Эталонная настройка OpenClaw: 6-недельный сценарий производственного использования с архитектурой безопасности

✍️ OpenClawRadar📅 Опубликовано: 28 марта 2026 г.🔗 Source
Эталонная настройка OpenClaw: 6-недельный сценарий производственного использования с архитектурой безопасности
Ad

Детали рабочей конфигурации

Это реальная реализация OpenClaw, работающая непрерывно в течение 6 недель на выделенном оборудовании. Пользователь не является разработчиком, но собрал эту систему по вечерам и выходным, работая инженером-технологом на химическом заводе.

Оборудование и основная конфигурация

  • Оборудование: Mac Mini M4 с 24 ГБ ОЗУ, выделенный
  • Каскад моделей: Claude Sonnet → MiniMax → локальная Qwen (3 уровня)
  • Пользовательские инструменты: 15+
  • Cron-задачи: 12 запускаются ежедневно
  • Время работы: 6 недель непрерывно
  • Стоимость: ~$30-50/месяц
  • Ежедневные сообщения: 20-50

Ежедневные функции

  • Утренний брифинг: Каждый день в 5:08 утра с погодой, календарем, письмами, рыночными данными, напоминаниями и словом дня. Собирается локально из кэшированных источников.
  • Сканирование счетов: Читает почтовые ящики GMX, iCloud и Gmail, загружает PDF-счета, классифицирует их с помощью ИИ и архивирует. Первый запуск обработал 61 PDF-файл, рассортированный по 11 категориям за один проход.
  • Голосовые сообщения: Транскрибирует локально с помощью Whisper (без облака), обрабатывает и отвечает. Аудио никогда не покидает устройство.
  • Мост iCloud: Двусторонняя синхронизация файлов. Файлы, помещенные в папку на iPhone, подхватываются агентом, который может таким же образом возвращать файлы.
Ad

Архитектура безопасности

Создатель подчеркивает, что в большинстве конфигураций установлено exec.security: "off", что уязвимо для инъекций промптов. Эта реализация включает:

  • Подтверждения выполнения с ~57 разрешенными бинарными файлами
  • Исходящий HTTP-трафик заблокирован списком разрешенных доменов (без curl на неизвестные URL)
  • Исходящий SMTP-трафик заблокирован списком утвержденных получателей
  • Мониторинг целостности 30+ критических файлов с контрольными суммами SHA256
  • Обнаружение инъекций на каждом внешнем входе — почта, календарь, веб, голос
  • Проверка памяти перед каждой записью (без отравления через содержимое писем)
  • Аудит Purple Team с сопоставлением MITRE ATT&CK

Оценка безопасности улучшилась с 3/10 до 7.5/10.

Извлеченные уроки

  • sandbox.mode: "all" молча отклоняет каждый вызов exec без ошибки или записи в лог
  • Память взрывается без жестких ограничений. Реализовано ограничение в 200 строк для ежедневных логов плюс еженедельное сжатие в долговременную память
  • Конвейеры оболочки всегда запускают подтверждения, даже когда все бинарные файлы разрешены. Решение: скрипты-обертки
  • exec-approvals.json НЕ должен быть неизменяемым, так как OpenClaw записывает в него при каждом выполнении

Репозиторий и лицензирование

Всё опубликовано с открытым исходным кодом на https://github.com/Atlas-Cowork/openclaw-reference-setup под лицензией MIT. Включает шаблоны, архитектуру безопасности, каталог инструментов и конфигурации cron.

📖 Read the full source: r/openclaw

Ad

👀 Смотрите также

Сбои в работе AI-агентов для генерации кода: реальные паттерны из ежедневного использования
Кейсы

Сбои в работе AI-агентов для генерации кода: реальные паттерны из ежедневного использования

Разработчик, использующий Claude Code в качестве основного инструмента разработки в течение 2 месяцев, сообщает о конкретных паттернах сбоев в производственной среде, включая развертывание финансовых данных клиента на публичных URL-адресах и 7 из 12 сбоев, обнаруженных вручную, а не автоматизированными системами.

OpenClawRadar
Пользователь Reddit делится системой использования Claude в качестве операционной системы для работы.
Кейсы

Пользователь Reddit делится системой использования Claude в качестве операционной системы для работы.

Пользователь Reddit описывает переход от использования Claude как поисковой системы к внедрению 10-шаговой системы с определённой структурой папок, типами файлов и методами взаимодействия, которые рассматривают Claude как основную рабочую операционную систему.

OpenClawRadar
Создание Discord-бота для мониторинга кота с использованием ESP32-S3, MiniClaw и мультимодального ИИ
Кейсы

Создание Discord-бота для мониторинга кота с использованием ESP32-S3, MiniClaw и мультимодального ИИ

Разработчик создал бота для Discord, используя ESP32-S3 Sense с MiniClaw, который делает снимки или записывает аудио своей кошки, отправляет их в мультимодальную модель VLM-4V от Zhipu AI и возвращает описания на естественном языке вместо общих уведомлений о движении.

OpenClawRadar
Темная пещера: текстовая игра на выживание избегает ИИ-халтуры, придерживается минимализма
Кейсы

Темная пещера: текстовая игра на выживание избегает ИИ-халтуры, придерживается минимализма

A Dark Cave — это бесплатная текстовая браузерная игра о выживании и строительстве поселения, которая намеренно избегает графики, используя только текст, символы и звуки для создания атмосферы. Разработчик утверждает, что по мере распространения визуалов, созданных ИИ, играм понадобятся такие отличительные черты, как повествование и воображение игрока.

OpenClawRadar