OpenClaw Security: A Base Endurecida Com Que Você Deveria Começar

Auto-hospedar o OpenClaw não significa que ele seja autosseguro. Um post no r/openclaw destaca que a parte mais difícil não é fazer o bot funcionar — é decidir o que o bot pode fazer, quem pode acessá-lo e quanto dano uma mensagem maliciosa pode causar. O post percorre a configuração de linha de base endurecida documentada do OpenClaw, que começa fechada e depois é ampliada.
Gateway: Apenas Local Inicialmente
O erro mais comum é expor o Gateway. A linha de base endurecida exige:
gateway.mode: "local"gateway.bind: "loopback"gateway.auth.mode: "token"
Exponha depois apenas quando entender o limite que está ampliando.
Isolamento de Sessão DM
Se várias pessoas podem enviar DM para o bot, você precisa de isolamento de sessão para evitar vazamento de contexto. A linha de base endurecida usa session.dmScope: "per-channel-peer". A regra: nunca combine DMs compartilhados com amplo acesso a ferramentas.
Raio de Alcance das Ferramentas
A maioria das pessoas pensa em quem pode enviar mensagem ao bot antes de considerar qual autoridade uma mensagem herda. A linha de base endurecida:
tools.profile: "messaging"- Nega
group:automation,group:runtime,group:fs - Nega
sessions_spawnesessions_send exec.security: "deny"eexec.ask: "always"elevated.enabled: false
Comece pela negação e depois reative o mínimo que puder justificar.
Grupos: Exigem Menção
Os grupos devem ser opcionais e acionados por menção, a menos que você tenha um motivo forte para flexibilizar. A linha de base usa requireMention: true para todos os grupos.
Configuração Inicial Prática
{
"gateway": {
"mode": "local",
"bind": "loopback",
"auth": {
"mode": "token",
"token": "substitua-por-token-longo-aleatorio"
}
},
"session": {
"dmScope": "per-channel-peer"
},
"tools": {
"profile": "messaging",
"deny": [
"group:automation",
"group:runtime",
"group:fs",
"sessions_spawn",
"sessions_send"
],
"fs": {
"workspaceOnly": true
},
"exec": {
"security": "deny",
"ask": "always"
},
"elevated": {
"enabled": false
}
},
"channels": {
"whatsapp": {
"dmPolicy": "pairing",
"groups": {
"*": {
"requireMention": true
}
}
}
}
}
Quatro Perguntas Antes de Ampliar
Antes de abrir qualquer coisa, pergunte:
- O Gateway pode ser alcançado de mais lugares do que o necessário?
- O contexto DM de uma pessoa pode vazar para a sessão de outra?
- Uma mensagem comum pode herdar autoridade de ferramenta mais ampla do que o pretendido?
- Uma sala pode acionar o bot com muita facilidade?
Se sim, a correção é endurecer a configuração, não melhorar o prompt. O OpenClaw oferece as superfícies — use-as.
📖 Leia a fonte completa: r/openclaw
👀 See Also

Folha de Dicas de Gerenciamento de Superfície de Ataque de Código Aberto Lançada
Um desenvolvedor disponibilizou uma cola de código aberto para Gerenciamento de Superfície de Ataque que abrange fluxos de trabalho práticos, ferramentas e referências. O projeto inclui seções sobre descoberta de ativos, rastreamento de infraestrutura, ferramentas de reconhecimento, fluxos de trabalho de automação e recursos de aprendizado.

openclaw-credential-vault aborda quatro vias de vazamento de credenciais em agentes de IA
openclaw-credential-vault fornece isolamento em nível de sistema operacional e injeção de credenciais com escopo de subprocesso para prevenir quatro caminhos comuns de exposição de credenciais em configurações do OpenClaw. Inclui limpeza de saída com quatro ganchos e funciona com qualquer ferramenta CLI ou API.

Cinco Passos Essenciais de Segurança para Instâncias OpenClaw
Uma postagem no Reddit alerta que executar o OpenClaw com configurações padrão cria riscos significativos de segurança e descreve cinco ações imediatas: alterar a porta padrão, usar o Tailscale para acesso privado, configurar um firewall, criar contas separadas para o agente e verificar as habilidades antes da instalação.

AgenteSeal Security Scan Detecta Riscos de Agente de IA no Servidor Blender MCP
O AgentSeal escaneou o servidor MCP do Blender (17 mil estrelas) e identificou vários problemas de segurança relevantes para agentes de IA, incluindo execução arbitrária de Python, possíveis cadeias de exfiltração de arquivos e padrões de injeção de prompt nas descrições das ferramentas.