安全

范围优先：个人助手安全模型

OpenClaw 安全指南假设采用 个人助手 部署模式：一个可信操作员边界，潜在有多个代理。

支持的安全姿态：每个 Gateway(网关) 一个用户/信任边界（建议每个边界使用一个操作系统用户/主机/VPS）。
不支持的安全边界：由互不信任或对抗性用户共享的一个 Gateway(网关)/代理。
如果需要对抗性用户隔离，请按信任边界拆分（独立的 Gateway(网关) + 凭证，理想情况下是独立的操作系统用户/主机）。
如果多个不受信任的用户可以向一个启用工具的代理发送消息，请将他们视为为该代理共享相同的委托工具权限。

本页面解释 在该模型内 的加固方法。它不声明在一个共享 Gateway(网关) 上实现敌对多租户隔离。

快速检查： `openclaw security audit`

定期运行此操作（特别是在更改配置或暴露网络表面之后）：

openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --json

它会标记常见的常见陷阱（Gateway(网关) 身份验证暴露、浏览器控制暴露、提升的允许列表、文件系统权限、宽松的执行批准以及开放渠道工具暴露）。

OpenClaw 既是一个产品也是一个实验：您正在将前沿模型的行为连接到真实的消息传递表面和真实的工具中。没有“绝对安全”的设置。 目的是审慎对待：

谁可以与您的机器人对话
允许机器人在哪里执行操作
机器人可以触及什么

从仍然可行的最小权限开始，然后在建立信心后再逐步扩大权限。

部署和主机信任

OpenClaw 假定主机和配置边界是可信的：

如果有人可以修改 Gateway(网关) 主机状态/配置（~/.openclaw，包括 openclaw.json），请将其视为受信任的操作员。
为多个互不信任/敌对的操作员运行一个 Gateway(网关) 不是推荐的设置。
对于混合信任团队，请使用独立的 Gateway(网关)（或至少独立的操作系统用户/主机）来划分信任边界。
推荐的默认设置：每台机器/主机（或 VPS）一个用户，该用户一个网关，以及该网关中的一个或多个代理。
在一个 Gateway(网关) 实例内，经过身份验证的操作员访问是受信任的控制平面角色，而不是每用户租户角色。
会话标识符（sessionKey、会话 ID、标签）是路由选择器，而非授权令牌。
如果多个人可以向一个启用工具的代理发送消息，他们每个人都可以控制该相同的权限集。每用户会话/内存隔离有助于保护隐私，但不会将共享代理转换为每用户主机授权。

共享 Slack 工作区：真实风险

如果“Slack 中的每个人都可以向该机器人发送消息”，核心风险在于委托的工具权限：

任何允许的发送者都可以在代理策略范围内诱使工具调用（exec、浏览器、网络/文件工具）；
来自一个发送者的提示/内容注入可能会导致影响共享状态、设备或输出的操作；
如果一个共享代理拥有敏感凭证/文件，任何允许的发送者都可能通过工具使用驱动数据外泄。

对于团队工作流，请使用具有最少工具的独立代理/Gateway(网关)；将个人数据代理设为私有。

公司共享代理：可接受的模式

当使用该代理的每个人都处于同一信任边界内（例如一个公司团队）并且该代理严格限定于业务范围时，这是可接受的。

在专用机器/VM/容器上运行它；
为该运行时使用专用操作系统用户 + 专用浏览器/配置文件/帐户；
不要将该运行时登录到个人 Apple/Google 帐户或个人密码管理器/浏览器配置文件中。

如果您在同一运行时上混合使用个人和公司身份，您将打破隔离并增加个人数据暴露风险。

Gateway(网关) 和节点信任概念

将 Gateway(网关) 和节点视为一个操作员信任域，具有不同的角色：

Gateway(网关) 是控制平面和策略表面 (gateway.auth、工具策略、路由)。
Node 是与该 Gateway(网关) 配对的远程执行表面（命令、设备操作、主机本地能力）。
通过 Gateway(网关) 身份验证的调用者在 Gateway(网关) 范围内受信任。配对后，节点操作是该节点上受信任的操作者操作。
sessionKey 是路由/上下文选择，而非每用户身份验证。
执行批准（允许列表 + 询问）是操作者意图的护栏，而非对抗性的多租户隔离。
执行批准绑定确切的请求上下文和尽力而为的直接本地文件操作数；它们不会在语义上为每个运行时/解释器加载器路径建模。使用沙箱隔离和主机隔离来建立强边界。

如果您需要对抗性用户隔离，请按操作系统用户/主机拆分信任边界，并运行单独的 Gateway(网关)。

信任边界矩阵

在分类风险时将其用作快速模型：

边界或控制	含义	常见误解
`gateway.auth` (令牌/密码/设备身份验证)	向 Gateway(网关) API 验证调用者	“需要在每个帧上都有每消息签名才能安全”
`sessionKey`	用于上下文/会话选择的路由键	“会话密钥是用户身份验证边界”
提示词/内容护栏	降低模型滥用风险	“仅提示词注入即证明身份验证被绕过”
`canvas.eval` / 浏览器评估	启用时的有意的操作者能力	“任何 JS 评估原语在此信任模型中自动构成漏洞”
本地 TUI `!` shell	显式的操作者触发的本地执行	“本地 shell 便捷命令是远程注入”
节点配对和节点命令	配对设备上的操作者级远程执行	“默认情况下，远程设备控制应被视为不受信任的用户访问”

设计上而非漏洞

这些模式经常被报告，除非显示真正的边界绕过，否则通常会作为无需操作而关闭：

没有策略/身份验证/沙箱绕过的仅提示词注入链。
假设在一个共享主机/配置上进行对抗性多租户操作的主张。
在共享 Gateway(网关) 设置中，将正常的操作员读取路径访问（例如 sessions.list/sessions.preview/chat.history）归类为 IDOR 的说法。
仅限本地主机的部署发现（例如仅环回 Gateway(网关) 上的 HSTS）。
针对此仓库中不存在的入站路径的 Discord 入站 Webhook 签名发现。
将节点配对元数据视为 system.run 的隐藏的每命令二次批准层的报告，而实际的执行边界仍然是 Gateway(网关) 的全局节点命令策略加上节点自己的执行批准。
“缺少每用户授权”的发现，这些发现将 sessionKey 视为身份验证令牌。

研究人员预检清单

在提交 GHSA 之前，请验证以下所有内容：

复现问题在最新的 main 或最新版本上仍然存在。
报告包含确切的代码路径（file、函数、行范围）和经过测试的版本/提交。
影响跨越了记录在案的信任边界（不仅仅是提示注入）。
该声明未列在范围外中。
已检查现有公告以查找重复项（如适用，请重用规范的 GHSA）。
部署假设是明确的（环回/本地 vs 暴露，受信任 vs 不受信任的操作员）。

60 秒建立强化基线

首先使用此基线，然后针对受信任的代理选择性地重新启用工具：

{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "replace-with-long-random-token" },
  },
  session: {
    dmScope: "per-channel-peer",
  },
  tools: {
    profile: "messaging",
    deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
    fs: { workspaceOnly: true },
    exec: { security: "deny", ask: "always" },
    elevated: { enabled: false },
  },
  channels: {
    whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } },
  },
}

这将 Gateway(网关) 保持为仅本地，隔离私信，并在默认情况下禁用控制平面/运行时工具。

共享收件箱快速规则

如果不止一个人可以私信你的机器人：

设置 session.dmScope: "per-channel-peer"（或针对多账户频道设置 "per-account-channel-peer"）。
保持 dmPolicy: "pairing" 或严格的允许列表。
切勿将共享私信与广泛的工具访问权限结合使用。
这加强了协作/共享收件箱的安全性，但并非设计用于当用户共享主机/配置写入权限时的恶意共同租户隔离。

审计检查的内容（高层级）

入站访问（私信策略、组策略、允许列表）：陌生人能否触发机器人？
工具攻击半径（特权工具 + 开放房间）：提示注入是否会转变为 Shell/文件/网络操作？
执行审批漂移 (security=full, autoAllowSkills, 不含 strictInlineEval 的解释器允许列表)：主机执行的防护措施是否仍在按预期工作？
网络暴露 (Gateway(网关) 绑定/身份验证, Tailscale Serve/Funnel, 弱/短身份验证令牌)。
浏览器控制暴露 (远程节点, 中继端口, 远程 CDP 端点)。
本地磁盘卫生 (权限, 符号链接, 配置包含, “同步文件夹”路径)。
插件 (扩展程序在没有明确允许列表的情况下存在)。
策略漂移/配置错误 (配置了沙箱 docker 设置但沙箱模式已关闭；gateway.nodes.denyCommands 模式无效，因为匹配仅针对精确命令名称 (例如 system.run) 且不检查 shell 文本；危险的 gateway.nodes.allowCommands 条目；全局 tools.profile="minimal" 被每个代理的配置文件覆盖；扩展插件工具在宽松的工具策略下可访问)。
运行时期望漂移 (例如，假设隐式执行仍意味着 sandbox，而 tools.exec.host 现在默认为 auto，或者在沙箱模式关闭时显式设置 tools.exec.host="sandbox")。
模型卫生 (当配置的模型看起来是旧版本时发出警告；这不是硬性阻止)。

如果运行 --deep，OpenClaw 也会尝试尽最大努力进行实时 Gateway(网关) 探测。

凭据存储映射

在审计访问权限或决定要备份的内容时使用此功能：

WhatsApp: ~/.openclaw/credentials/whatsapp/<accountId>/creds.json
Telegram 机器人令牌: config/env 或 channels.telegram.tokenFile (仅限常规文件；拒绝符号链接)
Discord 机器人令牌: config/env 或 SecretRef (env/file/exec 提供程序)
Slack 令牌: config/env (channels.slack.*)
配对允许列表：
- ~/.openclaw/credentials/<channel>-allowFrom.json (默认账户)
- ~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json (非默认账户)
模型身份验证配置文件: ~/.openclaw/agents/<agentId>/agent/auth-profiles.json
文件支持的密钥有效负载 (可选): ~/.openclaw/secrets.json
旧版 OAuth 导入: ~/.openclaw/credentials/oauth.json

安全审计清单

当审计输出结果时，请将其视为优先处理顺序：

任何“开放”状态 + 启用了工具：首先锁定私信/群组（配对/允许列表），然后收紧工具策略/沙箱隔离。
公共网络暴露（LAN 绑定、Funnel、缺少身份验证）：立即修复。
浏览器控制远程暴露：将其视为操作员访问权限（仅限 tailnet、有目的地配对节点、避免公共暴露）。
权限：确保状态/配置/凭据/身份验证不是组/其他人可读的。
插件/扩展：仅加载您明确信任的内容。
模型选择：对于任何带有工具的机器人，首选现代的、经过指令强化的模型。

安全审计术语表

在真实部署中极有可能看到的高信噪 checkId 值（并非详尽无遗）：

`checkId`	严重性	为何重要	主要修复键/路径	自动修复
`fs.state_dir.perms_world_writable`	严重	其他用户/进程可以修改完整的 OpenClaw 状态	`~/.openclaw` 上的文件系统权限	是
`fs.config.perms_writable`	严重	其他人可以更改身份验证/工具策略/配置	`~/.openclaw/openclaw.json` 上的文件系统权限	是
`fs.config.perms_world_readable`	严重	配置可能暴露令牌/设置	配置文件上的文件系统权限	是
`gateway.bind_no_auth`	严重	无共享密钥的远程绑定	`gateway.bind`, `gateway.auth.*`	否
`gateway.loopback_no_auth`	严重	反向代理的环回可能变为未验证状态	`gateway.auth.*`，代理设置	否
`gateway.http.no_auth`	警告/严重	Gateway(网关) HTTP API 可通过 `auth.mode="none"` 访问	`gateway.auth.mode`, `gateway.http.endpoints.*`	否
`gateway.tools_invoke_http.dangerous_allow`	警告/严重	通过 HTTP API 重新启用危险工具	`gateway.tools.allow`	否
`gateway.nodes.allow_commands_dangerous`	警告/严重	启用高影响的节点命令（相机/屏幕/联系人/日历/SMS）	`gateway.nodes.allowCommands`	否
`gateway.tailscale_funnel`	严重	公共互联网暴露	`gateway.tailscale.mode`	否
`gateway.control_ui.allowed_origins_required`	critical	Non-loopback Control UI without explicit browser-origin allowlist	`gateway.controlUi.allowedOrigins`	no
`gateway.control_ui.host_header_origin_fallback`	warn/critical	Enables Host-header origin fallback (DNS rebinding hardening downgrade)	`gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback`	no
`gateway.control_ui.insecure_auth`	warn	Insecure-auth compatibility toggle enabled	`gateway.controlUi.allowInsecureAuth`	no
`gateway.control_ui.device_auth_disabled`	critical	Disables device identity check	`gateway.controlUi.dangerouslyDisableDeviceAuth`	no
`gateway.real_ip_fallback_enabled`	warn/critical	Trusting `X-Real-IP` fallback can enable source-IP spoofing via proxy misconfig	`gateway.allowRealIpFallback`, `gateway.trustedProxies`	no
`discovery.mdns_full_mode`	warn/critical	mDNS full mode advertises `cliPath`/`sshPort` metadata on local network	`discovery.mdns.mode`, `gateway.bind`	no
`config.insecure_or_dangerous_flags`	warn	Any insecure/dangerous debug flags enabled	multiple keys (see finding detail)	no
`hooks.token_reuse_gateway_token`	critical	Hook ingress token also unlocks Gateway(网关) auth	`hooks.token`, `gateway.auth.token`	no
`hooks.token_too_short`	warn	Easier brute force on hook ingress	`hooks.token`	no
`hooks.default_session_key_unset`	warn	Hook agent runs fan out into generated per-request sessions	`hooks.defaultSessionKey`	no
`hooks.allowed_agent_ids_unrestricted`	warn/critical	Authenticated hook callers may route to any configured agent	`hooks.allowedAgentIds`	no
`hooks.request_session_key_enabled`	warn/critical	External caller can choose sessionKey	`hooks.allowRequestSessionKey`	no
`hooks.request_session_key_prefixes_missing`	warn/critical	No bound on external 会话 key shapes	`hooks.allowedSessionKeyPrefixes`	no
`logging.redact_off`	warn	Sensitive values leak to logs/status	`logging.redactSensitive`	yes
`sandbox.docker_config_mode_off`	warn	沙箱 Docker config present but inactive	`agents.*.sandbox.mode`	no
`sandbox.dangerous_network_mode`	critical	沙箱 Docker 网络使用 `host` 或 `container:*` 命名空间加入模式	`agents.*.sandbox.docker.network`	no
`tools.exec.host_sandbox_no_sandbox_defaults`	warn	当沙箱关闭时 `exec host=sandbox` 故障关闭	`tools.exec.host`, `agents.defaults.sandbox.mode`	no
`tools.exec.host_sandbox_no_sandbox_agents`	warn	当沙箱关闭时，每个智能体的 `exec host=sandbox` 故障关闭	`agents.list[].tools.exec.host`, `agents.list[].sandbox.mode`	no
`tools.exec.security_full_configured`	warn/critical	主机执行正在使用 `security="full"` 运行	`tools.exec.security`, `agents.list[].tools.exec.security`	no
`tools.exec.auto_allow_skills_enabled`	warn	执行批准隐式信任技能箱	`~/.openclaw/exec-approvals.json`	no
`tools.exec.allowlist_interpreter_without_strict_inline_eval`	warn	解释器允许列表允许在未强制重新批准的情况下进行内联评估	`tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, exec approvals allowlist	no
`tools.exec.safe_bins_interpreter_unprofiled`	warn	`safeBins` 中没有显式配置文件的解释器/运行时箱扩大了执行风险	`tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*`	no
`tools.exec.safe_bins_broad_behavior`	warn	`safeBins` 中的广泛行为工具削弱了低风险的 stdin 过滤信任模型	`tools.exec.safeBins`, `agents.list[].tools.exec.safeBins`	no
`skills.workspace.symlink_escape`	warn	工作区 `skills/**/SKILL.md` 解析到工作区根目录之外（符号链接链漂移）	工作区 `skills/**` 文件系统状态	no
`security.exposure.open_channels_with_exec`	warn/critical	共享/公共房间可以访问启用执行的智能体	`channels..dmPolicy`, `channels..groupPolicy`, `tools.exec.`, `agents.list[].tools.exec.`	no
`security.exposure.open_groups_with_elevated`	critical	开放组 + 提升工具创建了高影响的提示注入路径	`channels..groupPolicy`, `tools.elevated.`	否
`security.exposure.open_groups_with_runtime_or_fs`	严重/警告	开放组可以在没有沙箱/工作区保护的情况下访问命令/文件工具	`channels..groupPolicy`, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents..sandbox.mode`	否
`security.trust_model.multi_user_heuristic`	警告	配置看起来是多用户，而网关信任模型是个人助手	拆分信任边界，或共享用户加固 (`sandbox.mode`, 工具拒绝/工作区范围界定)	否
`tools.profile_minimal_overridden`	警告	代理覆盖绕过了全局最低配置	`agents.list[].tools.profile`	否
`plugins.tools_reachable_permissive_policy`	警告	扩展工具在宽松上下文中可访问	`tools.profile` + 工具允许/拒绝	否
`models.small_params`	严重/信息	小模型 + 不安全的工具表面增加了注入风险	模型选择 + 沙箱/工具策略	否

通过 HTTP 控制 UI

控制 UI 需要 安全上下文（HTTPS 或 localhost）才能生成设备身份。gateway.controlUi.allowInsecureAuth 是一个本地兼容性开关：

在 localhost 上，当页面通过非安全 HTTP 加载时，它允许在没有设备身份的情况下进行控制 UI 认证。
它不会绕过配对检查。
它不会放宽远程（非 localhost）设备身份的要求。

优先使用 HTTPS (Tailscale Serve) 或在 127.0.0.1 上打开 UI。

仅限紧急情况，gateway.controlUi.dangerouslyDisableDeviceAuth 完全禁用设备身份检查。这是一种严重的安全降级；除非您正在积极调试并且可以快速恢复，否则请保持关闭状态。

当启用此设置时，openclaw security audit 会发出警告。

不安全或危险标志摘要

当启用已知的不安全/危险调试开关时，openclaw security audit 包括 config.insecure_or_dangerous_flags。该检查目前汇总了：

gateway.controlUi.allowInsecureAuth=true
gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true
gateway.controlUi.dangerouslyDisableDeviceAuth=true
hooks.gmail.allowUnsafeExternalContent=true
hooks.mappings[<index>].allowUnsafeExternalContent=true
tools.exec.applyPatch.workspaceOnly=false
plugins.entries.acpx.config.permissionMode=approve-all

在 OpenClaw 配置架构中定义的完整 dangerous* / dangerously* 配置键：

gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
gateway.controlUi.dangerouslyDisableDeviceAuth
browser.ssrfPolicy.dangerouslyAllowPrivateNetwork
channels.discord.dangerouslyAllowNameMatching
channels.discord.accounts.<accountId>.dangerouslyAllowNameMatching
channels.slack.dangerouslyAllowNameMatching
channels.slack.accounts.<accountId>.dangerouslyAllowNameMatching
channels.googlechat.dangerouslyAllowNameMatching
channels.googlechat.accounts.<accountId>.dangerouslyAllowNameMatching
channels.msteams.dangerouslyAllowNameMatching
channels.synology-chat.dangerouslyAllowNameMatching (扩展渠道)
channels.synology-chat.accounts.<accountId>.dangerouslyAllowNameMatching (扩展渠道)
channels.zalouser.dangerouslyAllowNameMatching (扩展渠道)
channels.irc.dangerouslyAllowNameMatching (扩展渠道)
channels.irc.accounts.<accountId>.dangerouslyAllowNameMatching (扩展渠道)
channels.mattermost.dangerouslyAllowNameMatching (扩展渠道)
channels.mattermost.accounts.<accountId>.dangerouslyAllowNameMatching (扩展渠道)
agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargets
agents.defaults.sandbox.docker.dangerouslyAllowExternalBindSources
agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin
agents.list[<index>].sandbox.docker.dangerouslyAllowReservedContainerTargets
agents.list[<index>].sandbox.docker.dangerouslyAllowExternalBindSources
agents.list[<index>].sandbox.docker.dangerouslyAllowContainerNamespaceJoin

反向代理配置

如果您在反向代理（如 nginx、Caddy、Traefik 等）之后运行 Gateway(网关)，则应配置 gateway.trustedProxies 以便正确检测客户端 IP。

当 Gateway(网关) 检测到来自 trustedProxies 中不包含的地址的代理头时，它将不会把这些连接视为本地客户端。如果禁用了网关身份验证，这些连接将被拒绝。这可以防止身份验证绕过，否则代理连接看起来像是来自本地主机并会自动获得信任。

gateway:
  trustedProxies:
    - "127.0.0.1" # if your proxy runs on localhost
  # Optional. Default false.
  # Only enable if your proxy cannot provide X-Forwarded-For.
  allowRealIpFallback: false
  auth:
    mode: password
    password: ${OPENCLAW_GATEWAY_PASSWORD}

配置 trustedProxies 后，Gateway(网关) 使用 X-Forwarded-For 来确定客户端 IP。除非明确设置了 gateway.allowRealIpFallback: true，否则默认情况下会忽略 X-Real-IP。

良好的反向代理行为（覆盖传入的转发头）：

proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;

糟糕的反向代理行为（追加/保留不受信任的转发头）：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

HSTS 和源站说明

OpenClaw Gateway 首先考虑本地/回环。如果您在反向代理处终止 TLS，请在面向代理的 HTTPS 域上设置 HSTS。
如果 Gateway 本身终止 HTTPS，您可以设置 gateway.http.securityHeaders.strictTransportSecurity 以从 OpenClaw 响应中发出 HSTS 标头。
详细的部署指南请参阅受信任的代理身份验证。
对于非环回控制 UI 部署，默认情况下需要 gateway.controlUi.allowedOrigins。
gateway.controlUi.allowedOrigins: ["*"] 是一个显式的允许所有浏览器来源的策略，而不是经过加固的默认设置。除了严格控制的本地测试外，请避免使用它。
gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true 启用 Host-header 源回退模式；将其视为一种危险的操作员选定策略。
将 DNS 重绑定和代理主机标头行为视为部署加固问题；保持 trustedProxies 严密，并避免将 Gateway 直接暴露给公共互联网。

本地会话日志存储在磁盘上

OpenClaw 会将会话记录存储在磁盘上的 ~/.openclaw/agents/<agentId>/sessions/*.jsonl 下。这是会话连续性所必需的（以及可选的会话内存索引），但这同时也意味着 任何拥有文件系统访问权限的进程/用户都可以读取这些日志。请将磁盘访问视为信任边界，并锁定 ~/.openclaw 的权限（请参阅下面的审核部分）。如果您需要代理之间更强的隔离，请在单独的操作系统用户或单独的主机下运行它们。

节点执行 (system.run)

如果配对了 macOS 节点，Gateway(网关) 可以在该节点上调用 system.run。这是 Mac 上的 远程代码执行：

需要节点配对（批准 + 令牌）。
Gateway(网关) 节点配对不是每条命令的批准界面。它建立节点身份/信任和令牌颁发。
Gateway(网关) 通过 gateway.nodes.allowCommands / denyCommands 应用粗粒度的全局节点命令策略。
在 Mac 上通过 设置 → Exec 批准（security + ask + allowlist）进行控制。
每个节点的 system.run 策略是节点自己的 exec 批准文件 (exec.approvals.node.*)，它可以比 Gateway 的全局命令 ID 策略更严格或更宽松。
审批模式绑定确切的请求上下文，并在可能的情况下绑定一个具体的本地脚本/文件操作数。如果 OpenClaw 无法为解释器/运行时命令确切识别出一个直接本地文件，则拒绝基于审批的执行，而不是承诺完整的语义覆盖。
如果您不希望进行远程执行，请将 security 设置为 deny 并移除该 Mac 的节点配对。

这种区别对于排查问题很重要：

如果 Gateway(网关) 全局策略和节点的本地执行审批仍然强制执行实际的执行边界，那么一个重新连接的已配对节点通告不同的命令列表本身并不构成漏洞。
将节点配对元数据视为第二个隐藏的每命令审批层的报告，通常是策略/用户体验的混淆，而不是安全边界的绕过。

动态 Skills（监视器 / 远程节点）

OpenClaw 可以在会话中途刷新 Skills 列表：

Skills 监视器：对 SKILL.md 的更改可以在下一次代理轮次时更新 Skills 快照。
远程节点：连接 macOS 节点可以使仅限 macOS 的 Skills 符合条件（基于 bin 探测）。

将 Skills 文件夹视为受信任的代码，并限制可以修改它们的人员。

威胁模型

您的 AI 助手可以：

执行任意 Shell 命令
读/写文件
访问网络服务
向任何人发送消息（如果您授予其 WhatsApp 访问权限）

给您发消息的人可以：

试图诱骗您的 AI 做坏事
社会工程学访问您的数据
探测基础设施细节

核心概念：智能之前的访问控制

这里的大多数故障不是复杂的漏洞利用——它们是“有人给机器人发了消息，机器人照做了”。

OpenClaw 的立场：

身份优先：决定谁可以与机器人对话（私信配对 / 允许列表 / 明确“开放”）。
范围其次：决定允许机器人在哪里操作（组允许列表 + 提及门控、工具、沙箱隔离、设备权限）。
模型最后：假设模型可能被操纵；进行设计以使操纵具有有限的爆炸半径。

命令授权模型

斜杠命令和指令仅对授权发送者有效。授权来源于渠道允许列表/配对加上 commands.useAccessGroups（请参阅配置和斜杠命令）。如果渠道允许列表为空或包含 "*"，则该渠道的命令实际上是对外开放的。

/exec 是一种仅限当前会话的便利功能，专供授权操作员使用。它不会写入配置或更改其他会话。

控制平面工具风险

有两个内置工具可以进行持久的控制平面更改：

gateway 可以调用 config.apply、config.patch 和 update.run。
cron 可以创建在原始聊天/任务结束后继续运行的计划任务。

对于任何处理不受信任内容的代理/界面，默认情况下拒绝这些工具：

{
  tools: {
    deny: ["gateway", "cron", "sessions_spawn", "sessions_send"],
  },
}

commands.restart=false 仅阻止重启操作。它不会禁用 gateway 配置/更新操作。

插件/扩展

插件与 Gateway(网关) 同一进程内运行。请将它们视为可信代码：

仅从您信任的来源安装插件。
首选显式的 plugins.allow 允许列表。
在启用之前检查插件配置。
更改插件后重启 Gateway(网关)。
如果您安装插件（openclaw plugins install <package>），请将其视为运行不受信任的代码：
- 安装路径是活动插件安装根目录下的每个插件目录。
- OpenClaw 在安装前运行内置的危险代码扫描。critical 发现默认情况下会阻止安装。
- OpenClaw 使用 npm pack，然后在该目录中运行 npm install --omit=dev（npm 生命周期脚本可以在安装期间执行代码）。
- 首选固定的确切版本（@scope/[email protected]），并在启用之前检查磁盘上解压后的代码。
- --dangerously-force-unsafe-install 仅用于内置扫描误报的紧急情况。它不会绕过插件 before_install 挂钩策略阻止，也不会绕过扫描失败。
- Gateway(网关) 支持的技能依赖安装遵循相同的危险/可疑分流：内置的 critical 发现会阻止，除非调用者显式设置 dangerouslyForceUnsafeInstall，而可疑的发现仍然只是警告。openclaw skills install 保持单独的 ClawHub 技能下载/安装流程。

详情：插件

私信访问模型（配对 / 允许列表 / 开放 / 禁用）

所有当前支持私信的渠道都支持私信策略（dmPolicy 或 *.dm.policy），在处理消息之前对入站私信进行拦截：

pairing（默认）：未知发件人会收到一个简短的配对码，机器人会忽略他们的消息，直到获得批准。配对码在 1 小时后过期；在创建新请求之前，重复的私信不会重新发送代码。待处理的请求默认限制为每个渠道 3 个。
allowlist：未知发件人被阻止（无配对握手）。
open：允许任何人发送私信（公开）。要求渠道允许列表包含 "*"（显式选择加入）。
disabled：完全忽略入站私信。

通过 CLI 批准：

openclaw pairing list <channel>
openclaw pairing approve <channel> <code>

详情和磁盘文件：配对

私信会话隔离（多用户模式）

默认情况下，OpenClaw 将所有私信路由到主会话中，以便您的助手在设备和渠道之间保持连续性。如果多个人可以向机器人发送私信（开放私信或多人允许列表），请考虑隔离私信会话：

{
  session: { dmScope: "per-channel-peer" },
}

这可以防止跨用户上下文泄漏，同时保持群聊隔离。

这是一个消息上下文边界，而不是主机管理员边界。如果用户互相对抗并且共享同一个 Gateway(网关) 主机/配置，请改为为每个信任边界运行单独的网关。

安全私信模式（推荐）

将上面的代码段视为安全私信模式：

默认：session.dmScope: "main"（所有私信共享一个会话以保持连续性）。
本地 CLI 新手引导默认值：如果未设置，则写入 session.dmScope: "per-channel-peer"（保留现有的显式值）。
安全私信模式：session.dmScope: "per-channel-peer"（每个渠道+发件人对都会获得一个隔离的私信上下文）。
跨渠道对等隔离：session.dmScope: "per-peer"（每个发送者在所有相同类型的渠道中获得一个会话）。

如果您在同一渠道上运行多个帐户，请改用 per-account-channel-peer。如果同一个人通过多个渠道联系您，请使用 session.identityLinks 将这些私信会话合并为一个规范身份。请参阅会话管理和配置。

允许列表（私信 + 群组）- 术语

OpenClaw 有两个独立的“谁可以触发我？”层级：

私信允许列表（allowFrom / channels.discord.allowFrom / channels.slack.allowFrom；旧版：channels.discord.dm.allowFrom，channels.slack.dm.allowFrom）：允许谁通过私信与机器人交谈。
- 当 dmPolicy="pairing" 时，批准内容将写入 ~/.openclaw/credentials/ 下的帐户范围配对允许列表存储中（默认帐户为 <channel>-allowFrom.json，非默认帐户为 <channel>-<accountId>-allowFrom.json），并与配置允许列表合并。
群组允许列表（特定于渠道）：机器人将接受来自哪些群组/频道/公会的消息。
- 常见模式：
  - channels.whatsapp.groups，channels.telegram.groups，channels.imessage.groups：每个群组的默认值，如 requireMention；设置后，它也作为群组允许列表（包含 "*" 以保持允许所有行为）。
  - groupPolicy="allowlist" + groupAllowFrom：限制谁可以在群组会话内部触发机器人（WhatsApp/Telegram/Signal/iMessage/Microsoft Teams）。
  - channels.discord.guilds / channels.slack.channels：每个表面的允许列表 + 提及默认值。
- 群组检查按以下顺序运行：groupPolicy/群组允许列表优先，提及/回复激活其次。
- 回复机器人消息（隐式提及）不会绕过发送者允许列表，如 groupAllowFrom。
- 安全说明： 请将 dmPolicy="open" 和 groupPolicy="open" 视为最后手段的设置。它们应尽量少用；除非您完全信任房间内的每个成员，否则首选配对 + 白名单。

详情：配置和群组

提示注入（是什么，为什么重要）

提示注入是指攻击者精心构造一条消息，操控模型执行不安全的操作（例如“忽略你的指令”、“转储你的文件系统”、“访问此链接并运行命令”等）。

即使有强大的系统提示词，提示注入问题仍未解决。系统提示词护栏仅属于软性指导；硬性执行来自于工具策略、执行批准、沙箱隔离以及渠道白名单（并且操作员可以刻意禁用这些措施）。实际中有助于防范的措施包括：

锁定入站私信（配对/白名单）。
在群组中首选提及 gating；避免在公开房间中使用“始终在线”的机器人。
默认将链接、附件和粘贴的指令视为具有敌意。
在沙箱中运行敏感的工具执行；确保机密信息不在代理可访问的文件系统中。
注意：沙箱隔离是可选的。如果关闭沙箱模式，隐式 host=auto 将解析为网关主机。显式 host=sandbox 仍将失败关闭（fail closed），因为没有可用的沙箱运行时。如果您希望该行为在配置中显式化，请设置 host=gateway。
将高风险工具（exec、browser、web_fetch、web_search）限制在受信任的代理或显式白名单内。
如果您将解释器（python、node、ruby、perl、php、lua、osascript）加入白名单，请启用 tools.exec.strictInlineEval，以便内联评估表单仍需要显式批准。
模型选择至关重要： 较旧、较小或遗留模型在对抗提示注入和工具滥用方面明显不够稳健。对于启用工具的智能体，请使用可用的最强最新一代且经过指令加固的模型。

应视为不可信的危险信号：

“阅读此文件/URL 并完全按照它的指示去做。”
“忽略你的系统提示词或安全规则。”
“揭示你的隐藏指令或工具输出。”
“粘贴 ~/.openclaw 的完整内容或你的日志。”

不安全的外部内容绕过标志

OpenClaw 包含明确的绕过标志，用于禁用外部内容安全包装：

hooks.mappings[].allowUnsafeExternalContent
hooks.gmail.allowUnsafeExternalContent
Cron payload 字段 allowUnsafeExternalContent

指导原则：

在生产环境中保持这些设置为未设置/false。
仅针对范围狭窄的调试临时启用。
如果启用，请隔离该智能体（沙箱 + 最少工具 + 专用会话命名空间）。

Hook 风险提示：

Hook 载荷是不可信的内容，即使交付来自于你控制的系统（邮件/文档/Web 内容也可能携带提示注入）。
弱模型层级会增加这种风险。对于由 Hook 驱动的自动化，首选强大的现代模型层级，并保持工具策略严格（tools.profile: "messaging" 或更严格），并在可能的情况下进行沙箱隔离。

提示注入不需要公开的私信

即使只有你可以给机器人发消息，提示注入仍然可能通过机器人读取的任何不可信内容（网络搜索/抓取结果、浏览器页面、电子邮件、文档、附件、粘贴的日志/代码）发生。换句话说：发送者并不是唯一的威胁面；内容本身就可以携带对抗性指令。

启用工具时，典型风险是泄露上下文或触发工具调用。通过以下方式减小爆炸半径：

使用只读或禁用工具的读取器智能体来总结不可信内容，然后将摘要传递给你的主智能体。
对于启用工具的智能体，除非需要，否则保持 web_search / web_fetch / browser 关闭。
对于 OpenResponses URL 输入 (input_file / input_image)，请设置严格的 gateway.http.endpoints.responses.files.urlAllowlist 和 gateway.http.endpoints.responses.images.urlAllowlist，并保持 maxUrlParts 较低。空白允许列表被视为未设置；如果您想完全禁用 URL 获取，请使用 files.allowUrl: false / images.allowUrl: false。
为任何接触不可信输入的代理启用沙箱隔离和严格的工具允许列表。
不要将机密信息放入提示词中；请通过网关主机上的环境变量/配置来传递它们。

模型强度（安全说明）

针对提示词注入的抵抗力在不同级别的模型中并不统一。较小/较便宜的模型通常更容易受到工具滥用和指令劫持的影响，特别是在对抗性提示词下。

建议：

对于任何可以运行工具或访问文件/网络的机器人，请使用最新一代、最高级别的模型。
不要为启用了工具的代理或不可信任的收件箱使用旧版/较弱/较小的层级；提示词注入风险太高。
如果您必须使用较小的模型，请缩小爆炸半径（只读工具、强沙箱隔离、最小的文件系统访问权限、严格的允许列表）。
运行小模型时，请为所有会话启用沙箱隔离，除非输入受到严格控制，否则禁用 web_search/web_fetch/browser。
对于具有可信输入且没有工具的纯聊天个人助手，较小的模型通常是可以的。

群组中的推理与详细输出

/reasoning 和 /verbose 可能会暴露本不该出现在公开渠道中的内部推理或工具输出。在群组设置中，请将它们视为仅调试用途，除非您明确需要它们，否则请保持关闭。

指导原则：

在公开房间中保持 /reasoning 和 /verbose 为禁用状态。
如果您启用它们，请仅在受信任的私信或严格控制的小组中启用。
请记住：详细输出可能包含工具参数、URL 以及模型看到的数据。

配置加固（示例）

0) 文件权限

在 Gateway 主机上保持配置和状态的私密性：

~/.openclaw/openclaw.json: 600 (仅用户读/写)
~/.openclaw: 700 (仅用户)

openclaw doctor 可以发出警告并建议收紧这些权限。

0.4) 网络暴露（绑定 + 端口 + 防火墙）

Gateway(网关) 在单个端口上复用 WebSocket + HTTP：

默认值：18789
配置/标志/环境变量：gateway.port, --port, OPENCLAW_GATEWAY_PORT

此 HTTP 接口包括控制 UI 和 Canvas 主机：

控制 UI (SPA 资源) (默认基础路径 /)
Canvas 主机：/__openclaw__/canvas/ 和 /__openclaw__/a2ui/ (任意 HTML/JS；将其视为不受信任的内容)

如果您在普通浏览器中加载 Canvas 内容，请像对待任何其他不受信任的网页一样对待它：

不要将 Canvas 主机暴露给不受信任的网络/用户。
除非您完全了解其含义，否则不要让 Canvas 内容与特权 Web 接口共享同一源。

绑定模式控制 Gateway(网关) 的监听位置：

gateway.bind: "loopback" (默认)：仅本地客户端可以连接。
非回环绑定 ("lan", "tailnet", "custom") 会扩大攻击面。仅在使用共享令牌/密码和真正的防火墙时才使用它们。

经验法则：

相比 LAN 绑定，首选 Tailscale Serve（Serve 将 Gateway(网关) 保持在回环地址上，并由 Tailscale 处理访问）。
如果必须绑定到 LAN，请使用防火墙将端口限制在严格的源 IP 白名单内；不要广泛地进行端口转发。
切勿在 0.0.0.0 上未经验证地暴露 Gateway(网关)。

0.4.1) Docker 端口发布 + UFW (`DOCKER-USER`)

如果您在 VPS 上使用 Docker 运行 OpenClaw，请记住已发布的容器端口 (-p HOST:CONTAINER 或 Compose ports:) 是通过 Docker 的转发链进行路由的，而不仅仅受主机 INPUT 规则的限制。

为了使 Docker 流量与您的防火墙策略保持一致，请在 DOCKER-USER 中强制执行规则（此链在 Docker 自身的接受规则之前进行评估）。在许多现代发行版中，iptables/ip6tables 使用 iptables-nft 前端，并且仍然将这些规则应用于 nftables 后端。

最小白名单示例 (IPv4)：

# /etc/ufw/after.rules (append as its own *filter section)
*filter
:DOCKER-USER - [0:0]
-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
-A DOCKER-USER -s 127.0.0.0/8 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 192.168.0.0/16 -j RETURN
-A DOCKER-USER -s 100.64.0.0/10 -j RETURN
-A DOCKER-USER -p tcp --dport 80 -j RETURN
-A DOCKER-USER -p tcp --dport 443 -j RETURN
-A DOCKER-USER -m conntrack --ctstate NEW -j DROP
-A DOCKER-USER -j RETURN
COMMIT

IPv6 拥有独立的表。如果启用了 Docker IPv6，请在 /etc/ufw/after6.rules 中添加匹配的策略。

避免在文档片段中硬编码接口名称，如 eth0。接口名称因 VPS 镜像而异（ens3、enp* 等），不匹配可能会导致意外跳过您的拒绝规则。

重新加载后的快速验证：

ufw reload
iptables -S DOCKER-USER
ip6tables -S DOCKER-USER
nmap -sT -p 1-65535 <public-ip> --open

预期的外部端口应仅限于您有意公开的端口（对于大多数设置：SSH + 您的反向代理端口）。

0.4.2) mDNS/Bonjour 发现（信息泄露）

Gateway(网关) 通过 mDNS（端口 5353 上的 _openclaw-gw._tcp）广播其存在，以便进行本地设备发现。在完整模式下，这包括可能暴露操作细节的 TXT 记录：

cliPath：CLI 二进制文件的完整文件系统路径（揭示用户名和安装位置）
sshPort：通告主机上 SSH 的可用性
displayName、lanHost：主机名信息

操作安全注意事项： 广播基础设施细节会使本地网络上的任何人都更容易进行侦察。即使是“无害”的信息（如文件系统路径和 SSH 可用性）也能帮助攻击者绘制您的环境图。

建议：

最小模式（默认，建议用于暴露的网关）：从 mDNS 广播中省略敏感字段：
```
{
  discovery: {
    mdns: { mode: "minimal" },
  },
}
```

完全禁用，如果您不需要本地设备发现：

{
  discovery: {
    mdns: { mode: "off" },
  },
}

完整模式（可选）：在 TXT 记录中包含 cliPath + sshPort：
```
{
  discovery: {
    mdns: { mode: "full" },
  },
}
```
环境变量（替代方法）：设置 OPENCLAW_DISABLE_BONJOUR=1 以在不更改配置的情况下禁用 mDNS。

在最小模式下，Gateway(网关) 仍会广播足够的信息以进行设备发现（role、gatewayPort、transport），但会省略 cliPath 和 sshPort。需要 CLI 路径信息的应用可以通过经过身份验证的 WebSocket 连接来获取。

0.5) 锁定 Gateway(网关) WebSocket（本地身份验证）

Gateway(网关) 身份验证默认是必需的。如果未配置令牌/密码，Gateway(网关) 将拒绝 WebSocket 连接（故障关闭）。

新手引导默认会生成一个令牌（即使是针对环回连接的），因此本地客户端必须进行身份验证。

设置一个令牌，以便所有 WS 客户端都必须进行身份验证：

{
  gateway: {
    auth: { mode: "token", token: "your-token" },
  },
}

Doctor 可以为您生成一个：openclaw doctor --generate-gateway-token。

注意：gateway.remote.token / .password 是客户端凭据来源。它们本身不能保护本地 WS 访问。仅当未设置 gateway.auth.* 时，本地调用路径才能将 gateway.remote.* 作为回退。如果 gateway.auth.token / gateway.auth.password 是通过 SecretRef 显式配置的且未解析，解析将以失败关闭（无远程回退屏蔽）。可选：使用 wss:// 时，使用 gateway.remote.tlsFingerprint 固定远程 TLS。纯文本 ws:// 默认仅限于环回。对于受信任的专用网络路径，请在客户端进程上设置 OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1 作为应急手段。

本地设备配对：

设备配对对于本地连接（环回或网关主机自己的 tailnet 地址）会自动批准，以保持同主机客户端流畅。
其他 tailnet 对等节点不被视为本地；它们仍需要配对批准。

身份验证模式：

gateway.auth.mode: "token"：共享不记名令牌（推荐用于大多数设置）。
gateway.auth.mode: "password"：密码身份验证（首选通过 env 设置：OPENCLAW_GATEWAY_PASSWORD）。
gateway.auth.mode: "trusted-proxy"：信任一个具有身份感知能力的反向代理来对用户进行身份验证并通过标头传递身份（请参阅受信任的代理身份验证）。

轮换检查清单（令牌/密码）：

生成/设置一个新的密钥（gateway.auth.token 或 OPENCLAW_GATEWAY_PASSWORD）。
重启 Gateway(网关)（如果 macOS 应用监管 Gateway(网关)，则重启该应用）。
更新任何远程客户端（调用 Gateway(网关) 的机器上的 gateway.remote.token / .password）。
验证您无法再使用旧凭据进行连接。

0.6) Tailscale Serve 身份标头

当 gateway.auth.allowTailscale 为 true（Serve 的默认值）时，OpenClaw 接受 Tailscale Serve 身份标头（tailscale-user-login）用于控制 UI/WebSocket 身份验证。OpenClaw 通过本地 Tailscale 守护进程（tailscale whois）解析 x-forwarded-for 地址并将其与标头匹配来验证身份。这仅对命中回环且包含由 Tailscale 注入的 x-forwarded-for、x-forwarded-proto 和 x-forwarded-host 的请求触发。 HTTP API 端点（例如 /v1/*、/tools/invoke 和 /api/channels/*）仍需要令牌/密码身份验证。

重要边界说明：

Gateway(网关) HTTP 承载者身份验证实际上是全有或全无的操作员访问权限。
将可以调用 /v1/chat/completions、/v1/responses 或 /api/channels/* 的凭据视为该网关的完全访问操作员机密。
在 OpenAI 兼容的 HTTP 表面上，共享密钥承载者身份验证恢复了代理轮次的完整默认操作员范围和所有者语义；较窄的 x-openclaw-scopes 值不会减少该共享密钥路径。
HTTP 上的每请求范围语义仅在请求来自具有身份的模式（例如受信任的代理身份验证或私人入口上的 gateway.auth.mode="none"）时才适用。
/tools/invoke 遵循相同的共享密钥规则：那里的令牌/密码承载者身份验证也被视为完全操作员访问权限，而具有身份的模式仍然遵守声明的范围。
请勿与不受信任的调用者共享这些凭据；最好为每个信任边界使用单独的网关。

信任假设： 无令牌 Serve 身份验证假设网关主机是受信任的。不要将其视为针对主机上恶意进程的保护措施。如果不受信任的本地代码可能在网关主机上运行，请禁用 gateway.auth.allowTailscale 并要求令牌/密码身份验证。

安全规则： 请勿从您自己的反向代理转发这些标头。如果您在网关前终止 TLS 或进行代理，请禁用 gateway.auth.allowTailscale 并改用令牌/密码身份验证（或受信任代理身份验证）。

受信任的代理：

如果您在 Gateway(网关) 前端终止 TLS，请将 gateway.trustedProxies 设置为您的代理 IP。
OpenClaw 将信任来自这些 IP 的 x-forwarded-for（或 x-real-ip），以确定用于本地配对检查和 HTTP 身份验证/本地检查的客户端 IP。
确保您的代理覆盖 x-forwarded-for 并阻止对 Gateway(网关) 端口的直接访问。

参见 Tailscale 和 Web 概述。

0.6.1) 通过节点主机控制浏览器（推荐）

如果您的 Gateway(网关) 是远程的但浏览器在另一台机器上运行，请在浏览器机器上运行一个节点主机 并让 Gateway(网关) 代理浏览器操作（参见浏览器工具）。请像对待管理员访问一样对待节点配对。

推荐模式：

将 Gateway(网关) 和节点主机保持在同一个 tailnet (Tailscale) 中。
有意配对节点；如果不需要，请禁用浏览器代理路由。

避免：

通过局域网或公共互联网暴露中继/控制端口。
对浏览器控制端点使用 Tailscale Funnel（公开暴露）。

0.7) 磁盘上的机密（敏感数据）

假设 ~/.openclaw/（或 $OPENCLAW_STATE_DIR/）下的任何内容都可能包含机密或私有数据：

openclaw.json：配置可能包含令牌（网关、远程网关）、提供商设置和允许列表。
credentials/**：渠道凭据（例如：WhatsApp 凭据）、配对允许列表、旧的 OAuth 导入。
agents/<agentId>/agent/auth-profiles.json：API 密钥、令牌配置文件、OAuth 令牌以及可选的 keyRef/tokenRef。
secrets.json（可选）：由 file SecretRef 提供程序（secrets.providers）使用的文件后备机密有效负载。
agents/<agentId>/agent/auth.json：旧版兼容性文件。发现静态 api_key 条目时会被清除。
agents/<agentId>/sessions/**：会话记录（*.jsonl）+ 路由元数据（sessions.json），其中可能包含私人消息和工具输出。
捆绑的插件包：已安装的插件（及其 node_modules/）。
sandboxes/**：工具沙箱工作区；可能会累积您在沙箱内读写的文件的副本。

加固提示：

保持严格的权限（目录使用 700，文件使用 600）。
在网关主机上使用全盘加密。
如果主机是共享的，建议为 Gateway(网关) 使用专用的操作系统用户帐户。

0.8) 日志 + 记录（编辑 + 保留）

即使访问控制正确，日志和记录也可能泄露敏感信息：

Gateway(网关) 日志可能包括工具摘要、错误和 URL。
会话记录可能包括粘贴的机密信息、文件内容、命令输出和链接。

建议：

保持工具摘要编辑开启（logging.redactSensitive: "tools"；默认）。
通过 logging.redactPatterns 为您的环境添加自定义模式（令牌、主机名、内部 URL）。
共享诊断信息时，优先使用 openclaw status --all（可粘贴，已编辑机密信息）而不是原始日志。
如果您不需要长期保留，请修剪旧的会话记录和日志文件。

详细信息：日志记录

1) 私信 (私信)：默认配对

{
  channels: { whatsapp: { dmPolicy: "pairing" } },
}

2) 群组：任何地方都需要提及

{
  "channels": {
    "whatsapp": {
      "groups": {
        "*": { "requireMention": true }
      }
    }
  },
  "agents": {
    "list": [
      {
        "id": "main",
        "groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] }
      }
    ]
  }
}

在群组聊天中，仅在被明确提及时才响应。

3) 独立号码 (WhatsApp, Signal, Telegram)

对于基于电话号码的频道，请考虑在与个人号码分开的电话号码上运行您的 AI：

个人号码：您的对话保持私密
机器人号码：AI 处理这些消息，并具有适当的边界

4) 只读模式（通过沙箱 + 工具）

您可以通过组合以下内容来构建只读配置文件：

agents.defaults.sandbox.workspaceAccess: "ro" (or "none" for no workspace access)
阻止 write、edit、apply_patch、exec、process 等的工具允许/拒绝列表。

额外的加固选项：

tools.exec.applyPatch.workspaceOnly: true (默认)：确保即使关闭沙箱隔离，apply_patch 也无法在工作区目录之外写入/删除。仅在您有意希望 apply_patch 接触工作区之外的文件时，才设置为 false。
tools.fs.workspaceOnly: true (可选)：将 read/write/edit/apply_patch 路径和本机提示图像自动加载路径限制在工作区目录（如果您目前允许绝对路径且需要单一防护措施，这很有用）。
保持文件系统根目录狭窄：避免为智能体工作区/沙箱工作区使用像主目录这样宽泛的根目录。宽泛的根目录可能会将敏感的本地文件（例如 ~/.openclaw 下的状态/配置）暴露给文件系统工具。

5) 安全基线 (复制/粘贴)

一种“安全默认”配置，用于保持 Gateway(网关) 私有、要求私信配对，并避免常驻群组机器人：

{
  gateway: {
    mode: "local",
    bind: "loopback",
    port: 18789,
    auth: { mode: "token", token: "your-long-random-token" },
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } },
    },
  },
}

如果您也希望工具执行“默认更安全”，请为任何非所有者智能体添加沙箱并拒绝危险工具（示例见下方的“Per-agent access profiles”）。

聊天驱动智能体轮次的内置基线：非所有者发送者无法使用 cron 或 gateway 工具。

沙箱隔离 (推荐)

专用文档：沙箱隔离

两种互补的方法：

在 Gateway(网关) 中运行完整的 Docker (容器边界)：Docker
工具沙箱 (agents.defaults.sandbox，主机网关 + Docker-isolated 工具)：沙箱隔离

注意：为了防止跨代理访问，请将 agents.defaults.sandbox.scope 保持为 "agent"（默认值）或 "session" 以实现更严格的每个会话隔离。scope: "shared" 使用单个容器/工作区。

此外，还应考虑沙箱内的代理工作区访问权限：

agents.defaults.sandbox.workspaceAccess: "none"（默认值）使代理工作区处于禁止访问状态；工具在 ~/.openclaw/sandboxes 下的沙箱工作区中运行
agents.defaults.sandbox.workspaceAccess: "ro" 在 /agent 处以只读方式挂载代理工作区（禁用 write/edit/apply_patch）
agents.defaults.sandbox.workspaceAccess: "rw" 在 /workspace 处以读写方式挂载代理工作区

重要提示：tools.elevated 是在主机上运行 exec 的全局基准应急手段。请严格控制 tools.elevated.allowFrom，不要为陌生人启用。您可以通过 agents.list[].tools.elevated 进一步限制每个代理的提权操作。请参阅提权模式。

子代理委托防护栏

如果您允许会话工具，请将委托的子代理运行视为另一个边界决策：

拒绝 sessions_spawn，除非代理确实需要委托。
将 agents.list[].subagents.allowAgents 限制在已知安全的目标代理范围内。
对于任何必须保持沙箱隔离的工作流，请使用 sandbox: "require" 调用 sessions_spawn（默认为 inherit）。
当目标子运行时未处于沙箱隔离状态时，sandbox: "require" 会快速失败。

浏览器控制风险

启用浏览器控制赋予了模型驱动真实浏览器的能力。如果该浏览器配置文件已包含登录会话，模型便可以访问这些账户和数据。请将浏览器配置文件视为敏感状态：

最好为代理使用专用配置文件（默认的 openclaw 配置文件）。
避免将代理指向您的个人日常使用配置文件。
对于已沙箱隔离的代理，请保持禁用主机浏览器控制，除非您信任它们。
将浏览器下载视为不受信任的输入；优先使用隔离的下载目录。
如果可能，在代理配置文件中禁用浏览器同步/密码管理器（以减少爆炸半径）。
对于远程网关，假设“浏览器控制”等同于对该配置文件所能访问内容的“操作员访问”。
保持 Gateway(网关) 和节点主机仅限 tailnet 访问；避免将浏览器控制端口暴露给 LAN 或公共互联网。
在不需要时禁用浏览器代理路由 (gateway.nodes.browser.mode="off")。
Chrome MCP 现有会话模式并不“更安全”；它可以在该主机 Chrome 配置文件能访问的任何地方充当你。

浏览器 SSRF 策略（默认受信任网络）

OpenClaw 的浏览器网络策略默认为受信任操作员模型：允许访问私有/内部目标，除非您明确禁用它们。

默认值：browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: true（未设置时隐含）。
旧版别名：browser.ssrfPolicy.allowPrivateNetwork 仍被接受以保持兼容性。
严格模式：设置 browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: false 以默认阻止私有/内部/特殊用途目标。
在严格模式下，使用 hostnameAllowlist（如 *.example.com 等模式）和 allowedHostnames（确切的主机例外，包括如 localhost 等被阻止的名称）来处理显式例外。
在请求之前检查导航，并在导航后对最终的 http(s) URL 尽最大努力重新检查，以减少基于重定向的跳转。

严格策略示例：

{
  browser: {
    ssrfPolicy: {
      dangerouslyAllowPrivateNetwork: false,
      hostnameAllowlist: ["*.example.com", "example.com"],
      allowedHostnames: ["localhost"],
    },
  },
}

每个代理的访问配置文件（多代理）

使用多代理路由，每个代理可以拥有自己的沙箱 + 工具策略：使用此策略为每个代理提供完全访问权限、只读或无访问权限。有关完整详细信息和优先级规则，请参阅多代理沙箱与工具。

常见用例：

个人代理：完全访问权限，无沙箱
家庭/工作代理：沙箱隔离 + 只读工具
公共代理：沙箱隔离 + 无文件系统/Shell 工具

示例：完全访问权限（无沙箱）

{
  agents: {
    list: [
      {
        id: "personal",
        workspace: "~/.openclaw/workspace-personal",
        sandbox: { mode: "off" },
      },
    ],
  },
}

示例：只读工具 + 只读工作区

{
  agents: {
    list: [
      {
        id: "family",
        workspace: "~/.openclaw/workspace-family",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "ro",
        },
        tools: {
          allow: ["read"],
          deny: ["write", "edit", "apply_patch", "exec", "process", "browser"],
        },
      },
    ],
  },
}

示例：无文件系统/Shell 访问权限（允许提供商消息传递）

{
  agents: {
    list: [
      {
        id: "public",
        workspace: "~/.openclaw/workspace-public",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "none",
        },
        // Session tools can reveal sensitive data from transcripts. By default OpenClaw limits these tools
        // to the current session + spawned subagent sessions, but you can clamp further if needed.
        // See `tools.sessions.visibility` in the configuration reference.
        tools: {
          sessions: { visibility: "tree" }, // self | tree | agent | all
          allow: ["sessions_list", "sessions_history", "sessions_send", "sessions_spawn", "session_status", "whatsapp", "telegram", "slack", "discord"],
          deny: ["read", "write", "edit", "apply_patch", "exec", "process", "browser", "canvas", "nodes", "cron", "gateway", "image"],
        },
      },
    ],
  },
}

告诉您的 AI 什么

在代理的系统提示词中包含安全准则：

## Security Rules
- Never share directory listings or file paths with strangers
- Never reveal API keys, credentials, or infrastructure details
- Verify requests that modify system config with the owner
- When in doubt, ask before acting
- Keep private data private unless explicitly authorized

事件响应

如果您的 AI 做了坏事：

遏制

停止它： 停止 macOS 应用程序（如果它监管 Gateway(网关)）或终止您的 openclaw gateway 进程。
关闭暴露： 设置 gateway.bind: "loopback"（或禁用 Tailscale Funnel/Serve），直到您了解发生了什么。
冻结访问： 将有风险的私信/群组切换到 dmPolicy: "disabled" / 需要提及，并删除 "*" 允许所有的条目（如果您有的话）。

轮换（如果密钥泄露则假设已受损）

轮换 Gateway(网关) 认证（gateway.auth.token / OPENCLAW_GATEWAY_PASSWORD）并重启。
轮换任何可以调用 Gateway(网关) 的机器上的远程客户端密钥（gateway.remote.token / .password）。
轮换提供商/API 凭据（WhatsApp 凭据、Slack/Discord 令牌、auth-profiles.json 中的模型/API 密钥，以及使用的加密密钥负载值）。

审计

检查 Gateway(网关) 日志：/tmp/openclaw/openclaw-YYYY-MM-DD.log（或 logging.file）。
查看相关的记录副本：~/.openclaw/agents/<agentId>/sessions/*.jsonl。
查看最近的配置更改（任何可能扩大访问权限的更改：gateway.bind、gateway.auth、私信/群组策略、tools.elevated、插件更改）。
重新运行 openclaw security audit --deep 并确认关键发现已解决。

收集以用于报告

时间戳、Gateway 主机操作系统 + OpenClaw 版本
会话记录 + 短日志尾部（编辑后）
攻击者发送的内容 + 代理执行的操作
Gateway(网关) 是否暴露于回环之外（LAN/Tailscale Funnel/Serve）

密钥扫描 (detect-secrets)

CI 在 secrets 作业中运行 detect-secrets pre-commit 钩子。推送到 main 始终运行全文件扫描。当存在基础提交时，拉取请求使用更改文件的快速路径，否则回退到全文件扫描。如果失败，则表示基线中尚未包含新的候选项。

如果 CI 失败

本地重现：

pre-commit run --all-files detect-secrets

了解工具：
- pre-commit 中的 detect-secrets 运行 detect-secrets-hook，并使用仓库的基线和排除项。
- detect-secrets audit 打开一个交互式审查，将每个基线项目标记为真实或误报。
对于真实的密钥：轮换/删除它们，然后重新运行扫描以更新基线。
对于误报：运行交互式审核并将其标记为误报：
Terminal window
```
detect-secrets audit .secrets.baseline
```
如果您需要新的排除项，请将其添加到 .detect-secrets.cfg 并使用匹配的 --exclude-files / --exclude-lines 标志重新生成基线（该配置文件仅供参考；detect-secrets 不会自动读取它）。

一旦更新的 .secrets.baseline 反映了预期状态，请将其提交。

报告安全问题

在 OpenClaw 中发现了漏洞？请负责任地报告：

电子邮件：[email protected]
在修复之前请勿公开发布
我们会致谢您（除非您希望匿名）