本網站為獨立社群專案,與 OpenClaw 官方無任何關聯。內容僅供參考。 了解更多

翻譯文件

本頁為社群翻譯版本,可能與官方最新內容有出入。 查看官方英文原文 →

安全性

OpenClaw Gateway 安全模型、威脅緩解與部署強化指南

核心安全模型

OpenClaw 採用個人助理信任模型運作,而非多租戶系統。OpenClaw 不是多個對抗性使用者共享一個 agent/gateway 的敵對多租戶安全邊界。

關鍵假設:

  • 每個 Gateway 一個受信任的操作者邊界
  • 共享主機/設定存取表示共享信任域
  • 如需對抗性使用者隔離,需要跨不同 OS 使用者或主機的獨立 Gateway 和憑證

快速安全稽核

openclaw security audit 指令可標記常見弱點:

  • Gateway 驗證暴露
  • 瀏覽器控制暴露
  • 提升的允許清單
  • 檔案系統權限問題
openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --json

主要安全控制

驗證與存取

  • gateway.auth(token/password/device auth)驗證呼叫者
  • sessionKey 用於路由上下文,而非授權邊界
  • DM 策略支援 pairingallowlistopendisabled 模式

工具與執行強化

  • 沙箱隔離工具執行(選用但建議啟用)
  • tools.exec 需要 shell 指令的核准
  • tools.elevated 是需要嚴格允許清單控制的逃逸通道
  • 對不受信任的發送者,應預設拒絕 gatewaycron 等危險工具

網路與暴露

  • 預設繫結模式:僅 loopback(本機可存取)
  • 非 loopback 繫結需要強驗證
  • Tailscale Serve/Funnel 會顯著擴大攻擊面

部署強化基準

最小安全設定包括:

  • 僅本機 Gateway 繫結
  • 基於 token 的驗證
  • 每個頻道/peer 的 DM 工作階段隔離
  • 停用自動化/runtime/檔案系統工具群組
  • 工作空間範圍的檔案系統存取
  • 明確拒絕 exec 或設為需要核准模式

威脅態勢與緩解

主要威脅:

  • 來自不受信任訊息內容的 prompt injection
  • 工具濫用導致未授權的檔案系統/網路/shell 操作
  • 憑證透過日誌或轉錄暴露

有效防禦:

  • 限制性 DM 策略(預設為 pairing)
  • 群組頻道中的 mention 閘控
  • 工具執行沙箱化
  • 日誌中的敏感資料遮蔽
  • 模型選擇(較新的模型比舊版本更能抵抗 prompt injection)

範圍外發現

研究人員請注意,某些模式在此模型中不被視為弱點:

  • 無 auth/policy 繞過的純 prompt injection 鏈
  • 假設在共享基礎架構上進行敵對多租戶操作的主張
  • 將工作階段路由鍵視為 auth token 的每使用者授權發現

事件回應框架

遏制: 停止 Gateway、限制網路暴露、停用有風險的 DM/群組存取。

修復: 輪換 Gateway token、provider 憑證,並更新遠端用戶端密鑰。

調查: 檢閱 Gateway 日誌、工作階段轉錄、近期設定變更,並重新執行安全稽核。