas aislamiento de usuarios hostiles, divide los límites de confianza por usuario/ho SO y ejecuta pasarelas separadas.

Matriz de límites de confianza

Usa esto como el modelo rápido al triar riesgos:

Límite o control	Lo que significa	Lectura errónea común
`gateway.auth` (token/contraseña/proxy confiable/auth de dispositivo)	Autentica a los que llaman a las APIs de la pasarela	”Necesita firmas por mensaje en cada trama para ser seguro”
`sessionKey`	Clave de enrutamiento para la selección de contexto/sesión	”La clave de sesión es un límite de autenticación de usuario”
Guarda raíles de prompt/contenido	Reduce el riesgo de abuso del modelo	”La inyección de prompt por sí sola prueba una omisión de autenticación”
`canvas.eval` / evaluación del navegador	Capacidad intencional del operador cuando está habilitada	”Cualquier primitiva de evaluación de JS es automáticamente una vulnerabilidad en este modelo de confianza”
Shell TUI local `!`	Ejecución local activada explícitamente por el operador	”El comando de conveniencia del shell local es una inyección remota”
Emparejamiento de nodos y comandos de nodos	Ejecución remota a nivel de operador en dispositivos emparejados	”El control remoto de dispositivos debe tratarse como acceso de usuario no confiable de forma predeterminada”
`gateway.nodes.pairing.autoApproveCidrs`	Política de inscripción de nodos de red confiable opcional	”Una lista de permitidos deshabilitada de forma predeterminada es una vulnerabilidad automática de emparejamiento”

No vulnerabilidades por diseño

Hallazgos comunes que están fuera del alcance

Estos patrones se reportan con frecuencia y generalmente se cierran sin acción a menos que demuestre una omisión real del límite:

Cadenas de solo inyección de instrucciones sin una política, autenticación o omisión de espacio aislado (sandbox).
Afirmaciones que asumen una operación multiinquilino hostil en un host compartido o configuración.
Afirmaciones que clasifican el acceso normal a la ruta de lectura del operador (por ejemplo sessions.list / sessions.preview / chat.history) como IDOR en una configuración de puerta de enlace compartida.
Hallazgos de implementación solo en localhost (por ejemplo, HSTS en una puerta de enlace de solo loopback).
Hallazgos de firma de webhook entrante de Discord para rutas de entrada que no existen en este repositorio.
Informes que tratan los metadatos de emparejamiento de nodos como una capa oculta de segundo nivel de aprobación por comando para system.run, cuando el límite de ejecución real sigue siendo la política global de comandos de nodo de la puerta de enlace más las propias aprobaciones de exec del nodo.
Informes que tratan el gateway.nodes.pairing.autoApproveCidrs configurado como una vulnerabilidad por sí mismo. Esta configuración está deshabilitada de manera predeterminada, requiere entradas CIDR/IP explícitas, solo se aplica al emparejamiento role: node por primera vez con sin ámbitos solicitados, y no aprueba automáticamente operador/navegador/Control UI, WebChat, actualizaciones de rol, actualizaciones de ámbito, cambios de metadatos, cambios de clave pública, o rutas de encabezado de proxy de confianza de mismo host o loopback a menos que la autenticación de proxy de confianza de loopback se haya habilitado explícitamente.
Hallazgos de “Falta de autorización por usuario” que tratan sessionKey como un token de autenticación.

Línea base endurecida en 60 segundos

Use esta línea base primero, luego reactive selectivamente herramientas por agente de confianza:

{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "replace-with-long-random-token" },
  },
  session: {
    dmScope: "per-channel-peer",
  },
  tools: {
    profile: "messaging",
    deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
    fs: { workspaceOnly: true },
    exec: { security: "deny", ask: "always" },
    elevated: { enabled: false },
  },
  channels: {
    whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } },
  },
}

Esto mantiene la puerta de enlace solo local, aísla los MD y deshabilita las herramientas del plano de control/tiempo de ejecución de manera predeterminada.

Regla rápida para bandeja de entrada compartida

Si más de una persona puede enviar MD a su bot:

Establezca session.dmScope: "per-channel-peer" (o "per-account-channel-peer" para canales multicuenta).
Mantenga dmPolicy: "pairing" o listas de permitidos estrictas.
Nunca combine MD compartidos con acceso amplio a herramientas.
Esto endurece las bandejas de entrada cooperativas/compartidas, pero no está diseñado como aislamiento de coinquilinos hostiles cuando los usuarios comparten acceso de escritura al host/configuración.

Modelo de visibilidad del contexto

OpenClaw separa dos conceptos:

Autorización de activación: quién puede activar el agente (dmPolicy, groupPolicy, listas de permitidos, puertas de mención).
Visibilidad del contexto: qué contexto complementario se inyecta en la entrada del modelo (cuerpo de la respuesta, texto citado, historial del hilo, metadatos reenviados).

Las listas de permitidos controlan las puertas de activación y la autorización de comandos. La configuración contextVisibility controla cómo se filtra el contexto complementario (respuestas citadas, raíces de hilos, historial recuperado):

contextVisibility: "all" (predeterminado) mantiene el contexto complementario tal como se recibe.
contextVisibility: "allowlist" filtra el contexto complementario para los remitentes permitidos por las comprobaciones activas de la lista de permitidos.
contextVisibility: "allowlist_quote" se comporta como allowlist, pero aún así mantiene una respuesta citada explícita.

Establezca contextVisibility por canal o por sala/conversación. Consulte Chats grupales para obtener detalles de configuración.

Guía de triaje asesor:

Las afirmaciones que solo muestran “el modelo puede ver texto citado o histórico de remitentes no permitidos” son hallazgos de endurecimiento abordables con contextVisibility, no elusiones de límites de autenticación o sandbox por sí mismos.
Para tener impacto en la seguridad, los informes aún necesitan una elusión demostrada del límite de confianza (autenticación, política, sandbox, aprobación u otro límite documentado).

Lo que verifica la auditoría (alto nivel)

Acceso entrante (políticas de MD, políticas de grupo, listas de permitidos): ¿pueden los extraños activar el bot?
Radio de explosión de herramientas (herramientas elevadas + salas abiertas): ¿podría la inyección de avisos convertirse en acciones de shell/archivo/red?
Deriva del sistema de archivos de ejecución: ¿se deniegan las herramientas de mutación del sistema de archivos mientras exec/process permanecen disponibles sin restricciones del sistema de archivos del sandbox?
Deriva de aprobación de ejecución (security=full, autoAllowSkills, listas de permitidos del intérprete sin strictInlineEval): ¿las barreras de protección de ejecución en el host siguen haciendo lo que cree que hacen?
- security="full" es una advertencia de postura amplia, no una prueba de un error. Es la opción predeterminada elegida para configuraciones de asistente personal de confianza; apriétela solo cuando su modelo de amenazas necesite guardias de aprobación o lista blanca.
Exposición de red (vinculación/autenticación de Gateway, Tailscale Serve/Funnel, tokens de autenticación débiles/cortos).
Exposición del control del navegador (nodos remotos, puertos de retransmisión, extremos CDP remotos).
Higiene del disco local (permisos, enlaces simbólicos, inclusiones de configuración, rutas de “carpeta sincronizada”).
Complementos (los complementos se cargan sin una lista blanca explícita).
Deriva/mala configuración de políticas (configuración de Docker en modo sandbox configurada pero modo sandbox desactivado; patrones gateway.nodes.denyCommands ineficaces porque la coincidencia es solo el nombre exacto del comando (por ejemplo system.run) y no inspecciona el texto del shell; entradas gateway.nodes.allowCommands peligrosas; tools.profile="minimal" global anulada por perfiles por agente; herramientas propiedad de complementos accesibles bajo una política de herramientas permisiva).
Deriva de las expectativas de tiempo de ejecución (por ejemplo, asumir que exec implícito todavía significa sandbox cuando tools.exec.host ahora tiene como valor predeterminado auto, o establecer explícitamente tools.exec.host="sandbox" mientras el modo sandbox está desactivado).
Higiene del modelo (advierte cuando los modelos configurados parecen heredados; no es un bloqueo estricto).

Si ejecuta --deep, OpenClaw también intenta un sondeo en vivo del Gateway con el mejor esfuerzo posible.

Mapa de almacenamiento de credenciales

Úselo al auditar el acceso o decidir qué respaldar:

WhatsApp: ~/.openclaw/credentials/whatsapp/<accountId>/creds.json
Token de bot de Telegram: config/env o channels.telegram.tokenFile (solo archivo regular; se rechazan los enlaces simbólicos)
Token de bot de Discord: config/env o SecretRef (proveedores env/file/exec)
Tokens de Slack: config/env (channels.slack.*)
Listas blancas de emparejamiento:
- ~/.openclaw/credentials/<channel>-allowFrom.json (cuenta predeterminada)
- ~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json (cuentas no predeterminadas)
Perfiles de autenticación de modelo: ~/.openclaw/agents/<agentId>/agent/auth-profiles.json
Estado de tiempo de ejecución de Codex: ~/.openclaw/agents/<agentId>/agent/codex-home/
Carga útil de secretos respaldados en archivo (opcional): ~/.openclaw/secrets.json
Importación de OAuth heredada: ~/.openclaw/credentials/oauth.json

Lista de verificación de auditoría de seguridad

Cuando la auditoría muestre hallazgos, trátalos en este orden de prioridad:

Cualquier cosa “abierta” + herramientas habilitadas: bloquea primero los MDs/grupos (emparejamiento/listas de permitidos), luego ajusta la política de herramientas/sandboxing.
Exposición de red pública (vinculación LAN, Funnel, falta de autenticación): corrígelo inmediatamente.
Exposición remota del control del navegador: trátala como el acceso del operador (solo tailnet, empareja nodos deliberadamente, evita la exposición pública).
Permisos: asegúrate de que el estado/configuración/credenciales/auth no sean legibles por el grupo/todos.
Complementos: carga solo lo que confíes explícitamente.
Elección del modelo: prefiere modelos modernos y endurecidos por instrucciones para cualquier bot con herramientas.

Glosario de auditoría de seguridad

Cada hallazgo de la auditoría se identifica con una checkId estructurada (por ejemplo gateway.bind_no_auth o tools.exec.security_full_configured). Clases de gravedad crítica comunes:

fs.* - permisos del sistema de archivos en estado, configuración, credenciales, perfiles de autenticación.
gateway.* - modo de vinculación, autenticación, Tailscale, Control UI, configuración de proxy confiable.
hooks.*, browser.*, sandbox.*, tools.exec.* - endurecimiento por superficie.
plugins.*, skills.* - cadena de suministro de complementos/habilidades y hallazgos de escaneo.
security.exposure.* - verificaciones transversales donde la política de acceso se encuentra con el radio de explosión de la herramienta.

Vea el catálogo completo con niveles de gravedad, claves de corrección y soporte de autocorrección en Comprobaciones de auditoría de seguridad.

Interfaz de usuario de control a través de HTTP

La interfaz de usuario de control necesita un contexto seguro (HTTPS o localhost) para generar la identidad del dispositivo. gateway.controlUi.allowInsecureAuth es un interruptor de compatibilidad local:

En localhost, permite la autenticación de la interfaz de usuario de control sin identidad del dispositivo cuando la página se carga a través de HTTP no seguro.
No omite las verificaciones de emparejamiento.
No relaja los requisitos de identidad del dispositivo remoto (que no sea localhost).

Prefiere HTTPS (Tailscale Serve) o abre la interfaz de usuario en 127.0.0.1.

Solo para escenarios de ruptura de vidrio, gateway.controlUi.dangerouslyDisableDeviceAuth deshabilita por completo las verificaciones de identidad del dispositivo. Esto es una degradación grave de la seguridad; manténgalo desactivado a menos que esté depurando activamente y pueda revertir rápidamente.

Independientemente de esas marcas peligrosas, el éxito de gateway.auth.mode: "trusted-proxy" puede admitir sesiones de la Interfaz de Control del operador sin identidad del dispositivo. Ese es un comportamiento intencional del modo de autenticación, no un atajo de allowInsecureAuth, y aún no se extiende a sesiones de la Interfaz de Control con rol de nodo.

openclaw security audit advierte cuando esta configuración está habilitada.

Resumen de marcas inseguras o peligrosas

openclaw security audit genera config.insecure_or_dangerous_flags cuando se activan interruptores de depuración inseguros/peligrosos conocidos. Mantenga estos sin establecer en producción. Cada bandera activada se informa como su propio hallazgo. Si se configuran supresiones de auditoría, security.audit.suppressions.active permanece en la salida de auditoría activa incluso cuando los hallazgos coincidentes se mueven a suppressedFindings.

Banderas rastreadas por la auditoría hoy

gateway.controlUi.allowInsecureAuth=true
gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true
gateway.controlUi.dangerouslyDisableDeviceAuth=true
`security.audit.suppressions configured (

) -hooks.gmail.allowUnsafeExternalContent=true -hooks.mappings[

].allowUnsafeExternalContent=true -tools.exec.applyPatch.workspaceOnly=false -plugins.entries.acpx.config.permissionMode=approve-all`

Todas las claves `dangerous*` / `dangerously*` en el esquema de configuración

Controlar UI y navegador:

gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
gateway.controlUi.dangerouslyDisableDeviceAuth
browser.ssrfPolicy.dangerouslyAllowPrivateNetwork

Coincidencia de nombres de canal (canales incluidos y de complementos; también disponible por `accounts.

` cuando corresponda):

- `channels.discord.dangerouslyAllowNameMatching`
- `channels.slack.dangerouslyAllowNameMatching`
- `channels.googlechat.dangerouslyAllowNameMatching`
- `channels.msteams.dangerouslyAllowNameMatching`
- `channels.synology-chat.dangerouslyAllowNameMatching` (canal de complemento)
- `channels.synology-chat.dangerouslyAllowInheritedWebhookPath` (canal de complemento)
- `channels.zalouser.dangerouslyAllowNameMatching` (canal de complemento)
- `channels.irc.dangerouslyAllowNameMatching` (canal de complemento)
- `channels.mattermost.dangerouslyAllowNameMatching` (canal de complemento)

Exposición de red:

- `channels.telegram.network.dangerouslyAllowPrivateNetwork` (también por cuenta)

Sandbox Docker (valores predeterminados + por agente):

- `agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargets`
- `agents.defaults.sandbox.docker.dangerouslyAllowExternalBindSources`
- `agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin`

Configuración de proxy inverso

Si ejecuta el Gateway detrás de un proxy inverso (nginx, Caddy, Traefik, etc.), configure gateway.trustedProxies para el manejo adecuado de la IP del cliente reenviada.

Cuando el Gateway detecta encabezados de proxy de una dirección que no está en trustedProxies, no tratará las conexiones como clientes locales. Si la autenticación del gateway está deshabilitada, esas conexiones se rechazan. Esto evita la omisión de autenticación donde las conexiones proxyadas de otro modo parecerían provenir de localhost y recibirían confianza automática.

gateway.trustedProxies también alimenta gateway.auth.mode: "trusted-proxy", pero ese modo de autenticación es más estricto:

la autenticación trusted-proxy falla de forma segura por defecto en proxies de origen de loopback
los proxies inversos de bucle invertido del mismo host pueden usar gateway.trustedProxies para la detección de clientes locales y el manejo de IP reenviada
los proxies inversos de bucle invertido del mismo host pueden satisfacer gateway.auth.mode: "trusted-proxy" solo cuando gateway.auth.trustedProxy.allowLoopback = true; de lo contrario, use autenticación de token/contraseña

gateway:
  trustedProxies:
    - "10.0.0.1" # reverse proxy IP
  # Optional. Default false.
  # Only enable if your proxy cannot provide X-Forwarded-For.
  allowRealIpFallback: false
  auth:
    mode: password
    password: ${OPENCLAW_GATEWAY_PASSWORD}

Cuando se configura trustedProxies, el Gateway usa X-Forwarded-For para determinar la IP del cliente. X-Real-IP se ignora de forma predeterminada a menos que gateway.allowRealIpFallback: true se establezca explícitamente.

Los encabezados de proxy de confianza no hacen que el emparejamiento de dispositivos del nodo sea confiable automáticamente. gateway.nodes.pairing.autoApproveCidrs es una política de operador separada, deshabilitada de forma predeterminada. Incluso cuando está habilitada, las rutas de encabezados de proxy de confianza de origen de bucle local (loopback) se excluyen de la aprobación automática del nodo porque los autores de llamadas locales pueden falsificar esos encabezados, incluso cuando la autenticación de proxy de confianza de bucle local está explícitamente habilitada.

Buen comportamiento del proxy inverso (sobrescribir los encabezados de reenvío entrantes):

proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;

Mal comportamiento del proxy inverso (adjuntar/preservar encabezados de reenvío no confiables):

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

Notas sobre HSTS y origen

El gateway de OpenClaw es local/de loopback primero. Si termina TLS en un proxy inverso, configure HSTS en el dominio HTTPS orientado al proxy allí.
Si la puerta de enlace misma termina HTTPS, puede establecer gateway.http.securityHeaders.strictTransportSecurity para emitir el encabezado HSTS desde las respuestas de OpenClaw.
La orientación detallada de implementación se encuentra en Trusted Proxy Auth.
Para las implementaciones de la Interfaz de usuario de Control (Control UI) que no sean de bucle local, se requiere gateway.controlUi.allowedOrigins de forma predeterminada.
gateway.controlUi.allowedOrigins: ["*"] es una política explícita de permitir todos los orígenes del navegador, no una configuración predeterminada endurecida. Evítela fuera de las pruebas locales estrechamente controladas.
Los fallos de autenticación de origen del navegador en bucle local aún están limitados por velocidad incluso cuando la exención general de bucle local está habilitada, pero la clave de bloqueo se limita por cada valor normalizado de Origin en lugar de un cubo de localhost compartido.
gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true habilita el modo de reserva de origen del encabezado Host; trátelo como una política peligrosa seleccionada por el operador.
Trate el comportamiento de reenlace de DNS y el encabezado de host de proxy como problemas de endurecimiento de la implementación; mantenga trustedProxies ajustado y evite exponer la puerta de enlace directamente a la Internet pública.

Los registros de sesión local residen en el disco

OpenClaw almacena las transcripciones de la sesión en el disco bajo ~/.openclaw/agents/<agentId>/sessions/*.jsonl. Esto es necesario para la continuidad de la sesión y (opcionalmente) la indexación de la memoria de la sesión, pero también significa que cualquier proceso/usuario con acceso al sistema de archivos puede leer esos registros. Trate el acceso al disco como el límite de confianza y bloquee los permisos en ~/.openclaw (vea la sección de auditoría a continuación). Si necesita un aislamiento más fuerte entre agentes, ejecútelos bajo usuarios de sistema operativo separados o hosts separados.

Ejecución de nodo (system.run)

Si se empareja un nodo macOS, la puerta de enlace puede invocar system.run en ese nodo. Esto es ejecución remota de código en el Mac:

Requiere emparejamiento de nodo (aprobación + token).
El emparejamiento de nodos de la puerta de enlace no es una superficie de aprobación por comando. Establece la identidad/confianza del nodo y la emisión de tokens.
La puerta de enlace aplica una política global de comandos de nodo aproximada a través de gateway.nodes.allowCommands / denyCommands.
Controlado en el Mac a través de Configuración → Aprobaciones de ejecución (seguridad + pedir + lista blanca).
La política system.run por nodo es el propio archivo de aprobaciones de ejecución del nodo (exec.approvals.node.*), que puede ser más estricta o más flexible que la política global de ID de comando de la puerta de enlace.
Un nodo que se ejecuta con security="full" y ask="off" sigue el modelo predeterminado de operador de confianza. Trátelo como un comportamiento esperado, a menos que su implementación requiera explícitamente una postura de aprobación o lista de permitidos más estricta.
El modo de aprobación vincula el contexto exacto de la solicitud y, cuando es posible, un operando concreto de script/archivo local. Si OpenClaw no puede identificar exactamente un archivo local directo para un comando de intérprete/tiempo de ejecución, la ejecución respaldada por aprobación se deniega en lugar de prometer una cobertura semántica completa.
Para host=node, las ejecuciones respaldadas por aprobaciones también almacenan un systemRunPlan preparado canónico; los reenvíos aprobados posteriormente reutilizan ese plan almacenado, y la validación de la puerta de enlace rechaza las ediciones de la persona que llama al contexto de comando/cwd/sesión después de que se haya creado la solicitud de aprobación.
Si no desea ejecución remota, configure la seguridad en deny (denegar) y elimine el emparejamiento de nodos para ese Mac.

Esta distinción es importante para la clasificación:

Un nodo emparejado que se reconecta y anuncia una lista de comandos diferente no es, por sí mismo, una vulnerabilidad si la política global de la puerta de enlace y las aprobaciones de ejecución local del nodo aún hacen cumplir el límite de ejecución real.
Los informes que tratan los metadatos de emparejamiento de nodos como una segunda capa de aprobación oculta por comando suelen ser confusión de política/UX, no una omisión del límite de seguridad.

Habilidades dinámicas (watcher / nodos remotos)

OpenClaw puede actualizar la lista de habilidades a mitad de la sesión:

Skills watcher: los cambios en SKILL.md pueden actualizar la instantánea de habilidades en el siguiente turno del agente.
Nodos remotos: conectar un nodo macOS puede hacer que las habilidades exclusivas de macOS sean elegibles (basado en la detección de binarios).

Trate las carpetas de habilidades como código confiable y restrinja quién puede modificarlas.

El modelo de amenazas

Su asistente de IA puede:

Ejecutar comandos de shell arbitrarios
Leer/escribir archivos
Acceder a servicios de red
Enviar mensajes a cualquiera (si le da acceso a WhatsApp)

Las personas que le envían mensajes pueden:

Intentar engañar a su IA para que haga cosas malas
Obtener acceso a sus datos mediante ingeniería social
Sondear detalles de la infraestructura

Concepto central: control de acceso antes que la inteligencia

La mayoría de los fallos aquí no son exploits sofisticados, son “alguien envió un mensaje al bot y el bot hizo lo que le pidieron”.

La postura de OpenClaw:

Identidad primero: decida quién puede hablar con el bot (emparejamiento de DM / listas de permitidos / “abierto” explícito).
Ámbito después: decida dónde se permite que actúe el bot (listas de permitidos de grupos + filtrado de menciones, herramientas, sandbox, permisos de dispositivo).
Modelo al final: asuma que el modelo puede ser manipulado; diseñe para que la manipulación tenga un radio de explosión limitado.

Modelo de autorización de comandos

Los comandos de barra y directivas solo se respetan para remitentes autorizados. La autorización se deriva de listas de permitidos/emparejamiento de canales más commands.useAccessGroups (consulte Configuration y Slash commands). Si una lista de permitidos de canales está vacía o incluye "*", los comandos están efectivamente abiertos para ese canal.

/exec es una comodidad solo de sesión para operadores autorizados. No escribe configuración o cambia otras sesiones.

Riesgo de las herramientas del plano de control

Dos herramientas integradas pueden realizar cambios persistentes en el plano de control:

gateway puede inspeccionar la configuración con config.schema.lookup / config.get, y puede realizar cambios persistentes con config.apply, config.patch y update.run.
cron puede crear trabajos programados que siguen ejecutándose después de que finaliza el chat/tarea original.

La herramienta de tiempo de ejecución gateway solo para propietarios aún se niega a reescribir tools.exec.ask o tools.exec.security; los alias tools.bash.* heredados se normalizan a las mismas rutas de ejecución protegidas antes de la escritura. Las ediciones gateway config.apply y gateway config.patch impulsadas por el agente son de falla cerrada (fail-closed) de forma predeterminada: solo un conjunto limitado de rutas de indicador, modelo y filtrado de menciones son ajustables por el agente. Por lo tanto, los nuevos árboles de configuración sensibles están protegidos a menos que se agreguen deliberadamente a la lista de permitidos.

Para cualquier agente/superficie que maneje contenido que no es de confianza, deniegue estos de forma predeterminada:

{
  tools: {
    deny: ["gateway", "cron", "sessions_spawn", "sessions_send"],
  },
}

commands.restart=false solo bloquea las acciones de reinicio. No deshabilita las acciones de configuración/actualización gateway.

Plugins

Los plugins se ejecutan en proceso con el Gateway. Trátelos como código de confianza:

Instale solo plugins de fuentes en las que confíe.
Prefiera listas de permitidos (allowlists) plugins.allow explícitas.
Revise la configuración del plugin antes de habilitarlo.
Reinicie el Gateway después de realizar cambios en los plugins.
Si instala o actualiza complementos (openclaw plugins install <package>, openclaw plugins update <id>), trátelo como ejecutar código no confiable:
- La ruta de instalación es el directorio por complemento bajo la raíz de instalación de complementos activa.
- OpenClaw ejecuta un análisis integrado de código peligroso antes de la instalación/actualización. Los hallazgos critical bloquean de forma predeterminada.
- Las instalaciones de complementos npm y git ejecutan la convergencia de dependencias del administrador de paquetes solo durante el flujo explícito de instalación/actualización. Las rutas locales y los archivos se tratan como paquetes de complementos autocontenidos; OpenClaw los copia o hace referencia a ellos sin ejecutar npm install.
- Prefiera versiones fijas y exactas (@scope/[email protected]) e inspeccione el código descomprimido en el disco antes de habilitar.
- --dangerously-force-unsafe-install es solo de emergencia (break-glass) para falsos positivos del análisis integrado en los flujos de instalación/actualización de complementos. No evita los bloqueos de política del enlace (hook) before_install del complemento ni evita los fallos del análisis.
- Las instalaciones de dependencias de habilidades respaldadas por la pasarela siguen la misma división peligroso/sospechoso: los hallazgos critical integrados bloquean a menos que la persona que llama establezca explícitamente dangerouslyForceUnsafeInstall, mientras que los hallazgos sospechosos solo advierten. openclaw skills install sigue siendo el flujo separado de descarga/instalación de habilidades de ClawHub.

Detalles: Plugins

Modelo de acceso DM: emparejamiento, lista de permitidos, abierto, deshabilitado

Todos los canales actuales compatibles con DM admiten una política de DM (dmPolicy o *.dm.policy) que bloquea los mensajes entrantes antes de que se procese el mensaje:

pairing (predeterminado): los remitentes desconocidos reciben un código de emparejamiento corto y el bot ignora su mensaje hasta que se aprueba. Los códigos caducan después de 1 hora; los DM repetidos no reenviarán un código hasta que se cree una nueva solicitud. Las solicitudes pendientes se limitan a 3 por canal de forma predeterminada.
allowlist: los remitentes desconocidos están bloqueados (sin protocolo de enlace de emparejamiento).
open: permitir que cualquier persona envíe un DM (público). Requiere que la lista de permitidos del canal incluya "*" (aceptación explícita).
disabled: ignorar los DM entrantes por completo.

Aprobar a través de CLI:

openclaw pairing list <channel>
openclaw pairing approve <channel> <code>

Detalles + archivos en el disco: Emparejamiento

Aislamiento de sesión de DM (modo multiusuario)

De forma predeterminada, OpenClaw enruta todos los DMs a la sesión principal para que su asistente tenga continuidad entre dispositivos y canales. Si varias personas pueden enviar DMs al bot (DMs abiertos o una lista de permitidos para varias personas), considere aislar las sesiones de DM:

{
  session: { dmScope: "per-channel-peer" },
}

Esto evita la filtración de contexto entre usuarios mientras se mantienen aislados los chats grupales.

Este es un límite de contexto de mensajería, no un límite de administración del host. Si los usuarios son mutuamente adversarios y comparten el mismo host/configuración de Gateway, ejecute gateways separados por cada límite de confianza.

Modo DM seguro (recomendado)

Trate el fragmento anterior como modo DM seguro:

Predeterminado: session.dmScope: "main" (todos los DM comparten una sesión para la continuidad).
Predeterminado de incorporación de CLI local: escribe session.dmScope: "per-channel-peer" cuando no está establecido (mantiene los valores explícitos existentes).
Modo de DM seguro: session.dmScope: "per-channel-peer" (cada par de canal+remitente obtiene un contexto de DM aislado).
Aislamiento de pares entre canales: session.dmScope: "per-peer" (cada remitente obtiene una sesión en todos los canales del mismo tipo).

Si ejecuta varias cuentas en el mismo canal, use per-account-channel-peer en su lugar. Si la misma persona se pone en contacto con usted en varios canales, use session.identityLinks para colapsar esas sesiones de DM en una identidad canónica. Consulte Gestión de sesiones y Configuración.

Listas de permitidos para DMs y grupos

OpenClaw tiene dos capas separadas de “¿quién puede activarme?”:

Lista de permitidos de DM (allowFrom / channels.discord.allowFrom / channels.slack.allowFrom; heredado: channels.discord.dm.allowFrom, channels.slack.dm.allowFrom): quién tiene permiso para hablar con el bot en mensajes directos.
- Cuando dmPolicy="pairing", las aprobaciones se escriben en el almacén de listas de permitidos de emparejamiento con ámbito de cuenta bajo ~/.openclaw/credentials/ (<channel>-allowFrom.json para la cuenta predeterminada, <channel>-<accountId>-allowFrom.json para cuentas no predeterminadas), combinado con las listas de permitidas de configuración.
Lista de permitidos de grupo (específica del canal): de qué grupos/canales/gremios el bot aceptará mensajes en absoluto.
- Patrones comunes:
  - channels.whatsapp.groups, channels.telegram.groups, channels.imessage.groups: valores predeterminados por grupo como requireMention; cuando se establece, también actúa como una lista de permitidos del grupo (incluya "*" para mantener el comportamiento de permitir todo).
  - groupPolicy="allowlist" + groupAllowFrom: restringe quién puede activar el bot dentro de una sesión de grupo (WhatsApp/Telegram/Signal/iMessage/Microsoft Teams).
  - channels.discord.guilds / channels.slack.channels: listas de permitidas por superficie + valores predeterminados de mención.
- Las comprobaciones de grupo se ejecutan en este orden: listas de permitidas groupPolicy/grupo primero, activación por mención/respuesta en segundo lugar.
- Responder a un mensaje del bot (mención implícita) no omite las listas de permitidos del remitente como groupAllowFrom.
- Nota de seguridad: trate dmPolicy="open" y groupPolicy="open" como configuraciones de último recurso. Deben usarse apenas; prefiera emparejamiento + listas de permitidos a menos que confíe completamente en cada miembro de la sala.

Detalles: Configuración y Grupos

Inyección de instrucciones (qué es, por qué importa)

La inyección de instrucciones ocurre cuando un atacante crea un mensaje que manipula al modelo para que haga algo inseguro (“ignora tus instrucciones”, “vuelca tu sistema de archivos”, “sigue este enlace y ejecuta comandos”, etc.).

Incluso con instrucciones del sistema sólidas, la inyección de instrucciones no está resuelta. Las barreras de seguridad de las instrucciones del sistema son solo una guía suave; la aplicación estricta proviene de la política de herramientas, las aprobaciones de ejecución, el sandboxing y las listas de permitidas de canales (y los operadores pueden desactivarlas por diseño). Lo que ayuda en la práctica:

Mantenga los mensajes entrantes bloqueados (emparejamiento/listas de permitidos).
Prefiera el filtrado por mención en los grupos; evite bots “siempre activos” en salas públicas.
Trate los enlaces, los archivos adjuntos y las instrucciones pegadas como hostiles de forma predeterminada.
Ejecute la ejecución de herramientas confidenciales en un sandbox; mantenga los secretos fuera del sistema de archivos accesible para el agente.
Nota: el sandbox es opcional. Si el modo sandbox está desactivado, host=auto implícito se resuelve en el host de la puerta de enlace. host=sandbox explícito todavía falla de forma cerrada porque no hay un tiempo de ejecución de sandbox disponible. Establezca host=gateway si desea que ese comportamiento sea explícito en la configuración.
Limite las herramientas de alto riesgo (exec, browser, web_fetch, web_search) a agentes de confianza o listas de permitidos explícitas.
Si permite los intérpretes en la lista de permitidos (python, node, ruby, perl, php, lua, osascript), habilite tools.exec.strictInlineEval para que los formularios de evaluación en línea aún necesiten aprobación explícita.
El análisis de aprobación de shell también rechaza las formas de expansión de parámetros POSIX ($VAR, $?, $$, $1, $@, ${…}) dentro de heredocs sin comillas, por lo que un cuerpo de heredoc en la lista blanca no puede colar una expansión de shell más allá de la revisión de la lista blanca como texto plano. Ponga comillas al terminador del heredoc (por ejemplo, <<'EOF') para optar por la semántica de cuerpo literal; se rechazan los heredocs sin comillas que habrían expandido variables.
La elección del modelo importa: los modelos más pequeños/antiguos/heredados son significativamente menos robustos contra la inyección de indicaciones y el uso indebido de herramientas. Para los agentes con herramientas habilitadas, utilice el modelo más sólido de última generación y endurecido por instrucciones disponible.

Banderas rojas para tratar como no confiables:

“Lea este archivo/URL y haga exactamente lo que dice.”
“Ignore su indicación del sistema o reglas de seguridad.”
“Revele sus instrucciones ocultas o salidas de herramientas.”
“Pegue el contenido completo de ~/.openclaw o sus registros.”

Saneamiento de tokens especiales de contenido externo

OpenClaw elimina los literales de tokens especiales de plantillas de chat de LLM autohospedados comunes del contenido externo y los metadatos envueltos antes de que lleguen al modelo. Las familias de marcadores cubiertas incluyen Qwen/ChatML, Llama, Gemma, Mistral, Phi y tokens de rol/turno GPT-OSS.

Por qué:

Los backends compatibles con OpenAI que actúan de intermediario para modelos autoalojados a veces conservan tokens especiales que aparecen en el texto del usuario, en lugar de enmascararlos. De lo contrario, un atacante que pueda escribir en contenido externo entrante (una página obtenida, un cuerpo de correo electrónico, una salida de herramienta de contenidos de archivo) podría inyectar un límite de rol sintético assistant o system y escapar de las barreras de protección del contenido envuelto.
La sanitización ocurre en la capa de envoltura de contenido externo, por lo que se aplica de manera uniforme en las herramientas de obtención/lectura y el contenido de los canales entrantes, en lugar de ser específica de cada proveedor.
Las respuestas del modelo saliente ya tienen un desinfectante separado que elimina el andamiaje interno de tiempo de ejecución filtrado, como <tool_call>, <function_calls>, <system-reminder>, <previous_response> y otros similares, de las respuestas visibles para el usuario en el límite de entrega del canal final. El desinfectante de contenido externo es la contraparte entrante.

Esto no reemplaza el endurecimiento restante en esta página: dmPolicy, listas blancas, aprobaciones de ejecución, sandboxing y contextVisibility todavía realizan el trabajo principal. Cierra una omisión específica de la capa de tokenizador contra pilas autoalojadas que reenvían texto de usuario con tokens especiales intactos.

Banderas de derivación de contenido externo inseguro

OpenClaw incluye banderas de derivación explícitas que deshabilitan el envoltorio de seguridad de contenido externo:

hooks.mappings[].allowUnsafeExternalContent
hooks.gmail.allowUnsafeExternalContent
Campo de carga útil de Cron allowUnsafeExternalContent

Orientación:

Manténgalos sin establecer (unset) en false en producción.
Habilítelos solo temporalmente para depuración de alcance limitado.
Si están habilitados, aísle ese agente (sandbox + herramientas mínimas + espacio de nombres de sesión dedicado).

Nota de riesgo de Hooks:

Las cargas útiles de los hooks (webhooks) son contenido que no es de confianza, incluso cuando la entrega proviene de sistemas que controlas (el contenido de correo/documentos/web puede llevar inyección de indicaciones o prompts).
Los niveles de modelos débiles aumentan este riesgo. Para la automatización impulsada por hooks, prefiera niveles de modelos modernos y fuertes y mantenga la política de herramientas estricta (tools.profile: "messaging" o más estricta), además de sandboxing cuando sea posible.

La inyección de indicaciones no requiere mensajes directos públicos

Incluso si solo tú puedes enviar mensajes al bot, la inyección de indicaciones (prompt injection) aún puede ocurrir a través de cualquier contenido que no sea de confianza que lea el bot (resultados de búsqueda web/fetch, páginas del navegador, correos electrónicos, documentos, archivos adjuntos, registros/código pegados). En otras palabras: el remitente no es la única superficie de amenaza; el contenido en sí puede transportar instrucciones adversas.

Cuando se habilitan las herramientas, el riesgo típico es la filtración del contexto o la activación de llamadas a herramientas. Reduzca el radio de explosión:

Usando un agente de lector de solo lectura o con herramientas deshabilitadas para resumir el contenido que no es de confianza y luego pasar el resumen a su agente principal.
Mantener web_search / web_fetch / browser desactivado para los agentes con herramientas habilitadas, a menos que sea necesario.
Para las entradas de URL de OpenResponses (input_file / input_image), establezca gateway.http.endpoints.responses.files.urlAllowlist y gateway.http.endpoints.responses.images.urlAllowlist estrictas, y mantenga maxUrlParts bajo. Las listas de permitidos vacías se tratan como no definidas; use files.allowUrl: false / images.allowUrl: false si desea deshabilitar completamente la obtención de URL.
Para las entradas de archivo de OpenResponses, el texto input_file decodificado aún se inyecta como contenido externo no confiable. No confíe en que el texto del archivo sea confiable solo porque el Gateway lo decodificó localmente. El bloque inyectado todavía lleva marcadores de límite <<<EXTERNAL_UNTRUSTED_CONTENT ...>>> explícitos más metadatos Source: External, aunque esta ruta omite el banner más largo SECURITY NOTICE:.
Se aplica el mismo envoltorio basado en marcadores cuando la comprensión de medios extrae texto de documentos adjuntos antes de agregar ese texto al indicador de medios.
Habilitando el uso de sandbox (cámara de arena) y listas de permitidos (allowlists) estrictas de herramientas para cualquier agente que toque entradas que no sean de confianza.
Manteniendo los secretos fuera de los indicadores; páselos a través de env/config en el host de la Gateway en su lugar.

Backends de LLM autoalojados

Los backends autohospedados compatibles con OpenAI, como vLLM, SGLang, TGI, LM Studio o pilas de tokenizadores personalizadas de Hugging Face, pueden diferir de los proveedores alojados en la forma en que se manejan los tokens especiales de plantilla de chat. Si un backend tokeniza cadenas literales como <|im_start|>, <|start_header_id|> o <start_of_turn> como tokens estructurales de plantilla de chat dentro del contenido del usuario, el texto no confiable puede intentar falsificar los límites de roles a nivel del tokenizador.

OpenClaw elimina los literales de tokens especiales comunes de la familia de modelos del contenido externo envuelto antes de enviarlo al modelo. Mantenga activado el envoltorio de contenido externo y prefiera configuraciones de backend que dividan o escapen los tokens especiales en el contenido proporcionado por el usuario cuando estén disponibles. Los proveedores alojados como OpenAI y Anthropic ya aplican su propia saneación del lado de la solicitud.

Fortaleza del modelo (nota de seguridad)

La resistencia a la inyección de prompts no es uniforme en todos los niveles de modelos. Los modelos más pequeños/baratos son generalmente más susceptibles al uso indebido de herramientas y al secuestro de instrucciones, especialmente bajo prompts adversarios.

Recomendaciones:

Use el modelo de mejor nivel de la última generación para cualquier bot que pueda ejecutar herramientas o tocar archivos/redes.
No use niveles más antiguos/más débiles/más pequeños para agentes con herramientas habilitadas o bandejas de entrada no confiables; el riesgo de inyección de prompts es demasiado alto.
Si debe usar un modelo más pequeño, reduzca el radio de explosión (herramientas de solo lectura, sandboxing fuerte, acceso mínimo al sistema de archivos, listas de permitidos estrictas).
Al ejecutar modelos pequeños, active el sandboxing para todas las sesiones y desactive web_search/web_fetch/browser a menos que las entradas estén estrictamente controladas.
Para asistentes personales solo de chat con entradas confiables y sin herramientas, los modelos más pequeños generalmente están bien.

Razonamiento y salida detallada en grupos

/reasoning, /verbose y /trace pueden exponer el razonamiento interno, la salida de herramientas o el diagnóstico de complementos que no estaban destinados a un canal público. En entornos grupales, trátelos como solo para depuración y manténgalos desactivados a menos que los necesite explícitamente.

Guía:

Mantenga /reasoning, /verbose y /trace desactivados en las salas públicas.
Si los habilita, hágalo solo en MDs de confianza o salas estrictamente controladas.
Recuerde: la salida detallada y de traza puede incluir argumentos de herramientas, URL, diagnósticos de complementos y datos que vio el modelo.

Ejemplos de endurecimiento de configuración

Permisos de archivo

Mantenga la configuración + el estado privados en el host de la puerta de enlace:

~/.openclaw/openclaw.json: 600 (solo lectura/escritura del usuario)
~/.openclaw: 700 (solo usuario)

openclaw doctor puede advertir y ofrecer ajustar estos permisos.

Exposición de red (bind, puerto, firewall)

La puerta de enlace multiplexa WebSocket + HTTP en un solo puerto:

Predeterminado: 18789
Configuración/banderas/entorno: gateway.port, --port, OPENCLAW_GATEWAY_PORT

Esta superficie HTTP incluye la interfaz de usuario de control y el host del lienzo:

Interfaz de usuario de control (activos de SPA) (ruta base predeterminada /)
Anfitrión de Canvas: /__openclaw__/canvas/ y /__openclaw__/a2ui/ (HTML/JS arbitrario; tratar como contenido que no es de confianza)

Si carga contenido del lienzo en un navegador normal, trátelo como cualquier otra página web que no sea de confianza:

No exponga el host del lienzo a redes/usuarios que no sean de confianza.
No haga que el contenido del lienzo comparta el mismo origen que las superficies web con privilegios, a menos que comprenda completamente las implicaciones.

El modo de enlace controla dónde escucha la puerta de enlace:

gateway.bind: "loopback" (predeterminado): solo los clientes locales pueden conectarse.
Los enlaces que no son de bucle de retorno ("lan", "tailnet", "custom") amplían la superficie de ataque. Úselos solo con autenticación de puerta de enlace (token/contraseña compartido o un proxy de confianza configurado correctamente) y un firewall real.

Reglas generales:

Prefiera Tailscale Serve sobre los enlaces de LAN (Serve mantiene la puerta de enlace en el bucle de retorno y Tailscale maneja el acceso).
Si debe enlazar a la LAN, ponga un firewall al puerto con una lista de permitidos estricta de IPs de origen; no lo reenvíe ampliamente.
Nunca exponga la Gateway sin autenticación en 0.0.0.0.

Publicación de puertos Docker con UFW

Si ejecuta OpenClaw con Docker en un VPS, recuerde que los puertos publicados del contenedor (-p HOST:CONTAINER o Compose ports:) se enrutan a través de las cadenas de reenvío de Docker, no solo a través de las reglas INPUT del host.

Para mantener el tráfico de Docker alineado con su política de firewall, aplique reglas en DOCKER-USER (esta cadena se evalúa antes de las reglas de aceptación propias de Docker). En muchas distribuciones modernas, iptables/ip6tables usan el frontend iptables-nft y aún aplican estas reglas al backend nftables.

Ejemplo mínimo de lista de permitidos (IPv4):

# /etc/ufw/after.rules (append as its own *filter section)
*filter
:DOCKER-USER - [0:0]
-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
-A DOCKER-USER -s 127.0.0.0/8 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 192.168.0.0/16 -j RETURN
-A DOCKER-USER -s 100.64.0.0/10 -j RETURN
-A DOCKER-USER -p tcp --dport 80 -j RETURN
-A DOCKER-USER -p tcp --dport 443 -j RETURN
-A DOCKER-USER -m conntrack --ctstate NEW -j DROP
-A DOCKER-USER -j RETURN
COMMIT

IPv6 tiene tablas separadas. Agregue una política coincidente en /etc/ufw/after6.rules si IPv6 de Docker está habilitado.

Evite codificar nombres de interfaz como eth0 en los fragmentos de documentación. Los nombres de interfaz varían según las imágenes de VPS (ens3, enp*, etc.) y las discordancias pueden saltar accidentalmente su regla de denegación.

Validación rápida después de recargar:

ufw reload
iptables -S DOCKER-USER
ip6tables -S DOCKER-USER
nmap -sT -p 1-65535 <public-ip> --open

Los puertos externos esperados deben ser solo los que expongas intencionalmente (para la mayoría de las configuraciones: SSH + tus puertos de proxy inverso).

Descubrimiento mDNS/Bonjour

Cuando el complemento bonjour incluido está habilitado, la Gateway transmite su presencia a través de mDNS (_openclaw-gw._tcp en el puerto 5353) para el descubrimiento de dispositivos locales. En modo completo, esto incluye registros TXT que pueden exponer detalles operativos:

cliPath: ruta completa del sistema de archivos al binario de la CLI (revela el nombre de usuario y la ubicación de instalación)
sshPort: anuncia la disponibilidad de SSH en el host
displayName, lanHost: información del nombre de host

Consideración de seguridad operativa: La transmisión de detalles de la infraestructura facilita el reconocimiento para cualquier persona en la red local. Incluso la información “inofensiva” como las rutas del sistema de archivos y la disponibilidad de SSH ayuda a los atacantes a mapear su entorno.

Recomendaciones:

Mantén Bonjour deshabilitado a menos que se necesite el descubrimiento de LAN. Bonjour se inicia automáticamente en hosts macOS y es opcional en otros lugares; las URL directas del Gateway, Tailnet, SSH o DNS-SD de área amplia evitan el multicast local.
Modo mínimo (predeterminado cuando Bonjour está activado, recomendado para gateways expuestos): omitir campos confidenciales de las difusiones mDNS:
```
{
  discovery: {
    mdns: { mode: "minimal" },
  },
}
```
Modo desactivar mDNS si desea mantener el complemento activado pero suprimir el descubrimiento de dispositivos locales:
```
{
  discovery: {
    mdns: { mode: "off" },
  },
}
```
Modo completo (opcional): incluir cliPath + sshPort en los registros TXT:
```
{
  discovery: {
    mdns: { mode: "full" },
  },
}
```
Variable de entorno (alternativa): establezca OPENCLAW_DISABLE_BONJOUR=1 para deshabilitar mDNS sin cambios en la configuración.

Cuando Bonjour está habilitado en modo mínimo, la Gateway transmite lo suficiente para el descubrimiento de dispositivos (role, gatewayPort, transport) pero omite cliPath y sshPort. Las aplicaciones que necesitan información de la ruta de la CLI pueden obtenerla a través de la conexión WebSocket autenticada en su lugar.

Asegurar el WebSocket del Gateway (autenticación local)

La autenticación del Gateway es obligatoria por defecto. Si no se configura ninguna ruta de autenticación de gateway válida, el Gateway rechaza las conexiones WebSocket (fail-closed).

El proceso de incorporación genera un token por defecto (incluso para bucle local), por lo que los clientes locales deben autenticarse.

Establezca un token para que todos los clientes de WS deban autenticarse:

{
  gateway: {
    auth: { mode: "token", token: "your-token" },
  },
}

Doctor puede generar uno para usted: openclaw doctor --generate-gateway-token.

Opcional: ancle el TLS remoto con gateway.remote.tlsFingerprint cuando use wss://. Se acepta ws:// en texto plano para loopback, literales de IP privada, .local y URL de gateway Tailnet *.ts.net. Para otros nombres DNS privados de confianza, establezca OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1 en el proceso del cliente como medida de emergencia. Esto es intencionalmente solo del entorno del proceso, no una clave de configuración openclaw.json. El emparejamiento móvil y las rutas de gateway manuales o escaneadas de Android son más estrictas: se acepta texto claro para loopback, pero las LAN privadas, de enlace local, .local y los nombres de host sin punto deben usar TLS, a menos que opte explícitamente por la ruta de texto claro de red privada de confianza.

Emparejamiento de dispositivo local:

El emparejamiento del dispositivo se autoaprueba para las conexiones directas de bucle local para mantener a los clientes del mismo host sin problemas.
OpenClaw también tiene una ruta estrecha de autoconexión local de backend/contenedor para flujos de ayuda (helper) de secreto compartido confiables.
Las conexiones Tailnet y LAN, incluidos los enlaces Tailnet del mismo host, se tratan como remotas para el emparejamiento y aún necesitan aprobación.
La evidencia de encabezados reenviados en una solicitud de loopback descalifica la localidad de loopback. La autoaprobación de actualización de metadatos tiene un alcance limitado. Vea Emparejamiento de gateway para ambas reglas.

Modos de autenticación:

gateway.auth.mode: "token": token de portador compartido (recomendado para la mayoría de las configuraciones).
gateway.auth.mode: "password": autenticación por contraseña (prefiera establecer a través de env: OPENCLAW_GATEWAY_PASSWORD).
gateway.auth.mode: "trusted-proxy": confíe en un proxy inverso con reconocimiento de identidad para autenticar usuarios y pasar la identidad a través de encabezados (consulte Trusted Proxy Auth).

Lista de verificación de rotación (token/contraseña):

Genere/establezca un nuevo secreto (gateway.auth.token o OPENCLAW_GATEWAY_PASSWORD).
Reinicie la puerta de enlace (o reinicie la aplicación de macOS si supervisa la puerta de enlace).
Actualice cualquier cliente remoto (gateway.remote.token / .password en las máquinas que llaman al Gateway).
Verifique que ya no pueda conectarse con las credenciales antiguas.

Encabezados de identidad de Tailscale Serve

Cuando gateway.auth.allowTailscale es true (predeterminado para Serve), OpenClaw acepta los encabezados de identidad de Tailscale Serve (tailscale-user-login) para la autenticación de Control UI/WebSocket. OpenClaw verifica la identidad resolviendo la dirección x-forwarded-for a través del demonio local de Tailscale (tailscale whois) y coincidiéndola con el encabezado. Esto solo se activa para las solicitudes que llegan al loopback e incluyen x-forwarded-for, x-forwarded-proto y x-forwarded-host como inyectados por Tailscale. Para esta ruta de verificación de identidad asincrónica, los intentos fallidos para el mismo {scope, ip} se serializan antes de que el limitador registre el fallo. Por lo tanto, los reintentos incorrectos simultáneos de un cliente Serve pueden bloquear el segundo intento inmediatamente en lugar de competir como dos simples discordancias. Los puntos finales de la API HTTP (por ejemplo /v1/*, /tools/invoke y /api/channels/*) no utilizan la autenticación por encabezado de identidad de Tailscale. Todavía siguen el modo de autenticación HTTP configurado en el gateway.

Nota importante sobre el límite:

La autenticación HTTP bearer de la puerta de enlace es efectivamente un acceso de operador de todo o nada.
Trate las credenciales que pueden llamar a /v1/chat/completions, /v1/responses, rutas de complementos como /api/v1/admin/rpc, o /api/channels/* como secretos de operador de acceso completo para ese gateway.
En la superficie HTTP compatible con OpenAI, la autenticación de portador de secreto compartido restaura los alcances predeterminados completos del operador (operator.admin, operator.approvals, operator.pairing, operator.read, operator.talk.secrets, operator.write) y la semántica de propietario para los turnos del agente; los valores x-openclaw-scopes más estrechos no reducen esa ruta de secreto compartido.
La semántica de ámbito por solicitud en HTTP solo se aplica cuando la solicitud proviene de un modo con identidad, como la autenticación de proxy de confianza, o desde un ingreso privado explícitamente sin autenticación.
En esos modos con identidad, omitir x-openclaw-scopes vuelve al conjunto de alcances predeterminados del operador normal; envíe el encabezado explícitamente cuando desee un conjunto de alcances más estrecho.
/tools/invoke sigue la misma regla de secreto compartido: la autenticación de portador con token/contraseña también se trata como acceso de operador completo allí, mientras que los modos con identidad todavía respetan los alcances declarados.
No comparta estas credenciales con llamadores no confiables; prefiera puertas de enlace separadas por límite de confianza.

Supuesto de confianza: la autenticación Serve sin token asume que el host de la puerta de enlace es confiable. No trate esto como protección contra procesos hostiles en el mismo host. Si código local no confiable puede ejecutarse en el host de la puerta de enlace, desactive gateway.auth.allowTailscale y requiera autenticación explícita de secreto compartido con gateway.auth.mode: "token" o "password".

Regla de seguridad: no reenvíe estos encabezados desde su propio proxy inverso. Si termina TLS o usa un proxy frente a la puerta de enlace, desactive gateway.auth.allowTailscale y use autenticación de secreto compartido (gateway.auth.mode: "token" or "password") o Autenticación de proxy de confianza en su lugar.

Proxies de confianza:

Si termina TLS frente a la Gateway, establezca gateway.trustedProxies a las IPs de su proxy.
OpenClaw confiará en x-forwarded-for (o x-real-ip) de esas IPs para determinar la IP del cliente para verificaciones de emparejamiento local y verificaciones de autenticación/local HTTP.
Asegúrese de que su proxy sobrescriba x-forwarded-for y bloquee el acceso directo al puerto de la Gateway.

Consulte Tailscale y Resumen web.

Control del navegador a través del host del nodo (recomendado)

Si su Gateway está remoto pero el navegador se ejecuta en otra máquina, ejecute un node host en la máquina del navegador y deje que el Gateway actúe como proxy para las acciones del navegador (consulte Browser tool). Trate el emparejamiento de nodos como un acceso de administrador.

Patrón recomendado:

Mantenga la Puerta de enlace y el host del nodo en la misma tailnet (Tailscale).
Empareje el nodo intencionalmente; deshabilite el enrutamiento del proxy del navegador si no lo necesita.

Evitar:

Exponer puertos de retransmisión/control a través de la LAN o Internet pública.
Tailscale Funnel para puntos finales de control del navegador (exposición pública).

Secretos en disco

Asuma que cualquier elemento bajo ~/.openclaw/ (o $OPENCLAW_STATE_DIR/) puede contener secretos o datos privados:

openclaw.json: la configuración puede incluir tokens (gateway, gateway remoto), configuración del proveedor y listas de permitidos (allowlists).
credentials/**: credenciales del canal (ejemplo: credenciales de WhatsApp), listas de permitidos para emparejamiento (pairing allowlists), importaciones heredadas de OAuth.
agents/<agentId>/agent/auth-profiles.json: claves de API, perfiles de token, tokens de OAuth y keyRef/tokenRef opcionales.
agents/<agentId>/agent/codex-home/**: cuenta del servidor de aplicaciones (app-server) de Codex por agente, configuración, habilidades (skills), complementos (plugins), estado del subproceso nativo y diagnósticos.
secrets.json (opcional): carga útil de secretos respaldada en archivo utilizada por los proveedores SecretRef de file (secrets.providers).
agents/<agentId>/agent/auth.json: archivo de compatibilidad heredada. Las entradas estáticas de api_key se eliminan (scrubbed) cuando se descubren.
agents/<agentId>/sessions/**: transcripciones de sesión (*.jsonl) + metadatos de enrutamiento (sessions.json) que pueden contener mensajes privados y resultados de herramientas.
paquetes de complementos (plugins) incluidos: complementos instalados (más sus node_modules/).
sandboxes/**: espacios de trabajo de la caja de arena (sandbox) de herramientas; pueden acumular copias de los archivos que lee/escribe dentro de la caja de arena.

Consejos de endurecimiento:

Mantenga los permisos estrictos (700 en directorios, 600 en archivos).
Use cifrado de disco completo en el host de la puerta de enlace.
Prefiera una cuenta de usuario de sistema operativo dedicada para la puerta de enlace si el host es compartido.

Archivos `.env` del espacio de trabajo

OpenClaw carga archivos .env locales del espacio de trabajo para agentes y herramientas, pero nunca permite que esos archivos anulen silenciosamente los controles de tiempo de ejecución del gateway.

Cualquier clave que comience con OPENCLAW_* está bloqueada para los archivos .env de espacios de trabajo que no son de confianza.
La configuración del endpoint del canal para Matrix, Mattermost, IRC y Synology Chat también está bloqueada en las anulaciones del espacio de trabajo .env, por lo que los espacios de trabajo clonados no pueden redirigir el tráfico del conector empaquetado a través de la configuración del endpoint local. Las claves de entorno del endpoint (como MATRIX_HOMESERVER, MATTERMOST_URL, IRC_HOST, SYNOLOGY_CHAT_INCOMING_URL) deben provenir del entorno de proceso de la puerta de enlace o env.shellEnv, no de un .env cargado por el espacio de trabajo.
El bloqueo es de fallo cerrado: una nueva variable de control de tiempo de ejecución añadida en una versión futura no se puede heredar de un .env verificado o proporcionado por un atacante; la clave se ignora y la puerta de enlace mantiene su propio valor.
Las variables de entorno de procesos/SO de confianza (el propio shell de la puerta de enlace, la unidad launchd/systemd, el paquete de la aplicación) siguen aplicándose; esto solo restringe la carga de archivos .env.

Por qué: los archivos .env del espacio de trabajo frecuentemente residen junto al código del agente, se confirman por accidente o son escritos por herramientas. Bloquear todo el prefijo OPENCLAW_* significa que agregar un nuevo indicador OPENCLAW_* más tarde nunca puede retroceder a una herencia silenciosa desde el estado del espacio de trabajo.

Registros y transcripciones (redacción y retención)

Los registros y las transcripciones pueden filtrar información confidencial incluso cuando los controles de acceso son correctos:

Los registros de la puerta de enlace pueden incluir resúmenes de herramientas, errores y URL.
Las transcripciones de la sesión pueden incluir secretos pegados, contenidos de archivos, salidas de comandos y enlaces.

Recomendaciones:

Mantenga la redacción de registros y transcripciones activada (logging.redactSensitive: "tools"; por defecto).
Agregue patrones personalizados para su entorno a través de logging.redactPatterns (tokens, nombres de host, URLs internas).
Al compartir diagnósticos, prefiera openclaw status --all (pegable, secretos redactados) sobre los registros sin procesar.
Elimine las transcripciones de sesión antiguas y los archivos de registro si no necesita una retención prolongada.

Detalles: Registro de日志

MD: emparejamiento por defecto

{
  channels: { whatsapp: { dmPolicy: "pairing" } },
}

Grupos: requerir mención en todas partes

{
  "channels": {
    "whatsapp": {
      "groups": {
        "*": { "requireMention": true }
      }
    }
  },
  "agents": {
    "list": [
      {
        "id": "main",
        "groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] }
      }
    ]
  }
}

En los chats grupales, solo responda cuando se le mencione explícitamente.

Números separados (WhatsApp, Signal, Telegram)

Para los canales basados en números de teléfono, considera ejecutar tu IA en un número de teléfono separado de tu número personal:

Número personal: Tus conversaciones permanecen privadas
Número de bot: La IA maneja estos, con los límites apropiados

Modo de solo lectura (vía sandbox y herramientas)

Puedes crear un perfil de solo lectura combinando:

agents.defaults.sandbox.workspaceAccess: "ro" (o "none" para sin acceso al espacio de trabajo)
Listas de permitidos/denegados de herramientas que bloquean write, edit, apply_patch, exec, process, etc.

Opciones de endurecimiento adicionales:

tools.exec.applyPatch.workspaceOnly: true (predeterminado): garantiza que apply_patch no pueda escribir/eliminar fuera del directorio del espacio de trabajo incluso cuando el sandbox está desactivado. Establézcalo en false solo si intencionalmente desea que apply_patch toque archivos fuera del espacio de trabajo.
tools.fs.workspaceOnly: true (opcional): restringe las rutas read/write/edit/apply_patch y las rutas de carga automática de imágenes de indicaciones nativas al directorio del espacio de trabajo (útil si permite rutas absolutas hoy y desea una sola barrera de protección).
Mantenga las raíces del sistema de archivos estrechas: evite raíces amplias como su directorio de inicio para espacios de trabajo de agente/espacios de trabajo de sandbox. Las raíces amplias pueden exponer archivos locales sensibles (por ejemplo, estado/configuración bajo ~/.openclaw) a las herramientas del sistema de archivos.

Línea base segura (copiar/pegar)

Una configuración de “predeterminado seguro” que mantiene el Gateway privado, requiere emparejamiento por MD y evita bots de grupo siempre activos:

{
  gateway: {
    mode: "local",
    bind: "loopback",
    port: 18789,
    auth: { mode: "token", token: "your-long-random-token" },
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } },
    },
  },
}

Si también quieres una ejecución de herramientas “más segura por defecto”, agrega un sandbox + deniega herramientas peligrosas para cualquier agente que no sea el propietario (ejemplo a continuación en “Perfiles de acceso por agente”).

Línea base integrada para turnos de agente impulsados por chat: los remitentes que no son propietarios no pueden utilizar las herramientas cron o gateway.

Sandboxing (recomendado)

Documento dedicado: Sandboxing

Dos enfoques complementarios:

Ejecute el Gateway completo en Docker (límite del contenedor): Docker
Sandbox de herramientas (agents.defaults.sandbox, gateway host + herramientas aisladas en sandbox; Docker es el backend predeterminado): Sandboxing

Considere también el acceso al espacio de trabajo del agente dentro del espacio aislado:

agents.defaults.sandbox.workspaceAccess: "none" (predeterminado) mantiene el espacio de trabajo del agente fuera de límites; las herramientas se ejecutan contra un espacio de trabajo de sandbox bajo ~/.openclaw/sandboxes
agents.defaults.sandbox.workspaceAccess: "ro" monta el espacio de trabajo del agente como de solo lectura en /agent (desactiva write/edit/apply_patch)
agents.defaults.sandbox.workspaceAccess: "rw" monta el espacio de trabajo del agente como lectura/escritura en /workspace
Los sandbox.docker.binds adicionales se validan frente a rutas de origen normalizadas y canónicas. Los trucos de enlaces simbólicos principales y los alias de inicio canónicos aún fallan de forma segura si se resuelven en raíces bloqueadas como /etc, /var/run o directorios de credenciales bajo el directorio principal del sistema operativo.

Guarda rail de delegación de subagentes

Si permite herramientas de sesión, trate las ejecuciones de subagentes delegados como otra decisión de límite:

Deniegue sessions_spawn a menos que el agente realmente necesite delegación.
Mantenga agents.defaults.subagents.allowAgents y cualquier anulación agents.list[].subagents.allowAgents por agente restringida a agentes de destino conocidos como seguros.
Para cualquier flujo de trabajo que deba permanecer en sandbox, llame a sessions_spawn con sandbox: "require" (el valor predeterminado es inherit).
sandbox: "require" falla rápidamente cuando el tiempo de ejecución del hijo de destino no está en sandbox.

Riesgos del control del navegador

Habilitar el control del navegador otorga al modelo la capacidad de controlar un navegador real. Si ese perfil de navegador ya contiene sesiones iniciadas, el modelo puede acceder a esas cuentas y datos. Trate los perfiles del navegador como estado confidencial:

Prefiera un perfil dedicado para el agente (el perfil openclaw predeterminado).
Evite dirigir el agente a su perfil personal de uso diario.
Mantenga el control del navegador del host deshabilitado para los agentes en sandbox a menos que confíe en ellos.
La API de control del navegador de bucle invertido (loopback) independiente solo respeta la autenticación de secreto compartido (autenticación de portador de token de puerta de enlace o contraseña de puerta de enlace). No consume encabezados de identidad de proxy de confianza (trusted-proxy) ni de Tailscale Serve.
Trate las descargas del navegador como entrada que no es de confianza; prefiera un directorio de descargas aislado.
Deshabilite la sincronización del navegador/gestores de contraseñas en el perfil del agente si es posible (reduce el radio de explosión).
Para las puertas de enlace remotas, asuma que el “control del navegador” es equivalente al “acceso del operador” a cualquier cosa a la que ese perfil pueda llegar.
Mantenga los hosts de la puerta de enlace y del nodo solo en tailnet; evite exponer los puertos de control del navegador a la LAN o a Internet pública.
Deshabilite el enrutamiento del proxy del navegador cuando no lo necesite (gateway.nodes.browser.mode="off").
El modo de sesión existente de Chrome MCP no es “más seguro”; puede actuar como usted en cualquier cosa a la que el perfil de Chrome de ese host pueda acceder.

Política de SSRF del navegador (estricta de forma predeterminada)

La política de navegación del navegador de OpenClaw es estricta de forma predeterminada: los destinos privados/internos permanecen bloqueados a menos que usted lo acepte explícitamente.

Predeterminado: browser.ssrfPolicy.dangerouslyAllowPrivateNetwork no está configurado, por lo que la navegación del navegador mantiene los destinos privados/internos/de uso especial bloqueados.
Alias heredado: browser.ssrfPolicy.allowPrivateNetwork todavía se acepta por compatibilidad.
Modo de participación: configure browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: true para permitir destinos privados/internos/de uso especial.
En modo estricto, use hostnameAllowlist (patrones como *.example.com) y allowedHostnames (excepciones de host exactas, incluidos nombres bloqueados como localhost) para excepciones explícitas.
La navegación se verifica antes de la solicitud y se vuelve a verificar con el mejor esfuerzo en la URL final http(s) después de la navegación para reducir los pivotes basados en redirecciones.

Ejemplo de política estricta:

{
  browser: {
    ssrfPolicy: {
      dangerouslyAllowPrivateNetwork: false,
      hostnameAllowlist: ["*.example.com", "example.com"],
      allowedHostnames: ["localhost"],
    },
  },
}

Perfiles de acceso por agente (multiagente)

Con el enrutamiento multiagente, cada agente puede tener su propia política de sandbox + herramientas: use esto para dar acceso completo, solo lectura o sin acceso por agente. Consulte Multi-Agent Sandbox & Tools para obtener detalles completos y reglas de precedencia.

Casos de uso comunes:

Agente personal: acceso total, sin espacio aislado
Agente familiar/de trabajo: espacio aislado + herramientas de solo lectura
Agente público: espacio aislado + sin herramientas de sistema de archivos/shell

Ejemplo: acceso total (sin espacio aislado)

{
  agents: {
    list: [
      {
        id: "personal",
        workspace: "~/.openclaw/workspace-personal",
        sandbox: { mode: "off" },
      },
    ],
  },
}

Ejemplo: herramientas de solo lectura + espacio de trabajo de solo lectura

{
  agents: {
    list: [
      {
        id: "family",
        workspace: "~/.openclaw/workspace-family",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "ro",
        },
        tools: {
          allow: ["read"],
          deny: ["write", "edit", "apply_patch", "exec", "process", "browser"],
        },
      },
    ],
  },
}

Ejemplo: sin acceso al sistema de archivos/shell (mensajería del proveedor permitida)

{
  agents: {
    list: [
      {
        id: "public",
        workspace: "~/.openclaw/workspace-public",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "none",
        },
        // Session tools can reveal sensitive data from transcripts. By default OpenClaw limits these tools
        // to the current session + spawned subagent sessions, but you can clamp further if needed.
        // See `tools.sessions.visibility` in the configuration reference.
        tools: {
          sessions: { visibility: "tree" }, // self | tree | agent | all
          allow: ["sessions_list", "sessions_history", "sessions_send", "sessions_spawn", "session_status", "whatsapp", "telegram", "slack", "discord"],
          deny: ["read", "write", "edit", "apply_patch", "exec", "process", "browser", "canvas", "nodes", "cron", "gateway", "image"],
        },
      },
    ],
  },
}

Respuesta a incidentes

Si tu IA hace algo malo:

Contener

Deténgalo: detenga la aplicación de macOS (si supervisa el Gateway) o termine su proceso openclaw gateway.
Cerrar la exposición: establezca gateway.bind: "loopback" (o deshabilite Tailscale Funnel/Serve) hasta que entienda qué sucedió.
Congelar acceso: cambie los MDs/grupos de riesgo a dmPolicy: "disabled" / exija menciones y elimine las entradas de permitir todo "*" si las tenía.

Rotar (asumir compromiso si se filtraron secretos)

Rote la autenticación del Gateway (gateway.auth.token / OPENCLAW_GATEWAY_PASSWORD) y reinicie.
Rote los secretos del cliente remoto (gateway.remote.token / .password) en cualquier máquina que pueda llamar al Gateway.
Rote las credenciales del proveedor/API (credenciales de WhatsApp, tokens de Slack/Discord, claves de modelo/API en auth-profiles.json y valores de carga útil de secretos cifrados cuando se usan).

Auditoría

Verifique los registros del Gateway: /tmp/openclaw/openclaw-YYYY-MM-DD.log (o logging.file).
Revise la(s) transcripción(es) relevante(s): ~/.openclaw/agents/<agentId>/sessions/*.jsonl.
Revise los cambios recientes en la configuración (cualquier cosa que podría haber ampliado el acceso: gateway.bind, gateway.auth, políticas de dm/grupo, tools.elevated, cambios de complementos).
Vuelva a ejecutar openclaw security audit --deep y confirme que los hallazgos críticos se han resuelto.

Recopilar para un informe

Marca de tiempo, sistema operativo del host de la puerta de enlace + versión de OpenClaw
La(s) transcripción(es) de la sesión + un registro corto de registros (después de redactar)
Lo que envió el atacante + lo que hizo el agente
Si la puerta de enlace estaba expuesta más allá del bucle local (LAN/Tailscale Funnel/Serve)

Escaneo de secretos

CI ejecuta el enlace detect-private-key de confirmación previa sobre el repositorio. Si falla, elimine o rote el material de clave confirmado, luego reproduzca localmente:

pre-commit run --all-files detect-private-key

Informar de problemas de seguridad

¿Ha encontrado una vulnerabilidad en OpenClaw? Por favor, informe de forma responsable:

Correo electrónico: [email protected]
No lo haga público hasta que se solucione
Le daremos crédito (a menos que prefiera el anonimato)