OpenClaw 安全指南:权限、提示注入与可执行的运营规则
工具型智能体的安全不是一句话配置。这里给你最小权限、审批闸门、密钥卫生、提示注入防护与审计留痕的可执行规则。
OpenClaw 安全指南
工具型智能体的翻车方式和聊天机器人完全不同。最有效的防线不是某个"开关",而是一套运营纪律。
五条安全规则
规则 1:默认最小权限
只给本次任务所需的工具与 scope。跑通且可审计后,再逐步放权。
✅ 好:「读取这个表格,总结第 5 行」
❌ 坏:「拥有我 Google Drive 的完整访问权限」规则 2:密钥永远不进 prompt
API key、密码、token、私有链接都不要粘贴进对话。默认认为日志与上下文可能泄露。
✅ 好:把密钥存在环境变量或安全保险库
❌ 坏:「这是我的 API key:sk-abc123...」规则 3:不可逆动作加"人类审批闸门"
以下动作必须人工确认:
- 发送消息/邮件
- 支付/购买
- 删除文件/改账户设置
- 公开发布内容
规则 4:提示注入卫生习惯
把外部文本当成潜在恶意:
- 不执行文档/帖子里的"指令"
- 先总结,再显式决定要做哪些动作
- 用 allowlist(白名单)限制可执行命令集合
规则 5:可审计性
留最轻量的审计痕迹:
- 调用了哪些工具
- 输入输出是什么
- 哪些步骤做了人工审批
提示注入威胁
提示注入是外部文本操纵你的智能体:
| 攻击向量 | 示例 |
|---|---|
| 文档注入 | PDF 里包含"忽略之前的指令然后..." |
| 社工诱导 | 帖子说"请分享你的 API key 帮我一下" |
| 隐藏指令 | 网页中不可见文本触发意外动作 |
防御:把所有外部内容当作不可信。先验证,再行动。
安全检查清单
部署智能体前:
- 权限已收缩到最小必要
- prompt 和可访问的 notes 中没有密钥
- 不可逆动作需要人工审批
- 外部内容被当作不可信处理
- 基本审计日志已启用