Configuração de Referência do OpenClaw: Caso de Uso de Produção de 6 Semanas com Arquitetura de Segurança

Detalhes da Configuração de Produção
Esta é uma implementação real do OpenClaw em execução contínua há 6 semanas em hardware dedicado. O usuário não é um desenvolvedor, mas construiu isso nas noites e finais de semana enquanto trabalhava em engenharia industrial em uma fábrica de produtos químicos.
Hardware e Configuração Principal
- Hardware: Mac Mini M4 com 24GB de RAM, dedicado
- Cascata de modelos: Claude Sonnet → MiniMax → Qwen local (3 níveis)
- Ferramentas personalizadas: 15+
- Tarefas cron: 12 executadas diariamente
- Tempo de atividade: 6 semanas contínuas
- Custo: ~US$ 30-50/mês
- Mensagens diárias: 20-50
Funções Diárias
- Briefing matinal: Todos os dias às 5:08h com clima, calendário, e-mails, dados de mercado, lembretes e uma palavra de vocabulário. Montado localmente a partir de fontes em cache.
- Digitalização de faturas: Lê as caixas de entrada do GMX, iCloud e Gmail, baixa faturas em PDF, as categoriza com IA e as arquiva. A primeira execução processou 61 PDFs classificados em 11 categorias de uma só vez.
- Mensagens de voz: Transcreve localmente com Whisper (sem nuvem), processa e responde. Nenhum áudio sai da máquina.
- Ponte iCloud: Sincronização bidirecional de arquivos. Arquivos colocados em uma pasta no iPhone são coletados pelo agente, que pode devolver arquivos da mesma forma.
Arquitetura de Segurança
O criador enfatiza que a maioria das configurações tem exec.security: "off", o que é vulnerável a injeção de prompt. Esta implementação inclui:
- Aprovações de execução com ~57 binários na lista de permissões
- Egresso HTTP bloqueado para uma lista de permissões de domínios (sem curl para URLs desconhecidas)
- Egresso SMTP bloqueado para uma lista de destinatários aprovados
- Monitoramento de integridade de arquivos em 30+ arquivos críticos com checksums SHA256
- Detecção de injeção em cada entrada externa — e-mail, calendário, web, voz
- Validação de memória antes de cada gravação (sem envenenamento via conteúdo de e-mail)
- Auditoria Purple Team com mapeamento MITRE ATT&CK
Pontuação de segurança melhorada de 3/10 para 7,5/10.
Lições Aprendidas
sandbox.mode: "all"nega silenciosamente cada chamada de execução sem erro ou registro- A memória explode sem limites rígidos. Implementado limite de 200 linhas nos registros diários mais destilação semanal na memória de longo prazo
- Pipes de shell sempre acionam aprovações mesmo quando todos os binários estão na lista de permissões. Solução: scripts wrapper
exec-approvals.jsonNÃO deve ser imutável, pois o OpenClaw grava nele em cada execução
Repositório e Licenciamento
Tudo está disponível como código aberto em https://github.com/Atlas-Cowork/openclaw-reference-setup sob licença MIT. Inclui modelos, arquitetura de segurança, catálogo de ferramentas e configurações cron.
📖 Leia a fonte completa: r/openclaw
👀 See Also

Testando o Claude Sonnet com um Jogo de Tabuleiro Estratégico: Desafios de Adesão às Regras
Um desenvolvedor testou o Claude Sonnet jogando OFMOS® Essential, um jogo de tabuleiro estratégico patenteado sobre gestão de portfólio de produtos, usando um sistema de prompts estruturado com regras, representação do tabuleiro e gerenciamento de turnos. O modelo entendeu as regras e acompanhou as pontuações, mas frequentemente fez movimentos ilegais devido à falta de geração de movimentos restrita.

Usando o bot SkyClaw do OpenClaw para rastrear despesas pessoais via Discord e Google Sheets
Um usuário descreve o uso do SkyClaw, um bot nativo da nuvem alimentado pelo OpenClaw, para registrar despesas por meio de mensagens no Discord e imagens de recibos, que são automaticamente adicionadas a uma Planilha do Google sem a necessidade de acesso a contas pessoais sensíveis.

Programa de Parceiros Claude: Consultoria de Duas Pessoas Atende Requisito de Dez com Profissionais Independentes Certificados
Uma consultoria de IA com apenas duas pessoas usou o Claude para entrar no Programa de Parceiros da Anthropic e, em seguida, o utilizou para recrutar uma equipe de profissionais independentes certificados para atender ao requisito de 10 pessoas.

Usando IA para Portar um Driver Wi-Fi do Linux para o FreeBSD: Um Estudo de Caso
Um desenvolvedor usou o Claude Code e o agente Pi para tentar portar o driver brcmfmac do Linux para chips Wi-Fi Broadcom BCM4350 para o FreeBSD, primeiro através de tradução direta de código e depois gerando uma especificação detalhada de 11 capítulos para implementação em clean-room.