只要 OpenClaw 已经接入真实工具,这份安全清单就要一起补上。
服务器安全
- SSH 尽量使用密钥认证,不要长期依赖弱密码
- 不要直接用 root 运行 OpenClaw
- 定期更新系统和依赖
- 只开放必要端口
- 长期运行的机器建议加防暴力破解措施
API Key 和授权文件
- API Key 放环境变量或
.env .env不要提交到 Git- 不同服务尽量使用不同密钥
- 定期轮换密钥
- 给授权文件和 token 文件正确权限
数据边界
- 明确哪些目录允许它访问
- 明确哪些目录绝对不要碰
- 邮件、日历、浏览器这些能力都属于高敏感权限
- 不确定时,默认先保守
行为边界
建议明确写进 SOUL.md 或 AGENTS.md:
- 外发消息必须确认
- 删除或覆盖文件必须确认
- 修改配置必须确认
- 群聊不要泄露私人内容
- 夜间减少主动打扰
成本控制
- 给模型调用设置预算
- 心跳间隔不要过短
- 不常用的技能及时关闭
- 简单任务不一定要用最贵模型
建议的维护节奏
每月至少做一次:
- 检查日志里有没有异常
- 看看有没有过度频繁的主动消息
- 清理不用的技能和老旧配置
- 检查密钥、授权文件和备份状态