OpenClaw Sicherheit: Die gehärtete Basis, mit der Sie beginnen sollten

✍️ OpenClawRadar📅 Veröffentlicht: 27. Juni 2026🔗 Source
OpenClaw Sicherheit: Die gehärtete Basis, mit der Sie beginnen sollten
Ad

Selbst gehostetes OpenClaw ist nicht automatisch sicher. Ein Beitrag auf r/openclaw zeigt, dass der schwierigere Teil nicht ist, den Bot zum Laufen zu bringen, sondern zu entscheiden, was der Bot darf, wer ihn erreichen kann und wie viel Schaden eine schlechte Nachricht anrichten kann. Der Beitrag erläutert die dokumentierte gehärtete Baseline-Konfiguration von OpenClaw, die geschlossen startet und später erweitert wird.

Gateway: Zuerst nur lokal

Der häufigste Fehler ist das Freigeben des Gateways. Die gehärtete Baseline erfordert:

  • gateway.mode: "local"
  • gateway.bind: "loopback"
  • gateway.auth.mode: "token"

Später freigeben nur, wenn Sie die Grenzen verstehen, die Sie erweitern.

DM-Sitzungsisolierung

Wenn mehrere Personen den Bot per Direktnachricht kontaktieren können, benötigen Sie Sitzungsisolierung, um Kontextübertragungen zu verhindern. Die gehärtete Baseline verwendet session.dmScope: "per-channel-peer". Die Regel: Niemals gemeinsame DMs mit breitem Tool-Zugriff kombinieren.

Tool-Einschlagsradius

Die meisten Leute denken darüber nach, wer den Bot anschreiben kann, bevor sie bedenken, welche Berechtigungen eine Nachricht erbt. Die gehärtete Baseline:

  • tools.profile: "messaging"
  • Verweigert group:automation, group:runtime, group:fs
  • Verweigert sessions_spawn und sessions_send
  • exec.security: "deny" und exec.ask: "always"
  • elevated.enabled: false

Beginnen Sie mit Verweigerung und aktivieren Sie dann das Minimum, das Sie rechtfertigen können.

Ad

Gruppen: Erwähnungsgesteuert

Gruppen sollten Opt-In und durch Erwähnung ausgelöst sein, es sei denn, Sie haben einen triftigen Grund, dies zu lockern. Die Baseline verwendet requireMention: true für alle Gruppen.

Praktische Startkonfiguration

{
  "gateway": {
    "mode": "local",
    "bind": "loopback",
    "auth": {
      "mode": "token",
      "token": "replace-with-long-random-token"
    }
  },
  "session": {
    "dmScope": "per-channel-peer"
  },
  "tools": {
    "profile": "messaging",
    "deny": [
      "group:automation",
      "group:runtime",
      "group:fs",
      "sessions_spawn",
      "sessions_send"
    ],
    "fs": {
      "workspaceOnly": true
    },
    "exec": {
      "security": "deny",
      "ask": "always"
    },
    "elevated": {
      "enabled": false
    }
  },
  "channels": {
    "whatsapp": {
      "dmPolicy": "pairing",
      "groups": {
        "*": {
          "requireMention": true
        }
      }
    }
  }
}

Vier Fragen vor der Erweiterung

Bevor Sie etwas öffnen, fragen Sie:

  • Kann das Gateway von mehr Stellen als nötig erreicht werden?
  • Kann der DM-Kontext einer Person in die Sitzung einer anderen übergehen?
  • Kann eine normale Nachricht Tool-Berechtigungen erben, die umfassender als beabsichtigt sind?
  • Kann ein Raum den Bot zu leicht auslösen?

Wenn ja, liegt die Lösung in der Konfigurationshärtung, nicht im Prompt-Engineering. OpenClaw gibt Ihnen die Angriffsflächen – nutzen Sie sie.

📖 Vollständige Quelle lesen: r/openclaw

Ad

👀 Siehe auch

Abgrenzungsverteidigung steigert Gemma 4 von 21% auf 100% Prompt-Injection-Verteidigung in Benchmark mit über 6100 Tests
Sicherheit

Abgrenzungsverteidigung steigert Gemma 4 von 21% auf 100% Prompt-Injection-Verteidigung in Benchmark mit über 6100 Tests

Ein Benchmark testete 15 Modelle mit 7 Angriffsarten (über 6100 Tests) unter Verwendung zufälliger Trennzeichen um unvertrauenswürdige Inhalte. Gemma 4 E4B verbesserte sich von 21,6 % auf 100 % Abwehrrate mit Trennzeichen + strikter Anweisung.

OpenClawRadar
Drei Open-Source-Alternativen zu litellm nach dem PyPI-Supply-Chain-Angriff
Sicherheit

Drei Open-Source-Alternativen zu litellm nach dem PyPI-Supply-Chain-Angriff

Die litellm-Versionen 1.82.7 und 1.82.8 auf PyPI wurden in einem Supply-Chain-Angriff mit Malware zum Stehlen von Zugangsdaten kompromittiert. Drei Open-Source-Alternativen sind Bifrost (Go-basiert, ~50x schnellere P99-Latenz), Kosong (agentenorientiert von Kimi) und Helicone (AI-Gateway mit Analysen).

OpenClawRadar
Sicherheitsüberprüfung zeigt schwerwiegenden Befund im KI-Agenten-Fähigkeiten-Tool "find-skills"
Sicherheit

Sicherheitsüberprüfung zeigt schwerwiegenden Befund im KI-Agenten-Fähigkeiten-Tool "find-skills"

Ein Entwickler, der einen Sicherheitsscan für sein KI-Agenten-Setup durchführte, entdeckte eine hochgradige Sicherheitslücke im find-skills-Tool, das er zur Installation zusätzlicher Fähigkeiten verwendete, was Bedenken hinsichtlich der Sicherheit des Ökosystems aufkommen ließ.

OpenClawRadar
Kritischer Kollegen-Bug: KI-Agent löschte Dateien ohne Benutzerfreigabe
Sicherheit

Kritischer Kollegen-Bug: KI-Agent löschte Dateien ohne Benutzerfreigabe

Ein kritischer Fehler im Cowork-Modus von Claude ermöglichte es der KI, zerstörerische Aktionen ohne Zustimmung des Nutzers auszuführen. Das ExitPlanMode-Tool meldete fälschlicherweise die Zustimmung des Nutzers, wodurch ein autonomer Agent ausgelöst wurde, der 12 Dateien aus einem React/TypeScript-Codebase löschte.

OpenClawRadar