OpenClaw-Referenzeinrichtung: 6-Wochen-Produktionsnutzungsszenario mit Sicherheitsarchitektur

Produktionssetup-Details

Dies ist eine reale OpenClaw-Implementierung, die seit 6 Wochen kontinuierlich auf dedizierter Hardware läuft. Der Nutzer ist kein Entwickler, hat dies aber abends und an Wochenenden aufgebaut, während er in einem Chemiewerk als Industrieingenieur arbeitet.

Hardware und Kernkonfiguration

• Hardware: Mac Mini M4 mit 24 GB RAM, dediziert
• Modellkaskade: Claude Sonnet → MiniMax → Qwen lokal (3 Ebenen)
• Benutzerdefinierte Tools: 15+
• Cron-Jobs: 12 täglich laufend
• Betriebszeit: 6 Wochen kontinuierlich
• Kosten: ~30-50 US-Dollar/Monat
• Tägliche Nachrichten: 20-50

Tägliche Funktionen

• Morgendliches Briefing: Jeden Tag um 5:08 Uhr mit Wetter, Kalender, E-Mails, Marktdaten, Erinnerungen und einem Vokabelwort. Lokal aus zwischengespeicherten Quellen zusammengestellt.
• Rechnungsscanning: Liest GMX-, iCloud- und Gmail-Postfächer, lädt PDF-Rechnungen herunter, kategorisiert sie mit KI und archiviert sie. Der erste Durchlauf verarbeitete 61 PDFs, sortiert in 11 Kategorien in einem Durchgang.
• Sprachnachrichten: Transkribiert lokal mit Whisper (keine Cloud), verarbeitet und antwortet. Keine Audiodaten verlassen jemals die Maschine.
• iCloud-Brücke: Bidirektionale Dateisynchronisation. Dateien, die in einen Ordner auf dem iPhone abgelegt werden, werden vom Agenten aufgenommen, der Dateien auf gleichem Weg zurücklegen kann.

Sicherheitsarchitektur

Der Ersteller betont, dass die meisten Setups exec.security: "off" haben, was anfällig für Prompt-Injection ist. Diese Implementierung umfasst:

• Exec-Genehmigungen mit ~57 erlaubten Binärdateien
• HTTP-Ausgang gesperrt auf eine Domain-Whitelist (kein curl zu unbekannten URLs)
• SMTP-Ausgang gesperrt auf eine genehmigte Empfängerliste
• Dateiintegritätsüberwachung bei 30+ kritischen Dateien mit SHA256-Prüfsummen
• Injektionserkennung bei jedem externen Input – E-Mail, Kalender, Web, Sprache
• Speichervalidierung vor jedem Schreibvorgang (keine Vergiftung via E-Mail-Inhalt)
• Purple-Team-Audit mit MITRE ATT&CK-Mapping

Sicherheitsbewertung verbessert von 3/10 auf 7,5/10.

Erkenntnisse

• sandbox.mode: "all" verweigert jeden Exec-Aufruf stillschweigend ohne Fehler oder Protokoll
• Speicher explodiert ohne harte Limits. Implementiert: 200-Zeilen-Begrenzung für tägliche Protokolle plus wöchentliche Verdichtung in Langzeitgedächtnis
• Shell-Pipes lösen immer Genehmigungen aus, selbst wenn jede Binärdatei erlaubt ist. Lösung: Wrapper-Skripte
• exec-approvals.json darf NICHT unveränderlich sein, da OpenClaw bei jedem Exec darauf schreibt

Repository und Lizenzierung

Alles ist unter MIT-Lizenz quelloffen verfügbar unter https://github.com/Atlas-Cowork/openclaw-reference-setup. Enthält Vorlagen, Sicherheitsarchitektur, Tool-Katalog und Cron-Konfigurationen.