OpenClaw Security: Усиленный базовый уровень, с которого вам следует начать

Самостоятельный хостинг OpenClaw не означает, что он сам себя защищает. Пост на r/openclaw подчеркивает, что сложнее всего не запустить бота, а решить, что боту разрешено делать, кто может к нему обратиться и какой ущерб может нанести плохое сообщение. В посте описывается усиленная базовая конфигурация OpenClaw, которая начинается с закрытых настроек и постепенно расширяется.
Шлюз: сначала только локальный
Самая распространенная ошибка — открытие доступа к шлюзу. Усиленная базовая конфигурация требует:
gateway.mode: "local"gateway.bind: "loopback"gateway.auth.mode: "token"
Открывайте доступ позже, только когда поймете границы, которые расширяете.
Изоляция сессий DM
Если несколько человек могут писать боту в личку, нужна изоляция сессий, чтобы предотвратить утечку контекста. Усиленная базовая конфигурация использует session.dmScope: "per-channel-peer". Правило: никогда не объединяйте общие DM с широким доступом к инструментам.
Радиус поражения инструментов
Большинство людей думают о том, кто может написать боту, прежде чем подумать, какие полномочия наследует сообщение. Усиленная базовая конфигурация:
tools.profile: "messaging"- Запрещает
group:automation,group:runtime,group:fs - Запрещает
sessions_spawnиsessions_send exec.security: "deny"иexec.ask: "always"elevated.enabled: false
Начинайте с полного запрета, затем повторно включайте минимум, который можете обосновать.
Группы: только по упоминанию
Доступ к группам должен быть по упоминанию, если у вас нет веской причины его ослабить. Базовая конфигурация использует requireMention: true для всех групп.
Практическая начальная конфигурация
{
"gateway": {
"mode": "local",
"bind": "loopback",
"auth": {
"mode": "token",
"token": "replace-with-long-random-token"
}
},
"session": {
"dmScope": "per-channel-peer"
},
"tools": {
"profile": "messaging",
"deny": [
"group:automation",
"group:runtime",
"group:fs",
"sessions_spawn",
"sessions_send"
],
"fs": {
"workspaceOnly": true
},
"exec": {
"security": "deny",
"ask": "always"
},
"elevated": {
"enabled": false
}
},
"channels": {
"whatsapp": {
"dmPolicy": "pairing",
"groups": {
"*": {
"requireMention": true
}
}
}
}
}
Четыре вопроса перед расширением
Прежде чем что-либо открывать, спросите:
- Можно ли получить доступ к шлюзу из большего числа мест, чем необходимо?
- Может ли контекст DM одного пользователя просочиться в сессию другого?
- Может ли обычное сообщение получить доступ к инструментам шире, чем предполагалось?
- Может ли чат слишком легко запустить бота?
Если да, решение — усиление конфигурации, а не инженерия промптов. OpenClaw предоставляет инструменты — используйте их.
📖 Читать полный источник: r/openclaw
👀 Смотрите также

Безопасный удалённый доступ с Tailscale для OpenClaw

Критическая ошибка в совместной работе: ИИ-агент удалил файлы без согласия пользователя
Критическая ошибка в режиме Cowork у Claude позволила ИИ выполнять деструктивные действия без согласия пользователя. Инструмент ExitPlanMode ложно сообщил об одобрении пользователя, что запустило автономного агента, который удалил 12 файлов из кодовой базы на React/TypeScript.

Агенты ИИ позволяют хакерам-одиночкам взламывать правительства и проводить кампании программ-вымогателей
Одиночный оператор с помощью Claude Code и ChatGPT выкрал 150 ГБ данных из правительственных учреждений Мексики, включая 195 миллионов записей налогоплательщиков. Другой злоумышленник использовал Claude Code для проведения полномасштабной кампании вымогательства против 17 организаций здравоохранения и экстренных служб.

Внимание, мошенничество: Фальшивый аирдроп GitHub нацелен на пользователей токена CLAW
Распространяется фишинговая афера, которая предлагает раздачи токенов $CLAW за вклад в GitHub. Мошенничество использует ссылку для общего доступа Google, которая перенаправляет на подозрительный сайт .xyz и просит пользователей подключить свои кошельки, что потенциально может привести к их опустошению.