JavaScriptNode.jsAI
OpenClaw 安全最佳实践:保护 AI 与数据
OpenClaw 的安全最佳实践,涵盖安全架构、API 密钥管理、工作区权限控制、技能沙箱隔离、会话安全、网络防护及审计监控。核心原则为最小权限与风险隔离,提供具体配置示例与常见问题解答,帮助用户降低 AI 助手带来的潜在安全风险。
OpenClaw 的安全最佳实践,涵盖安全架构、API 密钥管理、工作区权限控制、技能沙箱隔离、会话安全、网络防护及审计监控。核心原则为最小权限与风险隔离,提供具体配置示例与常见问题解答,帮助用户降低 AI 助手带来的潜在安全风险。
在部署、人格、技能及多会话功能日益强大的同时,安全风险也不容忽视。安全是系统稳定运行的基石,一旦出现问题后果严重。
主要风险场景包括:
本文将介绍 OpenClaw 的安全最佳实践,帮助降低潜在风险。
OpenClaw 的安全设计遵循最小权限原则,层级结构如下:
外部世界(互联网)
↓
消息平台(WhatsApp/Telegram)
↓
OpenClaw 网关(你的控制)
↓
工作区(文件、配置、技能)
↓
本地系统(操作系统)
核心原则:越往外,风险越高;越往内,权限越受限。
| 风险类型 | 来源 | 影响程度 |
|---|---|---|
| API 密钥泄露 | 配置不当、代码泄露 | 🔴 高 |
| 敏感数据外传 | 技能/子代理行为 | 🔴 高 |
| 恶意技能执行 | 第三方技能 | 🟠 中高 |
| 文件误操作 | AI 指令误解 | 🟠 中 |
| 会话劫持 | 网络攻击 | 🟡 低 |
❌ 错误做法:
// 直接把密钥写在代码里
const apiKey = "sk-1234567890abcdef";
✅ 正确做法: 使用环境变量:
export OPENCLAW_API_KEY="sk-1234567890abcdef"
或者在工作区创建 .env 文件:
OPENCLAW_API_KEY=sk-1234567890abcdef
关键点:
.env 文件必须加入 .gitignore,防止提交到代码仓库申请 API 密钥时,只申请需要的权限:
如果怀疑密钥泄露:
OpenClaw 默认只能访问工作区内的文件,这是安全边界。
不要做:
// 技能中访问工作区外的敏感文件
const sensitiveData = fs.readFileSync('/etc/passwd');
const homeFiles = fs.readFileSync('/home/user/.ssh/id_rsa');
正确做法:
// 只访问工作区内的文件
const workspaceFile = fs.readFileSync('./data/config.json');
涉及以下操作时,AI 应该先确认再执行:
rm、fs.unlink)exec、spawn)技能中实现确认机制:
async function deleteFile(filePath) {
// 先询问用户确认
const confirmed = await askUser(`确定要删除 ${filePath} 吗?(y/n)`);
if (confirmed !== 'y') {
return { success: false, message: '用户取消操作' };
}
// 执行删除
fs.unlinkSync(filePath);
return { success: true };
}
定期备份工作区,防止意外丢失:
# 简单备份脚本
tar -czf workspace-backup-$(date +%Y%m%d).tar.gz ~/.openclaw/workspace/
建议:
使用第三方技能前,务必检查:
package.json 里的依赖是否可信?危险信号:
对于不信任的技能,可以在沙箱环境中运行:
# 使用 Docker 沙箱
docker run --rm -v ./workspace:/workspace openclaw-sandbox skill-runner
建议给技能分个级:
| 等级 | 权限 | 示例 |
|---|---|---|
| 🔵 只读 | 只能读取文件 | 文档查看技能 |
| 🟢 低风险 | 可创建/修改文件 | 笔记技能 |
| 🟠 中风险 | 可删除文件、网络请求 | 文件管理技能 |
| 🔴 高风险 | 可执行系统命令 | 部署技能 |
高风险技能需要额外确认才能启用。
不同用途使用不同会话:
这样可以防止信息泄露和上下文污染。
定期清理会话历史:
# 清理旧会话
openclaw sessions cleanup --older-than 7d
敏感对话后,手动删除会话:
openclaw session end --purge session-id
子代理继承主会话的权限,所以要特别注意:
OpenClaw 网关默认监听本地端口,如需对外暴露:
❌ 不要直接暴露:
# 危险!任何人都能连接
openclaw gateway start --host 0.0.0.0
✅ 正确做法:
# 只监听本地
openclaw gateway start --host 127.0.0.1
# 需要远程访问时,使用 SSH 隧道
ssh -L 8080:localhost:8080 user@remote-server
连接 WhatsApp、Telegram 等平台时:
如果 OpenClaw 运行在服务器上,配置防火墙:
# Ubuntu/Debian
sudo ufw allow 22/tcp # SSH
sudo ufw deny 8080/tcp # 拒绝外部访问网关端口
# CentOS/RHEL
sudo firewall-cmd --add-port=22/tcp --permanent
sudo firewall-cmd --remove-port=8080/tcp --permanent
OpenClaw 默认记录操作日志,位置在工作区:
workspace/logs/openclaw.log
定期检查日志,关注:
每月对照检查:
如果发现安全问题:
{
"gateway": {
"host": "127.0.0.1",
"port": 8080,
"allowExternal": false
},
"security": {
"confirmDangerousOps": true,
"maxSubAgents": 5,
"sessionTimeout": 3600
},
"logging": {
"level": "info",
"rotate": true,
"maxFiles": 7
}
}
# OpenClaw 工作区
.env
*.log
logs/
memory/
config.local.json
node_modules/
A: 不会。OpenClaw 本地运行,数据存在你的工作区。只有调用 API 时,请求会发送到模型提供商。
A: 默认只能访问工作区内的文件。如果技能请求系统权限,需要明确授权。
A: 定期检查 API 提供商的使用量统计,发现异常立即撤销密钥。
A: 建议手动更新,更新前查看变更日志:npm view openclaw
安全是系统稳定运行的基石。请牢记以下几点:
关键是养成习惯,把安全措施融入日常工作流程。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
生成新的随机RSA私钥和公钥pem证书。 在线工具,RSA密钥对生成器在线工具,online
基于 Mermaid.js 实时预览流程图、时序图等图表,支持源码编辑与即时渲染。 在线工具,Mermaid 预览与可视化编辑在线工具,online
查找任何按下的键的javascript键代码、代码、位置和修饰符。 在线工具,Keycode 信息在线工具,online
JavaScript 字符串转义/反转义;Java 风格 \uXXXX(Native2Ascii)编码与解码。 在线工具,Escape 与 Native 编解码在线工具,online
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。 在线工具,JavaScript / HTML 格式化在线工具,online
Terser 压缩、变量名混淆,或 javascript-obfuscator 高强度混淆(体积会增大)。 在线工具,JavaScript 压缩与混淆在线工具,online