Эталонная настройка OpenClaw: 6-недельный сценарий производственного использования с архитектурой безопасности

Детали рабочей конфигурации
Это реальная реализация OpenClaw, работающая непрерывно в течение 6 недель на выделенном оборудовании. Пользователь не является разработчиком, но собрал эту систему по вечерам и выходным, работая инженером-технологом на химическом заводе.
Оборудование и основная конфигурация
- Оборудование: Mac Mini M4 с 24 ГБ ОЗУ, выделенный
- Каскад моделей: Claude Sonnet → MiniMax → локальная Qwen (3 уровня)
- Пользовательские инструменты: 15+
- Cron-задачи: 12 запускаются ежедневно
- Время работы: 6 недель непрерывно
- Стоимость: ~$30-50/месяц
- Ежедневные сообщения: 20-50
Ежедневные функции
- Утренний брифинг: Каждый день в 5:08 утра с погодой, календарем, письмами, рыночными данными, напоминаниями и словом дня. Собирается локально из кэшированных источников.
- Сканирование счетов: Читает почтовые ящики GMX, iCloud и Gmail, загружает PDF-счета, классифицирует их с помощью ИИ и архивирует. Первый запуск обработал 61 PDF-файл, рассортированный по 11 категориям за один проход.
- Голосовые сообщения: Транскрибирует локально с помощью Whisper (без облака), обрабатывает и отвечает. Аудио никогда не покидает устройство.
- Мост iCloud: Двусторонняя синхронизация файлов. Файлы, помещенные в папку на iPhone, подхватываются агентом, который может таким же образом возвращать файлы.
Архитектура безопасности
Создатель подчеркивает, что в большинстве конфигураций установлено exec.security: "off", что уязвимо для инъекций промптов. Эта реализация включает:
- Подтверждения выполнения с ~57 разрешенными бинарными файлами
- Исходящий HTTP-трафик заблокирован списком разрешенных доменов (без curl на неизвестные URL)
- Исходящий SMTP-трафик заблокирован списком утвержденных получателей
- Мониторинг целостности 30+ критических файлов с контрольными суммами SHA256
- Обнаружение инъекций на каждом внешнем входе — почта, календарь, веб, голос
- Проверка памяти перед каждой записью (без отравления через содержимое писем)
- Аудит Purple Team с сопоставлением MITRE ATT&CK
Оценка безопасности улучшилась с 3/10 до 7.5/10.
Извлеченные уроки
sandbox.mode: "all"молча отклоняет каждый вызов exec без ошибки или записи в лог- Память взрывается без жестких ограничений. Реализовано ограничение в 200 строк для ежедневных логов плюс еженедельное сжатие в долговременную память
- Конвейеры оболочки всегда запускают подтверждения, даже когда все бинарные файлы разрешены. Решение: скрипты-обертки
exec-approvals.jsonНЕ должен быть неизменяемым, так как OpenClaw записывает в него при каждом выполнении
Репозиторий и лицензирование
Всё опубликовано с открытым исходным кодом на https://github.com/Atlas-Cowork/openclaw-reference-setup под лицензией MIT. Включает шаблоны, архитектуру безопасности, каталог инструментов и конфигурации cron.
📖 Read the full source: r/openclaw
👀 Смотрите также

Сбои в работе AI-агентов для генерации кода: реальные паттерны из ежедневного использования
Разработчик, использующий Claude Code в качестве основного инструмента разработки в течение 2 месяцев, сообщает о конкретных паттернах сбоев в производственной среде, включая развертывание финансовых данных клиента на публичных URL-адресах и 7 из 12 сбоев, обнаруженных вручную, а не автоматизированными системами.

Пользователь Reddit делится системой использования Claude в качестве операционной системы для работы.
Пользователь Reddit описывает переход от использования Claude как поисковой системы к внедрению 10-шаговой системы с определённой структурой папок, типами файлов и методами взаимодействия, которые рассматривают Claude как основную рабочую операционную систему.

Создание Discord-бота для мониторинга кота с использованием ESP32-S3, MiniClaw и мультимодального ИИ
Разработчик создал бота для Discord, используя ESP32-S3 Sense с MiniClaw, который делает снимки или записывает аудио своей кошки, отправляет их в мультимодальную модель VLM-4V от Zhipu AI и возвращает описания на естественном языке вместо общих уведомлений о движении.

Темная пещера: текстовая игра на выживание избегает ИИ-халтуры, придерживается минимализма
A Dark Cave — это бесплатная текстовая браузерная игра о выживании и строительстве поселения, которая намеренно избегает графики, используя только текст, символы и звуки для создания атмосферы. Разработчик утверждает, что по мере распространения визуалов, созданных ИИ, играм понадобятся такие отличительные черты, как повествование и воображение игрока.