OpenClaw 安全最佳实践：保护 AI 与数据

三、工作区安全

3.1 文件访问控制

OpenClaw 默认只能访问工作区内的文件，这是安全边界。

不要做：

// 技能中访问工作区外的敏感文件
const sensitiveData = fs.readFileSync('/etc/passwd');
const homeFiles = fs.readFileSync('/home/user/.ssh/id_rsa');

正确做法：

// 只访问工作区内的文件
const workspaceFile = fs.readFileSync('./data/config.json');

3.2 危险操作防护

涉及以下操作时，AI 应该先确认再执行：

• 删除文件（rm、fs.unlink）
• 覆盖重要文件
• 执行系统命令（exec、spawn）
• 网络请求（尤其是 POST）

技能中实现确认机制：

async function deleteFile(filePath) {
  // 先询问用户确认
  const confirmed = await askUser(`确定要删除 ${filePath} 吗？(y/n)`);
  if (confirmed !== 'y') {
    return { success: false, message: '用户取消操作' };
  }
  // 执行删除
  fs.unlinkSync(filePath);
  return { success: true };
}

3.3 工作区备份

定期备份工作区，防止意外丢失：

# 简单备份脚本
tar -czf workspace-backup-$(date +%Y%m%d).tar.gz ~/.openclaw/workspace/

建议：

• 每天自动备份
• 备份到不同位置（本地 + 云端）
• 保留最近 7 天的备份

四、技能安全

4.1 第三方技能审查

使用第三方技能前，务必检查：

1. 源代码：有没有可疑操作？
2. 依赖项：package.json 里的依赖是否可信？
3. 权限请求：技能请求的权限是否合理？
4. 作者信誉：是否来自可信来源？

危险信号：

• 技能请求访问系统文件
• 技能向未知地址发送数据
• 技能要求执行任意命令
• 代码混淆或加密

4.2 技能沙箱

对于不信任的技能，可以在沙箱环境中运行：

# 使用 Docker 沙箱
docker run --rm -v ./workspace:/workspace openclaw-sandbox skill-runner

4.3 技能权限分级

建议给技能分个级：

高风险技能需要额外确认才能启用。

五、会话安全

5.1 会话隔离

不同用途使用不同会话：

• 主会话：日常对话
• 工作会话：处理工作相关任务
• 测试会话：测试新技能/配置
• 敏感会话：处理敏感信息

这样可以防止信息泄露和上下文污染。

5.2 会话数据清理

定期清理会话历史：

# 清理旧会话
openclaw sessions cleanup --older-than 7d

敏感对话后，手动删除会话：

openclaw session end --purge session-id

5.3 子代理安全

子代理继承主会话的权限，所以要特别注意：

• 不要给子代理过高的权限
• 子代理完成任务后及时结束
• 监控子代理的行为日志

六、网络安全

6.1 网关端口保护

OpenClaw 网关默认监听本地端口，如需对外暴露：

❌ 不要直接暴露：

# 危险！任何人都能连接
openclaw gateway start --host 0.0.0.0

✅ 正确做法：

# 只监听本地
openclaw gateway start --host 127.0.0.1
# 需要远程访问时，使用 SSH 隧道
ssh -L 8080:localhost:8080 user@remote-server

6.2 消息平台认证

连接 WhatsApp、Telegram 等平台时：

• 使用官方 API，不用第三方中转
• 保护 Bot Token，不泄露
• 定期检查授权的应用

6.3 防火墙配置

如果 OpenClaw 运行在服务器上，配置防火墙：

# Ubuntu/Debian
sudo ufw allow 22/tcp # SSH
sudo ufw deny 8080/tcp # 拒绝外部访问网关端口

# CentOS/RHEL
sudo firewall-cmd --add-port=22/tcp --permanent
sudo firewall-cmd --remove-port=8080/tcp --permanent

七、审计与监控

7.1 启用日志

OpenClaw 默认记录操作日志，位置在工作区：

workspace/logs/openclaw.log

定期检查日志，关注：

• 异常错误
• 未知技能调用
• 异常网络请求

7.2 安全审计清单

提供月度自查清单：

• API 密钥是否安全存储
• 工作区备份是否正常
• 第三方技能是否可信
• 会话是否及时清理
• 网关端口是否暴露
• 日志是否有异常
• 系统/Node.js 是否更新

7.3 安全事件响应

如果发现安全问题：

1. 隔离：停止 OpenClaw 服务
2. 评估：确定影响范围
3. 修复：修补漏洞、更换密钥
4. 恢复：从备份恢复（如需要）
5. 复盘：记录事件，防止再发生

八、安全配置示例

8.1 推荐的 config.json

{
  "gateway": {
    "host": "127.0.0.1",
    "port": 8080,
    "allowExternal": false
  },
  "security": {
    "confirmDangerousOps": true,
    "maxSubAgents": 5,
    "sessionTimeout": 3600
  },
  "logging": {
    "level": "info",
    "rotate": true,
    "maxFiles": 7
  }
}

8.2 推荐的 .gitignore

# OpenClaw 工作区
.env
*.log
logs/
memory/
config.local.json
node_modules/

九、常见问题

Q1: OpenClaw 会上传我的数据到云端吗？

A: 不会。OpenClaw 本地运行，数据存在你的工作区。只有调用 API 时，请求会发送到模型提供商。

Q2: 子代理能访问我的系统文件吗？

A: 默认只能访问工作区内的文件。如果技能请求系统权限，需要明确授权。

Q3: 如何确认我的 API 密钥没泄露？

A: 定期检查 API 提供商的使用量统计，发现异常立即撤销密钥。

Q4: OpenClaw 有自动更新吗？

A: 建议手动更新，更新前查看变更日志：npm view openclaw

结语

总结要点如下：

1. API 密钥是命门，一定要保护好
2. 第三方技能要审查，别随便用
3. 危险操作要确认，别给 AI 太大权限
4. 定期备份和审计，防患于未然
5. 最小权限原则，够用就行

安全这事儿，说难不难，说简单也不简单。关键是养成习惯，把安全措施融入日常工作流程。