Appearance
OpenClaw 的安全模型基于单用户/个人助理信任假设:每个 Gateway 一个受信 operator 边界。如果你需要隔离多个不信任的用户,请拆分 Gateway 和 OS 用户。本页提供快速加固基线、openclaw security audit 审计命令、凭据存储地图、DM 配对策略、双向代理配置和沙箱建议。即使配置最严格的工具策略,提示注入仍可能通过内容发生;设计时应优先身份确认、其次工具范围、最后模型选择。没有"完全安全"的配置,核心是在访问最小化的前提下逐步扩展。
OpenClaw 安全模型与威胁指南 – 怎么配置、加固和排查
WARNING
个人助理信任模型: 本指南假定每个 Gateway 只有一个受信 operator 边界(单用户/个人助理模型)。OpenClaw 不是多个对抗性用户共享一个 Agent 或 Gateway 的安全多租户边界。如果需要混合信任或对抗性用户隔离,请拆分成独立的 Gateway + 凭据(最好使用独立 OS 用户或主机)。
范围优先:个人助理安全模型
OpenClaw 的安全指导假定个人助理部署:一个受信 operator 边界,可以有多个 Agent。
- 支持的安全姿势:每个 Gateway 一个用户/信任边界(推荐每个边界一个 OS 用户/主机/VPS)。
- 不支持的安全边界:一个共享 Gateway/Agent 被互不信任或对抗的用户共同使用。
- 如果需要对抗性用户隔离,按信任边界拆分(独立的 Gateway + 凭据,且最好独立 OS 用户/主机)。
- 如果多个不受信用户能向一个启用工具的 Agent 发消息,则应把他们视为共享该 Agent 的委托工具权限。
本页说明在该模型内的加固方法,不声称在一个共享 Gateway 上实现敌对多租户隔离。
快速检查:openclaw security audit
另见:形式化验证(安全模型)
定期运行以下命令(尤其是在更改配置或暴露网络接口后):
bash
openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --jsonsecurity audit --fix 保持谨慎:它会把常见的开放群组策略切换为白名单,恢复 logging.redactSensitive: "tools",收紧状态/配置/包含文件的权限,在 Windows 上使用 ACL 重置而非 POSIX chmod。
它会标记常见问题(Gateway 认证暴露、浏览器控制暴露、提升的白名单、文件系统权限、宽松的执行审批、开放频道工具暴露)。
OpenClaw 既是产品也是实验:你将前沿模型行为接入了真实消息面和真实工具。没有"完全安全"的配置。 目标是对以下内容保持清醒:
- 谁可以和你的 bot 对话
- bot 被允许在哪里行动
- bot 能接触什么
从允许的最小访问开始,随着信心增长再逐步扩展。
发布的包依赖锁
OpenClaw 源码检出使用 pnpm-lock.yaml。发布的 openclaw npm 包及 OpenClaw 拥有的 npm 插件包都包含 npm-shrinkwrap.json(npm 的可发布依赖锁定文件),因此包安装使用发布时经过审查的传递依赖图,而不是在安装时重新解析。
OpenClaw 拥有的插件包也可以附带 bundledDependencies,将运行时依赖文件打包到插件 tarball 中。
这是一种供应链加固:
- 发布安装更具可重现性;
- 传递依赖变更成为可见的审查面;
- 包 tarball 包含发布校验者检查过的依赖图;
- 适当的插件 tarball 包含该图的依赖文件;
package-lock.json不会出现在发布的包中,因为 npm 不视它为可发布的锁定契约。
Shrinkwrap 不是沙箱,也不使所有依赖可信。它不能替代 openclaw security audit、主机隔离、npm 来源验证、签名/审计检查或 --ignore-scripts 安装烟雾测试。应将其视为发布可重现性和审查控制边界。
维护者应在根包或插件包更改其发布依赖图时更新并验证 shrinkwrap:
bash
pnpm deps:shrinkwrap:generate
pnpm deps:shrinkwrap:check使用 pnpm deps:shrinkwrap:root:generate 和 pnpm deps:shrinkwrap:root:check 仅在你刻意只想刷新根 openclaw 包而不触碰插件包时。
审查 pnpm-lock.yaml、npm-shrinkwrap.json、插件依赖载荷及任何 package-lock.json 的差异作为安全敏感内容。包校验者要求在新的根包 tarball 中有 shrinkwrap,并且插件 npm 发布路径检查插件本地的 shrinkwrap,安装插件本地的捆绑依赖,然后打包或发布。包校验者拒绝 package-lock.json。
要检查一个已发布的包:
bash
npm pack openclaw@<version> --json --pack-destination /tmp/openclaw-pack
tar -tf /tmp/openclaw-pack/openclaw-<version>.tgz | grep '^package/npm-shrinkwrap.json$'要检查 OpenClaw 拥有的插件包,替换包名并检查相同的 tar 条目:
bash
npm pack @openclaw/discord@<version> --json --pack-destination /tmp/openclaw-plugin-pack
tar -tf /tmp/openclaw-plugin-pack/openclaw-discord-<version>.tgz | grep '^package/npm-shrinkwrap.json$'
tar -tf /tmp/openclaw-plugin-pack/openclaw-discord-<version>.tgz | grep '^package/node_modules/'部署与主机信任
OpenClaw 假定主机和配置边界是受信的:
- 如果有人能修改 Gateway 主机状态/配置(
~/.openclaw,包括openclaw.json),视其为受信 operator。 - 不推荐为多个互不信任/对抗的 operator 运行一个 Gateway。
- 对于混合信任的团队,用独立的 Gateway 拆分信任边界(至少独立 OS 用户/主机)。
- 推荐默认:每台机器/主机(或 VPS)一个用户,一个 Gateway 给该用户,该 Gateway 下一个或多个 Agent。
- 在一个 Gateway 实例内部,鉴权的 operator 访问是受信的控制面角色,而不是按用户的租户角色。
- 会话标识符(
sessionKey、会话 ID、标签)是路由选择器,不是授权令牌。 - 如果多人能给一个启用工具的 Agent 发消息,他们每个人都可以操控同一组权限。按用户的会话/内存隔离有助于隐私,但并不能将共享 Agent 转变为按用户的主机授权。
安全文件操作
OpenClaw 使用 @openclaw/fs-safe 进行根限制的文件访问、原子写入、存档提取、临时工作区和秘密文件辅助。OpenClaw 默认关闭 fs-safe 的可选 POSIX Python 辅助;仅在需要额外的 fd 相关变更加固并能支持 Python 运行时时才设置 OPENCLAW_FS_SAFE_PYTHON_MODE=auto 或 require。
详情:安全文件操作
共享 Slack 工作区:真实风险
如果“Slack 中所有人都可以向 bot 发消息”,核心风险是委托工具权限:
- 任何允许的发送方都能在 Agent 策略范围内触发工具调用(
exec、浏览器、网络/文件工具); - 一个发送方的提示/内容注入可能导致影响共享状态、设备或输出的操作;
- 如果一个共享 Agent 持有敏感凭据/文件,任何允许的发送方都有可能通过工具使用驱动数据泄露。
对于团队工作流,使用独立 Agent/Gateway 并配备最小工具集;保持个人数据 Agent 私有。
公司共享 Agent:可接受的模式
当使用该 Agent 的所有人都处于同一个信任边界(例如一个公司团队)且 Agent 严格限定于业务范围时,这个模式是可接受的。
- 在专用机器/VM/容器上运行;
- 使用专用 OS 用户 + 专用浏览器/配置文件/账户;
- 不要将该运行时登录到个人 Apple/Google 账户或个人密码管理器/浏览器配置文件。
如果你将个人和公司身份混合在同一个运行时上,你就消除了隔离,增加了个人数据暴露风险。
Gateway 与 Node 信任概念
将 Gateway 和 node 视为一个 operator 信任域,角色不同:
- Gateway 是控制面和策略面(
gateway.auth、工具策略、路由)。 - Node 是与该 Gateway 配对的远程执行面(命令、设备操作、主机本地能力)。
- 一个对 Gateway 通过鉴权的调用方在 Gateway 作用域内是受信的。配对后,node 操作是该 node 上受信的 operator 操作。
- Operator 作用域级别和审批时间检查在 Operator scopes 中有总结。
- 使用共享 gateway 令牌/密码鉴权的直连回环后端客户端无需呈现用户设备身份即可进行内部控制面 RPC。这不是远程或浏览器配对的绕过:网络客户端、node 客户端、设备令牌客户端和显式设备身份仍然需要经过配对和作用域升级实施。
sessionKey是路由/上下文选择,不是按用户的认证。- 执行审批(白名单 + 询问)是 operator 意图的护栏,不是敌对多租户隔离。
- OpenClaw 的默认产品设定(针对单 operator 受信设置)是:在
gateway/node上允许主机执行而不需审批提示(security="full"、ask="off"除非你收紧它)。这是有意的 UX,不是漏洞。 - 执行审批绑定精确的请求上下文和尽力而为的直接本地文件操作数;它不会对每个运行时/解释器加载路径进行语义建模。请使用沙箱和主机隔离来实现强边界。
如果你需要对抗性用户隔离,按 OS 用户/主机拆分信任边界并运行独立的 Gateway。
信任边界矩阵
用于快速评估风险的模型:
| 边界或控制 | 含义 | 常见误解 |
|---|---|---|
gateway.auth(令牌/密码/可信代理/设备认证) | 认证调用者到 Gateway API | “需要在每一帧上都有每条消息的签名才算安全” |
sessionKey | 上下文/会话选择的路由键 | “会话键是用户认证边界” |
| 提示/内容护栏 | 减少模型滥用风险 | “仅凭提示注入就能证明认证绕过” |
canvas.eval / 浏览器 evaluate | 启用时的有意 operator 能力 | “任何 JS eval 原语在该信任模型中自动是漏洞” |
本地 TUI ! shell | 显式 operator 触发的本地执行 | “本地 shell 便利命令是远程注入” |
| Node 配对和 node 命令 | operator 级别远程执行已配对设备 | “远程设备控制默认应视为不受信用户访问” |
gateway.nodes.pairing.autoApproveCidrs | 可选加入的信任网络节点注册策略 | “一个默认禁用的白名单是在自动配对漏洞” |
设计上不是漏洞
经常报告但通常关闭的常见发现
如果未显示真正的边界绕过,以下模式通常被标记为无操作:
- 纯提示注入链且没有策略、认证或沙箱绕过。
- 假设在一个共享主机/配置上进行敌对多租户操作的声明。
- 将普通 operator 读取路径访问(例如
sessions.list/sessions.preview/chat.history)在共享 gateway 设置中分类为 IDOR 的声明。 - 仅限 localhost 部署的发现(例如在仅限 loopback 的 Gateway 上的 HSTS)。
- Discord 入站 webhook 签名发现(针对此仓库中不存在的入站路径)。
- 将 node 配对元数据视为隐藏的第二层每命令审批层,而实际执行边界仍然是 gateway 的全局 node 命令策略加上 node 自身的执行审批。
- 将配置的
gateway.nodes.pairing.autoApproveCidrs本身视为漏洞的报告。此设置默认禁用,需要显式 CIDR/IP 条目,仅适用于首次role: node配对且未请求作用域,并且不会自动批准 operator/browser/Control UI、WebChat、角色升级、作用域升级、元数据更改、公钥更改或同主机回环可信代理头路径(除非显式启用了回环可信代理认证)。 - “缺少按用户授权”的发现,将
sessionKey视为认证令牌。
60 秒加固基线
先使用此基线,然后按受信 Agent 有选择地重新启用工具:
json5
{
gateway: {
mode: "local",
bind: "loopback",
auth: { mode: "token", token: "replace-with-long-random-token" },
},
session: {
dmScope: "per-channel-peer",
},
tools: {
profile: "messaging",
deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
fs: { workspaceOnly: true },
exec: { security: "deny", ask: "always" },
elevated: { enabled: false },
},
channels: {
whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } },
},
}这使 Gateway 只对本地可用,隔离 DM,并默认禁用控制面/运行时工具。
共享收件箱快速规则
如果不止一个人能给你的 bot 发 DM:
- 设置
session.dmScope: "per-channel-peer"(对于多账号频道则用"per-account-channel-peer"); - 保持
dmPolicy: "pairing"或严格的白名单; - 永远不要把共享 DM 与宽泛的工具访问结合起来;
- 这加固了协作/共享收件箱,但当用户共享主机/配置写入权限时,它并不是针对敌对共租户的隔离设计。
上下文可见性模型
OpenClaw 区分两个概念:
- 触发授权:谁能触发 Agent(
dmPolicy、groupPolicy、白名单、提及门控)。 - 上下文可见性:哪些补充上下文被注入到模型输入(回复正文、引用文本、线程历史、转发元数据)。
白名单用于门控触发和命令授权。contextVisibility 设置控制如何过滤补充上下文(引用回复、线程根、获取的历史记录):
contextVisibility: "all"(默认):保留所有补充上下文。contextVisibility: "allowlist":将补充上下文过滤为当前白名单检查允许的发送者。contextVisibility: "allowlist_quote":行为类似allowlist,但仍保留一条显式引用回复。
按频道或按房间/对话设置 contextVisibility。参见群组聊天了解更多设置细节。
建议分类指导:
- 仅显示“模型可以看到来自非白名单发送者的引用或历史文本”的发现属于可用
contextVisibility解决的加固问题,本身不是认证或沙箱边界绕过。 - 要成为安全影响,报告仍需展示一个信任边界绕过(认证、策略、沙箱、审批或另一个已记录的边界)。
审计检查的内容(高层)
- 入站访问(DM 策略、群组策略、白名单):陌生人能触发 bot 吗?
- 工具爆炸半径(提升的工具 + 开放房间):提示注入能转化为 shell/文件/网络操作吗?
- Exec 文件系统漂移:是否在有文件系统工具的情况下被禁用,而
exec/process仍无沙箱文件系统约束? - Exec 审批漂移(
security=full、autoAllowSkills、没有strictInlineEval的解释器白名单):主机执行护栏是否还如你所想?security="full"是宽泛的姿势警告,不是 bug 的证据。它是有意设定的受信个人助理设置的默认值;只有当你的威胁模型需要审批或白名单护栏时才收紧它。
- 网络暴露(Gateway 绑定/认证、Tailscale Serve/Funnel、弱/短认证令牌)。
- 浏览器控制暴露(远程 node、中继端口、远程 CDP 端点)。
- 本地磁盘卫生(权限、符号链接、配置包含、“同步文件夹”路径)。
- 插件(存在没有显式白名单的扩展)。
- 策略漂移/配置错误(沙箱 Docker 设置已配置但沙箱模式关闭;无效的
gateway.nodes.denyCommands模式因为匹配是精确命令名,不检查 shell 文本;危险的gateway.nodes.allowCommands条目;全局tools.profile="minimal"被每个 Agent 配置文件覆盖;在宽松工具策略下可访问的插件工具)。 - 运行时预期漂移(例如假设隐式 exec 仍指
sandbox,但tools.exec.host现在默认为auto,或显式设置tools.exec.host="sandbox"而沙箱模式关闭)。 - 模型卫生(配置的模型看起来是旧版时发出警告;不是硬性阻止)。
如果你运行 --deep,OpenClaw 也会尽力进行实时 Gateway 探测。
凭据存储映射
用于审计访问或决定备份什么:
- WhatsApp:
~/.openclaw/credentials/whatsapp/<accountId>/creds.json - Telegram bot token:配置/env 或
channels.telegram.tokenFile(仅限普通文件;拒绝符号链接) - Discord bot token:配置/env 或 SecretRef(env/file/exec provider)
- Slack tokens:配置/env(
channels.slack.*) - 配对白名单:
~/.openclaw/credentials/<channel>-allowFrom.json(默认账号)~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json(非默认账号)
- 模型认证配置文件:
~/.openclaw/agents/<agentId>/agent/auth-profiles.json - Codex 运行时状态:
~/.openclaw/agents/<agentId>/agent/codex-home/ - 文件支持的秘密载荷(可选):
~/.openclaw/secrets.json - 旧版 OAuth 导入:
~/.openclaw/credentials/oauth.json
安全审计检查清单
当审计输出发现时,按此优先级处理:
- 任何“开放”+ 工具启用:首先锁定 DM/群组(配对/白名单),然后收紧工具策略/沙箱。
- 公网暴露(LAN 绑定、Funnel、缺少认证):立即修复。
- 浏览器控制远程暴露:如同 operator 访问(仅限 tailnet,有目的地配对 node,避免公网暴露)。
- 权限:确保状态/配置/凭据/认证文件不是组或全局可读的。
- 插件:只加载你明确信任的。
- 模型选择:对任何带工具的 bot,优先使用最强的最新、指令增强型模型。
安全审计术语表
每个审计发现都有一个结构化的 checkId(例如 gateway.bind_no_auth 或 tools.exec.security_full_configured)。常见的严重级别类别:
fs.*- 状态、配置、凭据、认证配置文件的文件系统权限。gateway.*- 绑定模式、认证、Tailscale、控制 UI、可信代理设置。hooks.*,browser.*,sandbox.*,tools.exec.*- 每个表面的加固。plugins.*,skills.*- 插件/技能供应链和扫描发现。security.exposure.*- 交叉检查,访问策略与工具爆炸半径相遇。
完整目录及严重性级别、修复键和自动修复支持见 安全审计检查。
通过 HTTP 的控制 UI
控制 UI 需要安全上下文(HTTPS 或 localhost)来生成设备身份。gateway.controlUi.allowInsecureAuth 是一个本地兼容性开关:
- 在 localhost 上,它允许控制 UI 在页面通过非安全 HTTP 加载时无需设备身份进行认证。
- 它不绕过配对检查。
- 它不会放宽远程(非 localhost)设备身份要求。
优先使用 HTTPS(Tailscale Serve)或在 127.0.0.1 上打开 UI。
仅在紧急场景下,gateway.controlUi.dangerouslyDisableDeviceAuth 完全禁用设备身份检查。这是一个严重的安全降级;除非你正在积极调试并能快速恢复,否则保持关闭。
与这些危险标志分开,成功的 gateway.auth.mode: "trusted-proxy" 可以允许 operator 控制 UI 会话无需设备身份。这是有意的认证模式行为,不是 allowInsecureAuth 的快捷方式,而且它仍然不会扩展到 node 角色的控制 UI 会话。
openclaw security audit 在此设置启用时发出警告。
危险或危险标志总结
openclaw security audit 在已知危险/调试开关启用时引发 config.insecure_or_dangerous_flags。在生产环境中保持这些标志未设置。每个启用的标志会作为单独的发现报告。如果配置了审计抑制,security.audit.suppressions.active 仍会出现在活动审计输出中,即使匹配的发现移动到了 suppressedFindings。
当前审计跟踪的标志
- `gateway.controlUi.allowInsecureAuth=true`
- `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true`
- `gateway.controlUi.dangerouslyDisableDeviceAuth=true`
- `security.audit.suppressions configured (<count>)`
- `hooks.gmail.allowUnsafeExternalContent=true`
- `hooks.mappings[<index>].allowUnsafeExternalContent=true`
- `tools.exec.applyPatch.workspaceOnly=false`
- `plugins.entries.acpx.config.permissionMode=approve-all`
配置 schema 中所有 dangerous*/dangerously* 键
控制 UI 和浏览器:
- `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback`
- `gateway.controlUi.dangerouslyDisableDeviceAuth`
- `browser.ssrfPolicy.dangerouslyAllowPrivateNetwork`
频道名称匹配(捆绑和插件频道;也可用于 `accounts.<accountId>` 处):
- `channels.discord.dangerouslyAllowNameMatching`
- `channels.slack.dangerouslyAllowNameMatching`
- `channels.googlechat.dangerouslyAllowNameMatching`
- `channels.msteams.dangerouslyAllowNameMatching`
- `channels.synology-chat.dangerouslyAllowNameMatching`(插件频道)
- `channels.synology-chat.dangerouslyAllowInheritedWebhookPath`(插件频道)
- `channels.zalouser.dangerouslyAllowNameMatching`(插件频道)
- `channels.irc.dangerouslyAllowNameMatching`(插件频道)
- `channels.mattermost.dangerouslyAllowNameMatching`(插件频道)
网络暴露:
- `channels.telegram.network.dangerouslyAllowPrivateNetwork`(也可按账户)
沙箱 Docker(默认 + 按 Agent):
- `agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargets`
- `agents.defaults.sandbox.docker.dangerouslyAllowExternalBindSources`
- `agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin`
反向代理配置
如果你在反向代理(nginx、Caddy、Traefik 等)后面运行 Gateway,配置 gateway.trustedProxies 以正确处理转发的客户端 IP。
当 Gateway 从未在 trustedProxies 中的地址检测到代理头时,它将不会将连接视为本地客户端。如果 gateway 认证已禁用,这些连接将被拒绝。这可以防止认证绕过,因为代理连接否则会看起来来自 localhost 并获得自动信任。
gateway.trustedProxies 也用于 gateway.auth.mode: "trusted-proxy",但该认证模式更严格:
- 可信代理认证默认在回环源代理上故障关闭;
- 同主机回环反向代理可以使用
gateway.trustedProxies进行本地客户端检测和转发 IP 处理; - 同主机回环反向代理只有在
gateway.auth.trustedProxy.allowLoopback = true时才能满足gateway.auth.mode: "trusted-proxy";否则使用令牌/密码认证。
yaml
gateway:
trustedProxies:
- "10.0.0.1" # 反向代理 IP
# 可选,默认 false。
# 仅当你的代理无法提供 X-Forwarded-For 时才启用。
allowRealIpFallback: false
auth:
mode: password
password: ${OPENCLAW_GATEWAY_PASSWORD}当配置了 trustedProxies 时,Gateway 使用 X-Forwarded-For 来确定客户端 IP。除非显式设置 gateway.allowRealIpFallback: true,否则默认忽略 X-Real-IP。
可信代理头不会自动使 node 设备配对变得可信。gateway.nodes.pairing.autoApproveCidrs 是一个独立的、默认禁用的 operator 策略。即使启用了,回环源的可信代理头路径也被排除在 node 自动批准之外,因为本地调用者可以伪造这些头,包括当显式启用了回环可信代理认证时。
好的反向代理行为(覆盖传入的转发头):
nginx
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;坏的反向代理行为(追加/保留不可信的转发头):
nginx
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;HSTS 与来源说明
- OpenClaw gateway 天生以本地/回环为主。如果在反向代理处终止 TLS,请在代理面向的 HTTPS 域名上设置 HSTS。
- 如果 gateway 本身终止 HTTPS,你可以设置
gateway.http.securityHeaders.strictTransportSecurity使 OpenClaw 响应中发出 HSTS 头。 - 详细部署指导见可信代理认证。
- 对于非回环控制 UI 部署,默认需要
gateway.controlUi.allowedOrigins。 gateway.controlUi.allowedOrigins: ["*"]是显式的允许所有浏览器来源策略,不是加固的默认值。在严格控制的本机测试之外避免使用。- 回环上的浏览器来源认证失败即使在启用了通用回环豁免时也会进行速率限制,但锁定键是按照标准化的
Origin值范围而非共享的 localhost 桶。 gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true启用 Host 头来源回退模式;将其视为一种危险的 operator 选择的策略。- 将 DNS 重绑定和代理主机头行为视为部署加固问题;保持
trustedProxies严格,并避免将 gateway 直接暴露到公网。
本地会话日志存在磁盘上
OpenClaw 在 ~/.openclaw/agents/<agentId>/sessions/*.jsonl 下存储会话记录。这对于会话连续性以及(可选)会话内存索引是必需的,但这也意味着任何有文件系统访问权限的进程/用户都可以读取这些日志。将磁盘访问视为信任边界,并锁定 ~/.openclaw 的权限(参见上面的审计部分)。如果你需要在 Agent 之间实现更强的隔离,请在独立 OS 用户或独立主机下运行它们。
Node 执行(system.run)
如果已配对 macOS node,Gateway 可以在该 node 上调用 system.run。这是在 Mac 上的远程代码执行:
- 需要 node 配对(审批 + 令牌)。
- Gateway node 配对不是每条命令的审批面。它建立 node 身份/信任和令牌发放。
- Gateway 通过
gateway.nodes.allowCommands/denyCommands应用粗粒度的全局 node 命令策略。 - 在 Mac 上通过设置 → Exec approvals 控制(安全 + 询问 + 白名单)。
- 每个 node 的
system.run策略是 node 自己的执行审批文件(exec.approvals.node.*),它可以比 gateway 的全局命令 ID 策略更严格或更宽松。 - 运行
security="full"和ask="off"的 node 遵循默认的受信 operator 模型。将其视为预期行为,除非你的部署显式要求更严格的审批或白名单姿势。 - 审批模式绑定精确的请求上下文,并在可能的情况下绑定具体的本地脚本/文件操作数。如果 OpenClaw 无法为一个解释器/运行时命令确定恰好一个直接本地文件,那么基于审批的执行将被拒绝,而不是承诺完全语义覆盖。
- 对于
host=node,基于审批的运行还存储一个规范的准备的systemRunPlan;之后批准的转发重用该存储的计划,并且 gateway 验证在创建审批请求后拒绝调用者修改命令/cwd/会话上下文。 - 如果你不希望远程执行,将安全级别设置为 deny 并移除该 Mac 的 node 配对。
这个区别对于分类很重要:
- 一个重新连接配对的 node 通告不同的命令列表本身并不是漏洞,只要 Gateway 全局策略和 node 的本地执行审批仍然强制执行实际的执行边界。
- 将 node 配对元数据视为隐藏的第二层每命令审批层的报告通常是策略/UX 混淆,而不是安全边界绕过。
动态技能(watcher / 远程节点)
OpenClaw 可以在会话中间刷新技能列表:
- 技能 watcher:
SKILL.md的更改可以在下一次 Agent 轮次更新技能快照。 - 远程节点:连接 macOS node 可以使仅在 macOS 上可用的技能变得可用(基于二进制探测)。
将技能文件夹视为受信代码,并限制谁能修改它们。
威胁模型
你的 AI 助理可以:
- 执行任意 shell 命令
- 读/写文件
- 访问网络服务
- 向任何人发送消息(如果你给了它 WhatsApp 访问权限)
向你发送消息的人可以:
- 试图欺骗你的 AI 做坏事
- 社会工程手段访问你的数据
- 探测基础设施细节
核心概念:访问控制优先于智能
大多数失败并非花哨的漏洞利用——而是“有人向 bot 发了消息,bot 照做了”。
OpenClaw 的立场:
- 身份优先:决定谁可以和 bot 对话(DM 配对/白名单/显式“开放”)。
- 作用域其次:决定 bot 被允许在哪里行动(群组白名单 + 提及门控、工具、沙箱、设备权限)。
- 模型最后:假设模型可以被操纵;设计时使操纵的爆炸半径有限。
命令授权模型
斜杠命令和指令仅对已授权的发送方生效。授权源自频道白名单/配对加上 commands.useAccessGroups(参见配置和斜杠命令)。如果频道白名单为空或包含 "*",命令对该频道实际上是开放的。
/exec 是已授权 operator 的会话级便利功能。它不写入配置或改变其他会话。
控制面工具风险
两个内置工具可以产生持久的控制面变更:
gateway可以使用config.apply、config.patch和update.run。cron可以创建在原始聊天/任务结束后仍继续运行的定时任务。
对于任何处理不受信内容的 Agent/表面,默认拒绝这些工具:
json5
{
tools: {
deny: ["gateway", "cron", "sessions_spawn", "sessions_send"],
},
}commands.restart=false 仅阻止重启操作,不禁用 gateway 的配置/更新操作。
插件
插件在进程内与 Gateway 一起运行。将它们视为受信代码:
- 只安装你信任来源的插件。
- 优先使用显式的
plugins.allow白名单。 - 启用前审查插件配置。
- 插件更改后重启 Gateway。
- 如果你安装或更新插件(
openclaw plugins install <package>、openclaw plugins update <id>),视同运行不受信代码:- 安装路径是活动插件安装根目录下每个插件的目录。
- OpenClaw 在安装/更新前运行内置的危险代码扫描。
critical发现默认阻止。 - npm 和 git 插件安装只在显式的安装/更新流程期间运行包管理器依赖收敛。本地路径和归档被视为自包含的插件包;OpenClaw 复制/引用它们而不运行
npm install。 - 优先使用固定的精确版本(
@scope/pkg@1.2.3),并在启用前检查磁盘上的解包代码。 --dangerously-force-unsafe-install仅用于内置扫描误报时的紧急通道,不会绕过插件before_install钩子策略阻止,也不会绕过扫描失败。
- Gateway 支持的技能依赖安装遵循相同的危险/可疑分割:内置的
critical发现会阻止,除非调用者显式设置dangerouslyForceUnsafeInstall,而可疑发现仅发出警告。openclaw skills install仍然是独立的 ClawHub 技能下载/安装流程。
详情:插件
DM 访问模型:配对、白名单、开放、禁用
所有支持 DM 的频道都支持 DM 策略(dmPolicy 或 *.dm.policy),在处理消息之前限制入站 DM:
pairing(默认):未知发送方收到一个简短的配对码,bot 忽略他们的消息直到批准。码在 1 小时后过期;重复的 DM 不会重新发送码,直到创建新请求。待处理请求默认每频道最多 3 个。allowlist:未知发送方被阻止(无配对握手)。open:允许任何人 DM(公开)。需要频道白名单包含"*"(显式选择加入)。disabled:完全忽略入站 DM。
通过 CLI 批准:
bash
openclaw pairing list <channel>
openclaw pairing approve <channel> <code>详情及磁盘上的文件:配对
DM 会话隔离(多用户模式)
默认情况下,OpenClaw 将所有 DM 路由到主会话,以便你的助理跨设备和频道保持连续性。如果多人可以向 bot 发送 DM(开放 DM 或多人白名单),考虑隔离 DM 会话:
json5
{
session: { dmScope: "per-channel-peer" },
}这防止跨用户上下文泄漏,同时保持群组聊天隔离。
这是消息上下文边界,不是主机管理员边界。如果用户是相互对抗的并共享同一个 Gateway 主机/配置,请改为按信任边界运行独立的 Gateway。
安全 DM 模式(推荐)
将上面的代码片段视为安全 DM 模式:
- 默认:
session.dmScope: "main"(所有 DM 共享一个会话以实现连续性)。 - 本地 CLI 入门默认:当未设置时写入
session.dmScope: "per-channel-peer"(保留现有显式值)。 - 安全 DM 模式:
session.dmScope: "per-channel-peer"(每个频道+发送者对获得一个隔离的 DM 上下文)。 - 跨频道对等隔离:
session.dmScope: "per-peer"(每个发送者在同一类型的所有频道中有一个会话)。
如果你在同一频道上运行多个账号,请使用 per-account-channel-peer。如果同一个人通过多个频道联系你,请使用 session.identityLinks 将这些 DM 会话合并为一个规范身份。参见会话管理和配置。
DM 和群组的白名单
OpenClaw 有两个独立的“谁可以触发我?”层:
- DM 白名单(
allowFrom/channels.discord.allowFrom/channels.slack.allowFrom;遗留:channels.discord.dm.allowFrom、channels.slack.dm.allowFrom):谁被允许在直接消息中与 bot 对话。- 当
dmPolicy="pairing"时,批准被写入账户范围的配对白名单存储,位于~/.openclaw/credentials/(默认账号为<channel>-allowFrom.json,非默认账号为<channel>-<accountId>-allowFrom.json),与配置白名单合并。
- 当
- 群组白名单(频道特定):哪些群组/频道/服务器 bot 将接收消息。
- 常见模式:
channels.whatsapp.groups、channels.telegram.groups、channels.imessage.groups:按群组的默认如requireMention;设置时也作为群组白名单(包含"*"以保持允许所有行为)。groupPolicy="allowlist"+groupAllowFrom:限制谁可以在群组会话内触发 bot(WhatsApp/Telegram/Signal/iMessage/Microsoft Teams)。channels.discord.guilds/channels.slack.channels:按表面的白名单 + 提及默认。
- 群组检查按此顺序运行:首先
groupPolicy/群组白名单,其次提及/回复激活。 - 回复 bot 消息(隐式提及)不会绕过发送者白名单如
groupAllowFrom。 - 安全说明: 将
dmPolicy="open"和groupPolicy="open"视为最后手段的设置。它们应该很少使用;除非你完全信任房间中的每个成员,否则优先使用配对 + 白名单。
- 常见模式:
提示注入(是什么、为什么重要)
提示注入是攻击者构造消息操纵模型执行不安全操作(“忽略你的指令”、“转储你的文件系统”、“跟随此链接并运行命令”等)的攻击方式。
即使有强系统提示,提示注入仍未解决。系统提示护栏仅是软性指导;硬性执行来自工具策略、执行审批、沙箱和频道白名单(operator 可以按设计禁用它们)。实际有帮助的:
- 锁定入站 DM(配对/白名单)。
- 在群组中优先使用提及门控;避免在公共房间中使用“始终在线” bot。
- 默认将链接、附件和粘贴的指令视为恶意。
- 在沙箱中运行敏感工具执行;将秘密保持在 Agent 可访问的文件系统之外。
- 注意:沙箱是选择加入的。如果沙箱模式关闭,隐式
host=auto解析为 gateway 主机。显式host=sandbox由于没有沙箱运行时可用而故障关闭。如果希望显式行为,设置host=gateway。 - 将高风险工具(
exec、browser、web_fetch、web_search)限制为受信 Agent 或显式白名单。 - 如果你白名单解释器(
python、node、ruby、perl、php、lua、osascript),启用tools.exec.strictInlineEval以便内联 eval 形式仍需要显式审批。 - Shell 审批分析还拒绝在未引用的 heredoc 内部的 POSIX 参数扩展形式(
$VAR、$?、$$、$1、$@、${…}),因此一个在白名单中的 heredoc 正文不能通过以纯文本形式偷偷进行 shell 扩展来绕过白名单审查。引用 heredoc 终止符(例如<<'EOF')以选择文字正文语义;未引用的 heredoc 则会展开变量并被拒绝。 - 模型选择很重要: 较旧/较小/遗留的模型对提示注入和工具滥用的抵抗力显著更弱。对于启用工具的 Agent,使用最强的最新、指令增强型模型。
视为不受信的红色标志:
- “读取此文件/URL 并完全按照它说的做。”
- “忽略你的系统提示或安全规则。”
- “揭示你的隐藏指令或工具输出。”
- “粘贴 ~/.openclaw 或你的日志的完整内容。”
外部内容特殊标记清理
OpenClaw 在包装的外部内容和元数据到达模型之前,会从中剥离常见的自托管 LLM 聊天模板特殊标记文字。涵盖的标记系列包括 Qwen/ChatML、Llama、Gemma、Mistral、Phi 和 GPT-OSS 角色/轮次标记。
原因:
- 面向自托管模型的 OpenAI 兼容后端有时会保留出现在用户文本中的特殊标记,而不是对其进行掩码。能够写入入站外部内容的攻击者(一个提取的页面、一个电子邮件正文、一个文件内容工具输出)可能会注入一个合成的
assistant或system角色边界,并绕过包装内容护栏。 - 清理发生在外部内容包装层,因此统一适用于所有提取/读取工具和入站频道内容,而不是按 provider 进行。
- 出站模型响应已经有一个单独的清理器,在最终的频道传递边界从用户可见的回复中剥离泄露的
<tool_call>、<function_calls>、<system-reminder>、<previous_response>等内部运行时脚手架。外部内容清理器是入站对应部分。
这并不取代本页上的其他加固措施——dmPolicy、白名单、执行审批、沙箱和 contextVisibility 仍然完成主要工作。它关闭了针对自我托管堆栈的一个特定标记器层绕过,该堆栈将用户文本原样转发并保留特殊标记。
不安全外部内容绕过标志
OpenClaw 包括显式的绕过标志,用于禁用外部内容安全包装:
hooks.mappings[].allowUnsafeExternalContenthooks.gmail.allowUnsafeExternalContent- Cron 载荷字段
allowUnsafeExternalContent
指导:
- 在生产环境中保持这些未设置/为 false。
- 仅在严格限定的调试期间临时启用。
- 如果启用,隔离该 Agent(沙箱 + 最小工具 + 专用会话命名空间)。
Hooks 风险说明:
- Hook 载荷是不受信的内容,即使交付来自你控制的系统(邮件/文档/网页内容可能携带提示注入)。
- 弱模型层级增加了此风险。对于由 hook 驱动的自动化,优先使用强现代模型层级并保持工具策略严格(
tools.profile: "messaging"或更严格),并在可能的情况下使用沙箱。
提示注入不需要公共 DM
即使只有你可以向 bot 发送消息,提示注入仍然可能通过 bot 读取的任何不受信内容发生(网络搜索/提取结果、浏览器页面、邮件、文档、附件、粘贴的日志/代码)。换句话说:发送者不是唯一的威胁面;内容本身可以携带对抗性指令。
当工具启用时,典型风险是窃取上下文或触发工具调用。通过以下方式减少爆炸半径:
- 使用只读或禁用工具的阅读 Agent 总结不受信内容,然后将其摘要传递给主 Agent。
- 对于启用工具的 Agent,除非需要,保持
web_search/web_fetch/browser关闭。 - 对于 OpenResponses URL 输入(
input_file/input_image),设置严格的gateway.http.endpoints.responses.files.urlAllowlist和gateway.http.endpoints.responses.images.urlAllowlist,并保持maxUrlParts低。空白名单被视为未设置;如果你希望完全禁用 URL 提取,请使用files.allowUrl: false/images.allowUrl: false。 - 对于 OpenResponses 文件输入,解码的
input_file文本仍然作为不受信外部内容注入。不要因为 Gateway 本地解码了就认为文件文本是可信的。注入的块仍然携带显式的<<<EXTERNAL_UNTRUSTED_CONTENT ...>>>边界标记加上Source: External元数据,即使此路径省略了更长的SECURITY NOTICE:横幅。 - 当媒体理解从附加文档中提取文本然后将该文本追加到媒体提示时,应用相同的基于标记的包装。
- 为任何接触不受信输入的 Agent 启用沙箱和严格工具白名单。
- 将秘密保持在提示之外;通过 gateway 主机上的环境/配置传递它们。
自托管 LLM 后端
OpenAI 兼容的自托管后端,如 vLLM、SGLang、TGI、LM Studio 或自定义 Hugging Face 分词器堆栈,在处理聊天模板特殊标记方面可能与托管 provider 不同。如果后端对用户内容中的文字字符串如 <|im_start|>、<|start_header_id|> 或 <start_of_turn> 进行分词并将其视为结构性聊天模板标记,则不受信文本可能尝试在分词器层伪造角色边界。
OpenClaw 在将包装的外部内容分派给模型之前,会从中剥离常见模型系列的特殊标记文字。保持外部内容包装启用,并优先选择在用户提供的内容中拆分或转义特殊标记的后端设置(如果可用)。托管 provider 如 OpenAI 和 Anthropic 已经应用各自的请求端清理。
模型强度(安全说明)
提示注入抵抗力在模型层级间不均匀。较小/较便宜的模型通常更容易受到工具滥用和指令劫持的影响,尤其是在对抗性提示下。
WARNING
对于启用工具的 Agent 或读取不受信内容的 Agent,使用较旧/较小模型的提示注入风险通常过高。不要在这些弱模型层级上运行此类工作负载。
建议:
- 对任何可以运行工具或接触文件/网络的 bot,使用最新一代、最佳层级的模型。
- 对于启用工具的 Agent 或不受信收件箱,不要使用较旧/较弱/较小层级的模型; 提示注入风险过高。
- 如果必须使用较小模型,减少爆炸半径(只读工具、强沙箱、最小文件系统访问、严格白名单)。
- 当运行小模型时,为所有会话启用沙箱并除非输入受到严格控制,否则禁用
web_search/web_fetch/browser。 - 对于仅聊天的个人助理,有受信输入且无工具,小模型通常没问题。
推理和详细输出在群组中
/reasoning、/verbose 和 /trace 可以暴露内部推理、工具输出或插件诊断信息,这些信息本不打算出现在公共频道中。在群组设置中,将它们视为调试专用并保持关闭,除非你明确需要它们。
指导:
- 在公共房间中保持
/reasoning、/verbose和/trace禁用。 - 如果启用,仅在受信 DM 或严格控制房间中进行。
- 记住:详细和跟踪输出可能包括工具参数、URL、插件诊断数据和模型看到的数据。
配置加固示例
文件权限
在 gateway 主机上保持配置 + 状态私有:
~/.openclaw/openclaw.json:600(仅用户读/写)~/.openclaw:700(仅用户)
openclaw doctor 可以警告并提供收紧这些权限。
网络暴露(绑定、端口、防火墙)
Gateway 在单个端口上多路复用 WebSocket + HTTP:
- 默认:
18789 - 配置/标志/环境:
gateway.port、--port、OPENCLAW_GATEWAY_PORT
此 HTTP 表面包括控制 UI 和 canvas 主机:
- 控制 UI(SPA 资产)(默认基路径
/) - Canvas 主机:
/__openclaw__/canvas/和/__openclaw__/a2ui/(任意 HTML/JS;视为不受信内容)
如果你在普通浏览器中加载 canvas 内容,请像对待任何其他不受信网页一样对待它:
- 不要将 canvas 主机暴露给不受信的网络/用户。
- 除非你完全理解影响,否则不要使 canvas 内容与特权网页表面共享相同的来源。
绑定模式控制 Gateway 监听位置:
gateway.bind: "loopback"(默认):只有本地客户端可以连接。- 非回环绑定(
"lan"、"tailnet"、"custom")会扩大攻击面。仅当使用 gateway 认证(共享令牌/密码或正确配置的可信代理)和真实防火墙时才使用它们。
经验法则:
- 优先使用 Tailscale Serve 而不是 LAN 绑定(Serve 将 Gateway 保持在回环上,而 Tailscale 处理访问)。
- 如果必须绑定到 LAN,请将端口防火墙限制为源 IP 的严格白名单;不要广泛地转发端口。
- 永远不要将 Gateway 未经认证地暴露在
0.0.0.0上。
带有 UFW 的 Docker 端口发布
如果在 VPS 上使用 Docker 运行 OpenClaw,请记住发布的容器端口(-p HOST:CONTAINER 或 Compose ports:)是通过 Docker 的转发链路由的,而不仅仅是主机的 INPUT 规则。
要使 Docker 流量与你的防火墙策略对齐,请在 DOCKER-USER 中强制执行规则(此链在 Docker 自己的接受规则之前评估)。在许多现代发行版上,iptables/ip6tables 使用 iptables-nft 前端,并且仍然将这些规则应用于 nftables 后端。
最小白名单示例(IPv4):
bash
# /etc/ufw/after.rules (作为自己的 *filter 部分附加)
*filter
:DOCKER-USER - [0:0]
-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
-A DOCKER-USER -s 127.0.0.0/8 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 192.168.0.0/16 -j RETURN
-A DOCKER-USER -s 100.64.0.0/10 -j RETURN
-A DOCKER-USER -p tcp --dport 80 -j RETURN
-A DOCKER-USER -p tcp --dport 443 -j RETURN
-A DOCKER-USER -m conntrack --ctstate NEW -j DROP
-A DOCKER-USER -j RETURN
COMMITIPv6 有单独的表。如果 Docker IPv6 启用,请在 /etc/ufw/after6.rules 中添加匹配策略。
避免在文档片段中对接口名称进行硬编码。接口名称在不同 VPS 镜像中有所不同(ens3、enp* 等),不匹配可能意外跳过你的拒绝规则。
重新加载后的快速验证:
bash
ufw reload
iptables -S DOCKER-USER
ip6tables -S DOCKER-USER
nmap -sT -p 1-65535 <public-ip> --open预期的外部端口应该只是你有意暴露的端口(对大多数设置:SSH + 你的反向代理端口)。
mDNS/Bonjour 发现
当捆绑的 bonjour 插件启用时,Gateway 通过 mDNS(_openclaw-gw._tcp,端口 5353)广播其存在以实现本地设备发现。在全模式下,这包括可能暴露操作细节的 TXT 记录:
cliPath:CLI 二进制文件的完整文件系统路径(泄露用户名和安装位置)sshPort:通告主机上的 SSH 可用性displayName、lanHost:主机名信息
操作安全考虑: 广播基础设施细节使本地网络上的任何攻击者更容易侦察。即使是“无害”的信息如文件系统路径和 SSH 可用性也有助于攻击者映射你的环境。
建议:
除非需要 LAN 发现,否则保持 Bonjour 禁用。 Bonjour 在 macOS 主机上自动启动,在其他地方是选择加入;直接的 Gateway URL、Tailnet、SSH 或广域 DNS-SD 避免了本地多播。
最小模式(当 Bonjour 启用时的默认,推荐用于暴露的 gateway):从 mDNS 广播中省略敏感字段:
json5{ discovery: { mdns: { mode: "minimal" }, }, }禁用 mDNS 模式如果你想保持插件启用但抑制本地设备发现:
json5{ discovery: { mdns: { mode: "off" }, }, }全模式(选择加入):在 TXT 记录中包含
cliPath+sshPort:json5{ discovery: { mdns: { mode: "full" }, }, }环境变量(替代):设置
OPENCLAW_DISABLE_BONJOUR=1以在不更改配置的情况下禁用 mDNS。
当 Bonjour 启用为最小模式时,Gateway 广播足够的信息用于设备发现(role、gatewayPort、transport),但省略了 cliPath 和 sshPort。需要 CLI 路径信息的应用程序可以通过已认证的 WebSocket 连接获取它。
锁定 Gateway WebSocket(本地认证)
Gateway 认证默认是必需的。如果没有配置有效的 gateway 认证路径,Gateway 会拒绝 WebSocket 连接(故障关闭)。
入门默认生成一个令牌(即使是回环)以便本地客户端必须认证。
设置一个令牌以便所有 WS 客户端都必须认证:
json5
{
gateway: {
auth: { mode: "token", token: "your-token" },
},
}Doctor 可以为你生成一个:openclaw doctor --generate-gateway-token。
NOTE
gateway.remote.token 和 gateway.remote.password 是客户端凭据来源。它们本身不保护本地 WS 访问。本地调用路径只有在 gateway.auth.* 未设置时才能将 gateway.remote.* 作为回退使用。如果 gateway.auth.token 或 gateway.auth.password 通过 SecretRef 显式配置但无法解析,则解析故障关闭(没有远程回退屏蔽)。
可选:在使用 wss:// 时,用 gateway.remote.tlsFingerprint 固定远程 TLS。对于回环、私有 IP 文字、.local 和 Tailnet *.ts.net gateway URL,接受明文 ws://。对于其他受信私有 DNS 名称,在客户端进程上设置 OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1 作为紧急通道。这有意是仅进程环境,而不是 openclaw.json 配置键。移动配对和 Android 手动或扫描的 gateway 路由更严格:回环接受明文,但私有 LAN、链路本地、.local 和无点主机名必须使用 TLS,除非你显式选择受信私有网络明文路径。
本地设备配对:
- 设备配对对于直接本地回环连接自动批准,以保持同主机客户端流畅。
- OpenClaw 也有一个窄的后端/容器本地自连接路径,用于受信共享秘密辅助流。
- Tailnet 和 LAN 连接,包括同主机 tailnet 绑定,在配对时被视为远程,仍然需要批准。
- 回环请求上的转发头证据使回环本地性失效。元数据升级自动批准范围很窄。参见 Gateway 配对了解两个规则。
认证模式:
gateway.auth.mode: "token":共享密钥令牌(推荐用于大多数设置)。gateway.auth.mode: "password":密码认证(优先通过环境设置:OPENCLAW_GATEWAY_PASSWORD)。gateway.auth.mode: "trusted-proxy":信任一个身份感知的反向代理来认证用户并通过头传递身份(参见可信代理认证)。
轮换检查清单(令牌/密码):
- 生成/设置一个新的秘密(
gateway.auth.token或OPENCLAW_GATEWAY_PASSWORD)。 - 重启 Gateway(如果 macOS 应用监管 Gateway,则重启它)。
- 更新任何远程客户端(调用 Gateway 的机器上的
gateway.remote.token/.password)。 - 验证你无法再使用旧凭据连接。
Tailscale Serve 身份头
当 gateway.auth.allowTailscale 为 true(Serve 的默认值)时,OpenClaw 接受用于控制 UI/WebSocket 认证的 Tailscale Serve 身份头(tailscale-user-login)。OpenClaw 通过解析 x-forwarded-for 地址到本地 Tailscale 守护进程(tailscale whois)并将其匹配到头部来验证身份。这仅触发于命中回环并包含由 Tailscale 注入的 x-forwarded-for、x-forwarded-proto 和 x-forwarded-host 的请求。此异步身份检查路径中,对同一 {scope, ip} 的失败尝试在限制器记录失败之前被串行化。因此,来自一个 Serve 客户端的并发不良重试会立即锁定第二次尝试,而不是作为两个普通不匹配通过。HTTP API 端点(例如 /v1/*、/tools/invoke 和 /api/channels/*)不使用 Tailscale 身份头认证。它们仍然遵循 gateway 配置的 HTTP 认证模式。
重要边界说明:
- Gateway HTTP 密钥认证本质上是全有或全无的 operator 访问。
- 将可以调用
/v1/chat/completions、/v1/responses、插件路由如/api/v1/admin/rpc或/api/channels/*的凭据视为该 gateway 的全访问 operator 秘密。 - 在 OpenAI 兼容的 HTTP 表面上,共享秘密密钥认证恢复完整的默认 operator 作用域(
operator.admin、operator.approvals、operator.pairing、operator.read、operator.talk.secrets、operator.write)以及 Agent 轮次的 owner 语义;更窄的x-openclaw-scopes值不会减少该共享秘密路径。 - HTTP 上的每请求作用域语义仅在请求来自身份承载模式(例如可信代理认证)或来自显式无认证私有入口时适用。
- 在这些身份承载模式中,省略
x-openclaw-scopes回退到正常的 operator 默认作用域集;当你想要更窄的作用域集时,显式发送该头部。 /tools/invoke和 HTTP 会话历史端点遵循相同的共享秘密规则:令牌/密码密钥认证在此也被视为全 operator 访问,而身份承载模式仍然遵循声明的作用域。- 不要与不受信调用者共享这些凭据;优先按信任边界使用独立的 Gateway。
信任假设: 无令牌的 Serve 认证假设 gateway 主机是受信的。不要将其视为防止敌对同主机进程的保护。如果不受信本地代码可能在 gateway 主机上运行,请禁用 gateway.auth.allowTailscale 并使用 gateway.auth.mode: "token" 或 "password" 的显式共享秘密认证。
安全规则: 不要从你自己的反向代理转发这些头部。如果你在 gateway 前终止 TLS 或代理,禁用 gateway.auth.allowTailscale 并使用共享秘密认证(gateway.auth.mode: "token" 或 "password")或可信代理认证。
可信代理:
- 如果你在 Gateway 前终止 TLS,设置
gateway.trustedProxies为你的代理 IP。 - OpenClaw 将从这些 IP 信任
x-forwarded-for(或x-real-ip)来确定用于本地配对检查和 HTTP 认证/本地检查的客户端 IP。 - 确保你的代理覆盖
x-forwarded-for并阻止直接访问 Gateway 端口。
通过 Node 主机的浏览器控制(推荐)
如果你的 Gateway 是远程的但浏览器在另一台机器上运行,请在浏览器机器上运行一个 node 主机,并让 Gateway 代理浏览器操作(参见浏览器工具)。将 node 配对视为管理员访问。
推荐模式:
- 将 Gateway 和 node 主机保持在同一 tailnet(Tailscale)上。
- 有意地配对 node;如果你不需要,禁用手动代理路由。
避免:
- 通过 LAN 或公共互联网暴露中继/控制端口。
- 为浏览器控制端点使用 Tailscale Funnel(公共暴露)。
磁盘上的秘密
假设 ~/.openclaw/(或 $OPENCLAW_STATE_DIR/)下的任何内容可能包含秘密或私有数据:
openclaw.json:配置可能包括令牌(gateway、远程 gateway)、provider 设置和白名单。credentials/**:频道凭据(例如 WhatsApp 凭据)、配对白名单、旧版 OAuth 导入。agents/<agentId>/agent/auth-profiles.json:API 密钥、令牌配置文件、OAuth 令牌以及可选的keyRef/tokenRef。agents/<agentId>/agent/codex-home/**:每个 Agent 的 Codex 应用服务器账号、配置、技能、插件、本地线程状态和诊断信息。secrets.json(可选):由fileSecretRef provider(secrets.providers)使用的文件支持秘密载荷。agents/<agentId>/agent/auth.json:旧版兼容文件。发现静态api_key条目时会被清除。agents/<agentId>/sessions/**:会话记录(*.jsonl)+ 路由元数据(sessions.json),可能包含私有消息和工具输出。- 捆绑的插件包:已安装的插件(及其
node_modules/)。 sandboxes/**:工具沙箱工作区;可能累积你在沙箱内读/写的文件副本。
加固提示:
- 保持权限严格(目录
700,文件600)。 - 在 gateway 主机上使用全盘加密。
- 如果主机是共享的,优先为 Gateway 使用专用 OS 用户账号。
工作区 .env 文件
OpenClaw 为 Agent 和工具加载工作区本地的 .env 文件,但绝不允许这些文件静默覆盖 gateway 运行时控制。
- 任何以
OPENCLAW_*开头的键都被阻止从不受信的工作区.env文件加载。 - Matrix、Mattermost、IRC 和 Synology Chat 的频道端点设置也被阻止从工作区
.env覆盖,因此克隆的工作区不能通过本地端点配置重定向捆绑的连接器流量。端点环境键(例如MATRIX_HOMESERVER、MATTERMOST_URL、IRC_HOST、SYNOLOGY_CHAT_INCOMING_URL)必须来自 gateway 进程环境或env.shellEnv,而不是来自工作区加载的.env。 - 该阻止是故障关闭的:未来版本中添加的新运行时控制变量不能从检入的或攻击者提供的
.env继承;该键被忽略且 gateway 保持自己的值。 - 受信进程/OS 环境变量(gateway 自己的 shell、launchd/systemd 单元、应用包)仍然适用——这仅约束
.env文件加载。
原因:工作区 .env 文件经常位于 Agent 代码旁边,可能被意外提交或被工具写入。阻止整个 OPENCLAW_* 前缀意味着以后添加新的 OPENCLAW_* 标志永远不会退化为从工作区状态静默继承。
日志和记录(编辑和保留)
即使访问控制正确,日志和记录也可能泄露敏感信息:
- Gateway 日志可能包括工具摘要、错误和 URL。
- 会话记录可能包括粘贴的秘密、文件内容、命令输出和链接。
建议:
- 保持日志和记录编辑开启(
logging.redactSensitive: "tools";默认)。 - 通过
logging.redactPatterns为你的环境添加自定义模式(令牌、主机名、内部 URL)。 - 当共享诊断信息时,优先使用
openclaw status --all(可粘贴,秘密已编辑)而不是原始日志。 - 如果你不需要长期保留,修剪旧的会话记录和日志文件。
详情:日志记录
DM:默认配对
json5
{
channels: { whatsapp: { dmPolicy: "pairing" } },
}群组:要求处处提及
json
{
"channels": {
"whatsapp": {
"groups": {
"*": { "requireMention": true }
}
}
},
"agents": {
"list": [
{
"id": "main",
"groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] }
}
]
}
}在群组聊天中,仅在显式被提及时才回复。
独立号码(WhatsApp、Signal、Telegram)
对于基于电话号码的频道,考虑在你的 AI 上使用一个与个人号码不同的号码:
- 个人号码:你的对话保持私密
- Bot 号码:AI 处理这些消息,并有适当的边界
只读模式(通过沙箱和工具)
你可以通过结合以下内容构建一个只读配置文件:
agents.defaults.sandbox.workspaceAccess: "ro"(或"none"以获得无工作区访问)- 工具允许/拒绝列表,阻止
write、edit、apply_patch、exec、process等。
额外的加固选项:
tools.exec.applyPatch.workspaceOnly: true(默认):确保即使沙箱关闭,apply_patch也无法在工作区目录之外写入/删除。仅当你刻意希望apply_patch接触工作区之外的文件时才设为false。tools.fs.workspaceOnly: true(可选):将read/write/edit/apply_patch路径和原生提示图像自动加载路径限制到工作区目录(如果你目前允许绝对路径并希望一个单一的护栏,则很有用)。- 保持文件系统根目录狭窄:避免将你的主目录等广泛根目录作为 Agent 工作区/沙箱工作区。广泛的根目录可能将敏感本地文件(例如
~/.openclaw下的状态/配置)暴露给文件系统工具。
安全基线(复制/粘贴)
一个“安全默认”配置,保持 Gateway 私有,要求 DM 配对,并避免始终在线的群组 bot:
json5
{
gateway: {
mode: "local",
bind: "loopback",
port: 18789,
auth: { mode: "token", token: "your-long-random-token" },
},
channels: {
whatsapp: {
dmPolicy: "pairing",
groups: { "*": { requireMention: true } },
},
},
}如果你想要“默认更安全”的工具执行,可以为任何非 owner Agent 添加沙箱 + 拒绝危险工具(以下示例在“每个 Agent 访问配置文件”中)。
内置基线:非 owner 发送者不能使用 cron 或 gateway 工具。
沙箱(推荐)
专题文档:沙箱
两种互补方法:
NOTE
要防止跨 Agent 访问,保持 agents.defaults.sandbox.scope 为 "agent"(默认)或更严格的每个会话隔离使用 "session"。scope: "shared" 使用单个容器或工作区。
还考虑 Agent 工作区在沙箱内的访问:
agents.defaults.sandbox.workspaceAccess: "none"(默认)使 Agent 工作区不可用;工具在~/.openclaw/sandboxes下的沙箱工作区中运行。agents.defaults.sandbox.workspaceAccess: "ro"以只读方式挂载 Agent 工作区到/agent(禁用write/edit/apply_patch)。agents.defaults.sandbox.workspaceAccess: "rw"以读/写方式挂载 Agent 工作区到/workspace。- 额外的
sandbox.docker.binds会针对规范化和路径解析后的源路径进行验证。父级符号链接技巧和规范主目录别名仍然会故障关闭,如果它们解析到被阻止的根目录如/etc、/var/run或 OS 主目录下的凭据目录。
WARNING
tools.elevated 是全局基线逃生口,它在沙箱外部运行 exec。有效 host 默认为 gateway,或当 exec 目标配置为 node 时为 node。保持 tools.elevated.allowFrom 严格,不要为陌生人启用它。你还可以通过 agents.list[].tools.elevated 进一步限制每个 Agent 的提升。参见提升模式。
子 Agent 委托护栏
如果你允许会话工具,将委托的子 Agent 运行视为另一个边界决策:
- 拒绝
sessions_spawn,除非 Agent 真正需要委托。 - 保持
agents.defaults.subagents.allowAgents和任何每个 Agent 的agents.list[].subagents.allowAgents覆盖限制为已知安全的目标 Agent。 - 对于任何必须保持沙箱化的工作流,使用
sandbox: "require"调用sessions_spawn(默认是inherit)。 sandbox: "require"在目标子运行时未沙箱化时快速失败。
浏览器控制风险
启用浏览器控制使模型能够驱动一个真实浏览器。如果该浏览器配置文件已包含登录会话,模型可以访问这些账户和数据。将浏览器配置文件视为敏感状态:
- 优先为 Agent 使用专用配置文件(默认的
openclaw配置文件)。 - 避免将 Agent 指向你的个人日常使用配置文件。
- 保持主机浏览器控制对沙箱化 Agent 禁用,除非你信任它们。
- 独立的回环浏览器控制 API 仅尊重共享秘密认证(gateway 令牌 bearer 认证或 gateway 密码)。它不消耗可信代理或 Tailscale Serve 身份头。
- 将浏览器下载视为不受信输入;优先使用隔离的下载目录。
- 如果可能,禁用 Agent 配置文件中的浏览器同步/密码管理器(减少爆炸半径)。
- 对于远程 Gateway,假设“浏览器控制”等效于“operator 访问”到该配置文件可以到达的任何内容。
- 保持 Gateway 和 node 主机仅为 tailnet;避免向 LAN 或公共互联网暴露浏览器控制端口。
- 当你不需要时禁用浏览器代理路由(
gateway.nodes.browser.mode="off")。 - Chrome MCP 现有会话模式不是“更安全”;它可以在该主机 Chrome 配置文件可以到达的任何地方作为你行动。
浏览器 SSRF 策略(默认严格)
OpenClaw 的浏览器导航策略默认是严格的:私有/内部目的地保持被阻止,除非你显式选择加入。
- 默认:
browser.ssrfPolicy.dangerouslyAllowPrivateNetwork未设置,因此浏览器导航保持私有/内部/特殊用途目的地被阻止。 - 旧版别名:
browser.ssrfPolicy.allowPrivateNetwork仍被接受以保持兼容性。 - 选择加入模式:设置
browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: true以允许私有/内部/特殊用途目的地。 - 在严格模式下,使用
hostnameAllowlist(如*.example.com的模式)和allowedHostnames(确切主机例外,包括被阻止的名称如localhost)用于显式例外。 - 导航在请求前检查并在导航后尽力重新检查最终
http(s)URL 以减少基于重定向的 pivot。
严格策略示例:
json5
{
browser: {
ssrfPolicy: {
dangerouslyAllowPrivateNetwork: false,
hostnameAllowlist: ["*.example.com", "example.com"],
allowedHostnames: ["localhost"],
},
},
}每个 Agent 的访问配置文件(多 Agent)
使用多 Agent 路由,每个 Agent 可以有自己的沙箱 + 工具策略:使用它来给予全访问、只读或无访问每个 Agent。详见多 Agent 沙箱和工具以了解完整细节和优先级规则。
常见用例:
- 个人 Agent:全访问,无沙箱
- 家庭/工作 Agent:沙箱化 + 只读工具
- 公共 Agent:沙箱化 + 无文件系统/shell 工具
示例:全访问(无沙箱)
json5
{
agents: {
list: [
{
id: "personal",
workspace: "~/.openclaw/workspace-personal",
sandbox: { mode: "off" },
},
],
},
}示例:只读工具 + 只读工作区
json5
{
agents: {
list: [
{
id: "family",
workspace: "~/.openclaw/workspace-family",
sandbox: {
mode: "all",
scope: "agent",
workspaceAccess: "ro",
},
tools: {
allow: ["read"],
deny: ["write", "edit", "apply_patch", "exec", "process", "browser"],
},
},
],
},
}示例:无文件系统/shell 访问(允许 provider 消息传递)
json5
{
agents: {
list: [
{
id: "public",
workspace: "~/.openclaw/workspace-public",
sandbox: {
mode: "all",
scope: "agent",
workspaceAccess: "none",
},
// 会话工具可以从记录中泄露敏感数据。默认情况下,OpenClaw 将这些工具限制为当前会话 + 产生的子 Agent 会话,但你可以根据需要进一步收紧。
// 参见配置参考中的 `tools.sessions.visibility`。
tools: {
sessions: { visibility: "tree" }, // self | tree | agent | all
allow: [
"sessions_list",
"sessions_history",
"sessions_send",
"sessions_spawn",
"session_status",
"whatsapp",
"telegram",
"slack",
"discord",
],
deny: [
"read",
"write",
"edit",
"apply_patch",
"exec",
"process",
"browser",
"canvas",
"nodes",
"cron",
"gateway",
"image",
],
},
},
],
},
}事件响应
如果你的 AI 做了坏事:
控制
- 停止它: 停止 macOS 应用(如果它监管 Gateway)或终止你的
openclaw gateway进程。 - 关闭暴露: 设置
gateway.bind: "loopback"(或禁用 Tailscale Funnel/Serve)直到你了解发生了什么。 - 冻结访问: 将有风险的 DM/群组切换为
dmPolicy: "disabled"/ 要求提及,并移除你之前有的"*"允许所有条目。
轮换(如果秘密泄露,假设已被入侵)
- 轮换 Gateway 认证(
gateway.auth.token/OPENCLAW_GATEWAY_PASSWORD)并重启。 - 轮换任何可以调用 Gateway 的机器上的远程客户端秘密(
gateway.remote.token/.password)。 - 轮换 provider/API 凭据(WhatsApp 凭据、Slack/Discord 令牌、
auth-profiles.json中的模型/API 密钥,以及加密的秘密载荷值(如果使用))。
审计
- 检查 Gateway 日志:
/tmp/openclaw/openclaw-YYYY-MM-DD.log(或logging.file)。 - 审查相关记录:
~/.openclaw/agents/<agentId>/sessions/*.jsonl。 - 审查最近的配置更改(任何可能扩大访问权限的内容:
gateway.bind、gateway.auth、DM/群组策略、tools.elevated、插件更改)。 - 重新运行
openclaw security audit --deep并确认关键发现已解决。
为报告收集
- 时间戳、gateway 主机操作系统 + OpenClaw 版本
- 会话记录 + 短日志尾部(编辑后)
- 攻击者发送的内容 + Agent 所做的操作
- Gateway 是否暴露在 loopback 之外(LAN/Tailscale Funnel/Serve)
秘密扫描
CI 在仓库上运行预提交 detect-private-key 钩子。如果失败,移除或轮换提交的密钥材料,然后本地重现:
bash
pre-commit run --all-files detect-private-key报告安全问题
在 OpenClaw 中发现漏洞?请负责任地报告:
- 邮件:security@openclaw.ai
- 在修复前不要公开发布。
- 我们将会致谢(除非你希望匿名)。
常见问题
我的 bot 被提示注入了怎么办?
- 立即停止 Gateway(停止 macOS 应用或终止
openclaw gateway进程)。2. 关闭暴露:设置gateway.bind: "loopback"并禁用 Tailscale Funnel/Serve。3. 轮换所有凭据(Gateway 令牌、channel 令牌、API 密钥)。4. 审计日志:运行openclaw security audit --deep,查看~/.openclaw/agents/<agentId>/sessions/*.jsonl中的记录。5. 收紧策略:启用 DM 配对(dmPolicy: "pairing")和群组提及要求,使用最小工具配置;考虑为未受信输入使用沙箱。
怎么防止陌生人给我的 bot 发 DM?
使用 dmPolicy: "pairing"(默认)或 "allowlist"。在 openclaw.json 中设置:channels: { whatsapp: { dmPolicy: "pairing" } }。未知发送者会收到一个配对码,你需要通过 openclaw pairing approve <channel> <code> 批准。不要设置 dmPolicy: "open",除非你显式地在频道白名单中包含 "*"。
openclaw security audit --fix 会自动修复所有问题吗?
不会。--fix 仅执行谨慎的自动修复:将常见开放群组策略切换为白名单、恢复 logging.redactSensitive: "tools"、收紧文件权限。它不会修改网络绑定、认证模式或工具策略。需要手动干预的关键发现(如 gateway.bind_no_auth、gateway.tailscale_funnel)会作为警告保留。运行 openclaw security audit --fix 后,检查输出中剩余的影响,然后手动修复。