小学子讲技术 - OpenClaw 配置与安全详解
OpenClaw 配置与安全详解
哈喽,小伙伴们!我是小学子,今天要带大家深入了解OpenClaw 的配置与安全机制。作为一个强大的 AI 网关,OpenClaw 不仅功能丰富,在安全方面也有不少精心设计。这篇文章会从配置基础讲起,再到各种安全策略,帮助你打造一个既好用又安全的 AI 助手。准备好了吗?让我们开始吧!🦞
一、配置文件:你的 OpenClaw “大脑”
OpenClaw 的配置都在~/.openclaw/openclaw.json这个文件里。注意:官方用的是JSON5 格式,这意味着你可以写注释!对于我们这些开发者来说简直是福音啊~
最简配置示例
{ agents: { defaults: { workspace: "~/.openclaw/workspace" } }, channels: { whatsapp: { allowFrom: ["+15555550123"] } }, }只需要这几行,你就拥有了一个可以工作的 OpenClaw 实例!当然,随着需求增长,配置也会变得更丰富。
配置修改姿势
官方提供了四种修改配置的方式:
| 方式 | 命令 | 适用场景 |
|---|---|---|
| 交互式向导 | openclaw onboard或openclaw configure | 新手入门 |
| CLI 单行修改 | openclaw config set agents.defaults.workspace "~/my-workspace" | 快速调整 |
| Control UI | 浏览器打开 http://127.0.0.1:18789 | 可视化操作 |
| 直接编辑 | 修改~/.openclaw/openclaw.json | 批量修改 |
热重载:改了配置不用重启
这是我很喜欢的特性!OpenClaw监听配置文件变化,大多数配置修改都能实时生效。配置 reload 有四种模式:
{ gateway: { reload: { mode: "hybrid", debounceMs: 300 }, }, }- hybrid(默认):安全变更自动热生效,关键变更自动重启
- hot:只热生效,需要手动处理重启
- restart:任何变更都重启
- off:完全禁用热重载
⚠️ 重要提示:像
gateway.bind、gateway.port、discovery这类 Gateway 服务器相关的配置改了是需要重启的,不是所有配置都能热生效哦!
二、安全模型:理解 OpenClaw 的“信任边界”
在深入安全配置之前,我们先搞清楚 OpenClaw 的安全模型。官方文档明确指出:OpenClaw 是为个人助理场景设计的,采用的是single-user trust boundary(单一用户信任边界)。
核心假设
官方文档说得非常直白:
- 如果有人能修改 Gateway 主机的状态/配置(
~/.openclaw),就把他们当作可信操作员- 运行一个 Gateway 给多个互相不信任的用户使用不是推荐方案
- 对于混合信任团队,需要分离信任边界(使用独立网关)
这意味着:OpenClaw 不是为“多个互不信任的人共享一个 AI 助手”而设计的。如果你需要这种场景,请为每个用户/团队运行独立的 Gateway 实例。
安全审计:一键检查潜在风险
OpenClaw 内置了强大的安全审计工具!只需一行命令:
openclaw security audit# 标准检查openclaw security audit--deep# 深度检查(包含实时探测)openclaw security audit--fix# 自动修复openclaw security audit--json# JSON 格式输出这个工具会检查:
- ✅ 入站访问(DM 策略、群组策略、允许列表)
- ✅ 工具影响范围(高权限工具 + 开放房间)
- ✅ 网络暴露(Gateway 绑定、认证)
- ✅ 浏览器控制暴露
- ✅ 本地磁盘权限
- ✅ 插件/扩展安全
- ✅ 策略漂移/配置错误
🛡️小学子建议:每次修改重要配置后,都跑一遍安全审计,防患于未然!
三、工具禁用:把危险关在门外
OpenClaw 的 AI 助手可以执行 shell 命令、读写文件、访问网络——这能力太强大了!所以工具策略是安全配置的重中之重。
工具配置文件
OpenClaw 内置了几种工具配置文件(profiles):
{ tools: { profile: "messaging", // 最安全:只保留消息相关工具 deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"], }, }可用的 profile:
- messaging:仅消息功能,最安全
- minimal:最小工具集
- standard:标准工具集
- extended:扩展工具集(谨慎使用!)
硬核安全配置示例
官方推荐的安全基线配置:
{ gateway: { mode: "local", bind: "loopback", auth: { mode: "token", token: "replace-with-long-random-token" }, }, session: { dmScope: "per-channel-peer", }, tools: { profile: "messaging", deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"], fs: { workspaceOnly: true }, exec: { security: "deny", ask: "always" }, elevated: { enabled: false }, }, channels: { whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } }, }, }这个配置:
- 🖥️本地模式:只在 127.0.0.1 监听
- 🔐强制认证:所有访问都需要 token
- 🔒严格工具策略:默认禁用高危工具
- 👥DM 隔离:每个聊天对象独立会话
四、执行审批:AI 要行动?先问我!
即使启用了工具,OpenClaw 还提供了执行审批机制,让某些高危操作需要你确认才能执行。
Shell 执行审批
{ tools: { exec: { security: "deny", // 默认拒绝 ask: "always", // 每次都询问 }, }, }执行审批的三种模式:
- deny:直接拒绝执行
- ask:每次执行前都问你
- allow:直接执行(危险!)
沙箱模式:把 AI 隔离起来
对于更安全的执行环境,可以启用Docker 沙箱:
{ agents: { defaults: { sandbox: { mode: "non-main", // off | non-main | all scope: "agent", // session | agent | shared }, }, }, }沙箱模式会在隔离的 Docker 容器中运行 AI 会话,即使 AI 被攻破,损失也限于沙箱内部。
📦 使用沙箱前需要先构建镜像:
scripts/sandbox-setup.sh
五、访问控制:谁可以找 AI 聊天?
这是最直观的安全层——谁能发消息给 AI?
DM 策略(四选一)
| 策略 | 行为 | 适用场景 |
|---|---|---|
| pairing(默认) | 未知发送者收到配对码,需你批准 | 个人使用 |
| allowlist | 只有白名单用户能发消息 | 小团队 |
| open | 谁都能发(需配合allowFrom: ["*"]) | 公共 bot |
| disabled | 完全忽略 DM | 不需要 DM |
群组策略
{ channels: { whatsapp: { groups: { "*": { requireMention: true } }, groupPolicy: "allowlist", groupAllowFrom: ["+15551234567"], }, }, }- requireMention:必须 @ 机器人才能触发
- groupPolicy:
allowlist|open|disabled - groupAllowFrom:群组内白名单用户
允许列表 allowFrom
{ channels: { whatsapp: { allowFrom: ["+15555550123", "+447700900123"], }, telegram: { allowFrom: ["tg:123456789"], }, }, }格式因渠道而异:WhatsApp 用电话号码,Telegram 用tg:用户ID,Discord 用数字 ID。
六、上下文保护:会话隔离与数据安全
会话隔离模式
OpenClaw 支持多种会话隔离策略:
{ session: { dmScope: "per-channel-peer", // 推荐多用户场景 }, }可选值:
- main:所有 DM 共享一个会话(默认,适合个人)
- per-peer:每个发送者独立会话
- per-channel-peer:每个渠道+发送者独立
- per-account-channel-peer:最严格,多账号场景
文件权限
这是最容易被忽略的!官方文档特别强调:
# 配置文件权限chmod600~/.openclaw/openclaw.json# 目录权限chmod700~/.openclawopenclaw doctor命令可以自动检查并修复权限问题。
凭证存储位置
了解凭证存储位置有助于安全审计:
| 渠道 | 凭证位置 |
|---|---|
~/.openclaw/credentials/whatsapp/<accountId>/creds.json | |
| Telegram | channels.telegram.tokenFile或环境变量 |
| Discord | channels.discord.token或 SecretRef |
| 配对白名单 | ~/.openclaw/credentials/<channel>-allowFrom.json |
七、mDNS 暴露:容易被忽视的信息泄露
这是一个很容易被忽略的安全点!OpenClaw 会通过 mDNS 广播自己的存在,在完整模式下会暴露:
cliPath:CLI 二进制文件的完整路径(泄露用户名!)sshPort:SSH 端口displayName、lanHost:主机名信息
建议:除非确实需要,否则使用最小模式:
{ discovery: { mdns: { mode: "minimal" }, // 或直接 "off" }, }总结
好啦,今天关于 OpenClaw 配置与安全的分享就到这里!让我们回顾一下重点:
- 配置基础:
~/.openclaw/openclaw.json,支持 JSON5 和热重载 - 安全审计:
openclaw security audit定期跑一跑 - 工具禁用:
tools.profile+tools.deny把危险工具关掉 - 执行审批:
tools.exec.ask: "always"让高危操作经过你同意 - 访问控制:
dmPolicy+allowFrom+ 群组策略控制谁能联系 AI - 会话隔离:
session.dmScope防止跨用户泄露 - 文件权限:记得
chmod 700 ~/.openclaw
🎯小学子的建议:从最小权限开始,逐步放宽。先用安全基线配置,运行一段时间确认没问题后,再根据需要开启更多功能。安全这件事,宁可前期麻烦一点,也不要事后后悔!
参考来源:
- OpenClaw 官方文档:https://docs.openclaw.ai
- 安全配置:https://docs.openclaw.ai/gateway/security
- 配置参考:https://docs.openclaw.ai/gateway/configuration
- 配置完整参考:https://docs.openclaw.ai/gateway/configuration-reference