Sécurité

Modèle de confiance d’assistant personnel : cette recommandation suppose une seule frontière d’opérateur de confiance par gateway (modèle mono-utilisateur/assistant personnel). OpenClaw n’est pas une frontière de sécurité multi-tenant hostile pour plusieurs utilisateurs adverses partageant un même agent/gateway. Si vous avez besoin d’un fonctionnement à confiance mixte ou avec des utilisateurs adverses, séparez les frontières de confiance (gateway + identifiants distincts, idéalement utilisateurs/hôtes OS distincts).

D’abord le périmètre : modèle de sécurité d’assistant personnel

Les recommandations de sécurité d’OpenClaw supposent un déploiement d’assistant personnel : une seule frontière d’opérateur de confiance, potentiellement plusieurs agents.

Posture de sécurité prise en charge : une frontière utilisateur/confiance par gateway (de préférence un utilisateur/hôte/VPS OS par frontière).
Frontière de sécurité non prise en charge : une gateway/un agent partagé utilisé par des utilisateurs mutuellement non fiables ou adverses.
Si une isolation entre utilisateurs adverses est requise, séparez par frontière de confiance (gateway + identifiants distincts, et idéalement utilisateurs/hôtes OS distincts).
Si plusieurs utilisateurs non fiables peuvent envoyer des messages à un agent avec outils activés, considérez qu’ils partagent la même autorité déléguée sur les outils pour cet agent.

Cette page explique le durcissement dans ce modèle. Elle ne prétend pas fournir une isolation hostile multi-tenant sur une seule gateway partagée.

Vérification rapide : `openclaw security audit`

Voir aussi : Vérification formelle (modèles de sécurité) Exécutez ceci régulièrement (surtout après avoir modifié la configuration ou exposé des surfaces réseau) :

openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --json

security audit --fix reste volontairement limité : il bascule les politiques de groupes ouverts courantes vers des listes d’autorisation, restaure logging.redactSensitive: "tools", resserre les permissions sur l’état/la configuration/les fichiers inclus, et utilise des réinitialisations ACL Windows au lieu de chmod POSIX lorsqu’il s’exécute sur Windows. Il signale les pièges fréquents (exposition de l’auth Gateway, exposition du contrôle navigateur, listes d’autorisation élevées, permissions du système de fichiers, approbations exec permissives, et exposition d’outils sur des canaux ouverts). OpenClaw est à la fois un produit et une expérience : vous reliez le comportement de modèles de pointe à de vraies surfaces de messagerie et à de vrais outils. Il n’existe pas de configuration “parfaitement sûre”. L’objectif est d’être délibéré sur :

qui peut parler à votre bot
où le bot est autorisé à agir
ce que le bot peut toucher

Commencez avec l’accès le plus minimal qui fonctionne encore, puis élargissez-le à mesure que vous gagnez en confiance.

Déploiement et confiance dans l’hôte

OpenClaw suppose que l’hôte et la frontière de configuration sont dignes de confiance :

Si quelqu’un peut modifier l’état/la configuration de l’hôte Gateway (~/.openclaw, y compris openclaw.json), considérez-le comme un opérateur de confiance.
Exécuter une seule Gateway pour plusieurs opérateurs mutuellement non fiables/adverses n’est pas une configuration recommandée.
Pour les équipes à confiance mixte, séparez les frontières de confiance avec des gateways distinctes (ou au minimum des utilisateurs/hôtes OS distincts).
Recommandation par défaut : un utilisateur par machine/hôte (ou VPS), une gateway pour cet utilisateur, et un ou plusieurs agents dans cette gateway.
Dans une même instance Gateway, l’accès opérateur authentifié est un rôle de plan de contrôle de confiance, pas un rôle de tenant par utilisateur.
Les identifiants de session (sessionKey, ID de session, labels) sont des sélecteurs de routage, pas des jetons d’autorisation.
Si plusieurs personnes peuvent envoyer des messages à un même agent avec outils activés, chacune d’elles peut piloter ce même ensemble d’autorisations. L’isolation mémoire/session par utilisateur aide à la confidentialité, mais ne transforme pas un agent partagé en autorisation d’hôte par utilisateur.

Espace de travail Slack partagé : risque réel

Si « tout le monde dans Slack peut envoyer des messages au bot », le risque principal est l’autorité déléguée sur les outils :

tout expéditeur autorisé peut provoquer des appels d’outils (exec, navigateur, outils réseau/fichiers) dans la politique de l’agent ;
une injection de prompt/de contenu provenant d’un expéditeur peut provoquer des actions affectant l’état partagé, les appareils ou les sorties ;
si un agent partagé possède des identifiants/fichiers sensibles, tout expéditeur autorisé peut potentiellement provoquer une exfiltration via l’usage d’outils.

Utilisez des agents/gateways distincts avec des outils minimaux pour les flux d’équipe ; gardez les agents contenant des données personnelles privés.

Agent partagé d’entreprise : modèle acceptable

C’est acceptable lorsque tous ceux qui utilisent cet agent appartiennent à la même frontière de confiance (par exemple une équipe d’entreprise) et que l’agent est strictement limité au contexte professionnel.

exécutez-le sur une machine/VM/conteneur dédié ;
utilisez un utilisateur OS + un navigateur/profil/comptes dédiés pour ce runtime ;
ne connectez pas ce runtime à des comptes Apple/Google personnels ni à des profils personnels de navigateur/gestionnaire de mots de passe.

Si vous mélangez identités personnelles et professionnelles sur le même runtime, vous effondrez la séparation et augmentez le risque d’exposition des données personnelles.

Concept de confiance Gateway et nœud

Traitez Gateway et nœud comme un seul domaine de confiance opérateur, avec des rôles différents :

Gateway est le plan de contrôle et la surface de politique (gateway.auth, politique d’outils, routage).
Node est la surface d’exécution distante appairée à cette Gateway (commandes, actions appareil, capacités locales à l’hôte).
Un appelant authentifié auprès de la Gateway est digne de confiance au périmètre Gateway. Après appairage, les actions du nœud sont des actions opérateur de confiance sur ce nœud.
sessionKey est une sélection de routage/contexte, pas une authentification par utilisateur.
Les approbations exec (liste d’autorisation + demande) sont des garde-fous pour l’intention de l’opérateur, pas une isolation multi-tenant hostile.
La valeur par défaut produit d’OpenClaw pour les configurations de confiance à opérateur unique est que l’exec hôte sur gateway/node est autorisé sans invite d’approbation (security="full", ask="off" sauf si vous resserrez cela). Cette valeur par défaut est un choix UX intentionnel, pas une vulnérabilité en soi.
Les approbations exec lient le contexte exact de la requête et, au mieux, les opérandes directs de fichiers locaux ; elles ne modélisent pas sémantiquement tous les chemins de chargement de runtime/interpréteur. Utilisez le sandboxing et l’isolation d’hôte pour des frontières solides.

Si vous avez besoin d’une isolation vis-à-vis d’utilisateurs hostiles, séparez les frontières de confiance par utilisateur/hôte OS et exécutez des gateways distinctes.

Matrice des frontières de confiance

Utilisez ceci comme modèle rapide lors du triage des risques :

Frontière ou contrôle	Ce que cela signifie	Mauvaise interprétation fréquente
`gateway.auth` (auth token/password/trusted-proxy/device)	Authentifie les appelants aux API gateway	« Il faut des signatures par message sur chaque trame pour être sûr »
`sessionKey`	Clé de routage pour la sélection contexte/session	« La clé de session est une frontière d’authentification utilisateur »
Garde-fous de prompt/contenu	Réduisent le risque d’abus du modèle	« Une injection de prompt seule prouve un contournement d’authentification »
`canvas.eval` / évaluation navigateur	Capacité opérateur intentionnelle lorsqu’activée	« Toute primitive d’eval JS est automatiquement une vulnérabilité dans ce modèle de confiance »
Shell local `!` de TUI	Exécution locale explicitement déclenchée par l’opérateur	« La commande shell locale de commodité est une injection distante »
Appairage de nœud et commandes de nœud	Exécution distante niveau opérateur sur appareils appairés	« Le contrôle de l’appareil distant doit être traité comme un accès utilisateur non fiable par défaut »

Pas des vulnérabilités par conception

Ces modèles sont souvent signalés et sont généralement clos sans action sauf si un vrai contournement de frontière est démontré :

Chaînes fondées uniquement sur l’injection de prompt sans contournement de politique/auth/sandbox.
Signalements supposant un fonctionnement multi-tenant hostile sur un seul hôte/config partagé.
Signalements classant l’accès normal en lecture opérateur (par exemple sessions.list/sessions.preview/chat.history) comme IDOR dans une configuration à gateway partagée.
Constatations sur des déploiements localhost uniquement (par exemple HSTS sur une gateway en loopback seulement).
Constatations sur des signatures de webhook entrant Discord pour des chemins entrants qui n’existent pas dans ce dépôt.
Signalements traitant les métadonnées d’appairage de nœud comme une seconde couche cachée d’approbation par commande pour system.run, alors que la vraie frontière d’exécution reste la politique globale des commandes de nœud de la gateway plus les propres approbations exec du nœud.
Constatations de « manque d’autorisation par utilisateur » traitant sessionKey comme un jeton d’authentification.

Checklist préalable pour les chercheurs

Avant d’ouvrir une GHSA, vérifiez tout ceci :

La reproduction fonctionne encore sur le dernier main ou la dernière version.
Le signalement inclut le chemin de code exact (file, fonction, plage de lignes) et la version/commit testés.
L’impact traverse une frontière de confiance documentée (pas seulement une injection de prompt).
L’affirmation ne figure pas dans Hors périmètre.
Les avis existants ont été vérifiés pour éviter les doublons (réutilisez la GHSA canonique lorsque c’est applicable).
Les hypothèses de déploiement sont explicites (loopback/local vs exposé, opérateurs de confiance vs non fiables).

Référence durcie en 60 secondes

Utilisez d’abord cette base, puis réactivez sélectivement les outils par agent de confiance :

{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "replace-with-long-random-token" },
  },
  session: {
    dmScope: "per-channel-peer",
  },
  tools: {
    profile: "messaging",
    deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
    fs: { workspaceOnly: true },
    exec: { security: "deny", ask: "always" },
    elevated: { enabled: false },
  },
  channels: {
    whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } },
  },
}

Cela maintient la Gateway en local uniquement, isole les DM et désactive par défaut les outils de plan de contrôle/runtime.

Règle rapide pour boîte de réception partagée

Si plus d’une personne peut envoyer des DM à votre bot :

Définissez session.dmScope: "per-channel-peer" (ou "per-account-channel-peer" pour les canaux multi-comptes).
Conservez dmPolicy: "pairing" ou des listes d’autorisation strictes.
Ne combinez jamais des DM partagés avec un accès large aux outils.
Cela durcit les boîtes de réception coopératives/partagées, mais n’est pas conçu comme une isolation entre colocataires hostiles lorsque les utilisateurs partagent l’accès en écriture à l’hôte/la configuration.

Modèle de visibilité du contexte

OpenClaw sépare deux concepts :

Autorisation de déclenchement : qui peut déclencher l’agent (dmPolicy, groupPolicy, listes d’autorisation, garde-fous de mention).
Visibilité du contexte : quel contexte supplémentaire est injecté dans l’entrée du modèle (corps de réponse, texte cité, historique du fil, métadonnées transférées).

Les listes d’autorisation filtrent les déclenchements et l’autorisation des commandes. Le paramètre contextVisibility contrôle comment le contexte supplémentaire (réponses citées, racines de fil, historique récupéré) est filtré :

contextVisibility: "all" (par défaut) conserve le contexte supplémentaire tel que reçu.
contextVisibility: "allowlist" filtre le contexte supplémentaire sur les expéditeurs autorisés par les vérifications actives de liste d’autorisation.
contextVisibility: "allowlist_quote" se comporte comme allowlist, mais conserve tout de même une réponse citée explicite.

Définissez contextVisibility par canal ou par salon/conversation. Voir Chats de groupe pour les détails de configuration. Conseils de triage d’avis :

Les affirmations montrant uniquement que « le modèle peut voir du texte cité ou historique provenant d’expéditeurs hors liste d’autorisation » sont des constats de durcissement à traiter avec contextVisibility, pas des contournements de frontière d’authentification ou de sandbox en eux-mêmes.
Pour être impactant du point de vue sécurité, un signalement doit encore démontrer un contournement de frontière de confiance (auth, politique, sandbox, approbation ou autre frontière documentée).

Ce que l’audit vérifie (haut niveau)

Accès entrant (politiques DM, politiques de groupe, listes d’autorisation) : des inconnus peuvent-ils déclencher le bot ?
Rayon d’explosion des outils (outils élevés + salons ouverts) : une injection de prompt pourrait-elle se transformer en actions shell/fichier/réseau ?
Dérive des approbations exec (security=full, autoAllowSkills, listes d’autorisation d’interpréteurs sans strictInlineEval) : les garde-fous d’exec hôte font-ils encore ce que vous pensez ?
- security="full" est un avertissement de posture large, pas une preuve de bug. C’est la valeur par défaut choisie pour des configurations d’assistant personnel de confiance ; resserrez-la seulement si votre modèle de menace exige des garde-fous d’approbation ou de liste d’autorisation.
Exposition réseau (bind/auth Gateway, Tailscale Serve/Funnel, jetons d’auth faibles/courts).
Exposition du contrôle navigateur (nœuds distants, ports relais, points de terminaison CDP distants).
Hygiène du disque local (permissions, symlinks, includes de configuration, chemins de « dossier synchronisé »).
Plugins (des extensions existent sans liste d’autorisation explicite).
Dérive/mauvaise configuration des politiques (réglages Docker du sandbox configurés mais mode sandbox désactivé ; motifs gateway.nodes.denyCommands inefficaces car la correspondance est exacte sur le nom de commande uniquement — par ex. system.run — et n’inspecte pas le texte shell ; entrées dangereuses dans gateway.nodes.allowCommands ; tools.profile="minimal" global écrasé par des profils par agent ; outils de plugin d’extension accessibles sous une politique d’outils permissive).
Dérive d’attente du runtime (par exemple supposer que l’exec implicite signifie encore sandbox lorsque tools.exec.host vaut désormais auto, ou définir explicitement tools.exec.host="sandbox" alors que le mode sandbox est désactivé).
Hygiène des modèles (avertit lorsque les modèles configurés semblent hérités ; pas un blocage strict).

Si vous exécutez --deep, OpenClaw tente aussi un sondage Gateway live au mieux.

Carte du stockage des identifiants

Utilisez ceci lors de l’audit des accès ou pour décider quoi sauvegarder :

WhatsApp : ~/.openclaw/credentials/whatsapp/<accountId>/creds.json
Jeton de bot Telegram : config/env ou channels.telegram.tokenFile (fichier ordinaire uniquement ; les symlinks sont rejetés)
Jeton de bot Discord : config/env ou SecretRef (fournisseurs env/file/exec)
Jetons Slack : config/env (channels.slack.*)
Listes d’autorisation d’appairage :
- ~/.openclaw/credentials/<channel>-allowFrom.json (compte par défaut)
- ~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json (comptes non par défaut)
Profils d’authentification de modèle : ~/.openclaw/agents/<agentId>/agent/auth-profiles.json
Charge utile de secrets basée sur fichier (facultatif) : ~/.openclaw/secrets.json
Import OAuth hérité : ~/.openclaw/credentials/oauth.json

Checklist d’audit de sécurité

Lorsque l’audit affiche des constatations, traitez ceci comme un ordre de priorité :

Tout ce qui est “open” + outils activés : verrouillez d’abord DM/groupes (appairage/listes d’autorisation), puis resserrez la politique d’outils/le sandboxing.
Exposition réseau publique (bind LAN, Funnel, absence d’auth) : corrigez immédiatement.
Exposition distante du contrôle navigateur : traitez cela comme un accès opérateur (tailnet uniquement, appairage délibéré des nœuds, pas d’exposition publique).
Permissions : assurez-vous que l’état/la configuration/les identifiants/l’auth ne sont pas lisibles par le groupe/le monde.
Plugins/extensions : ne chargez que ce en quoi vous avez explicitement confiance.
Choix du modèle : privilégiez des modèles modernes et durcis aux instructions pour tout bot avec outils.

Glossaire de l’audit de sécurité

Valeurs checkId à fort signal que vous verrez le plus probablement dans de vrais déploiements (liste non exhaustive) :

`checkId`	Gravité	Pourquoi c’est important	Clé/chemin principal de correction	Auto-fix
`fs.state_dir.perms_world_writable`	critical	D’autres utilisateurs/processus peuvent modifier tout l’état OpenClaw	permissions du système de fichiers sur `~/.openclaw`	yes
`fs.state_dir.perms_group_writable`	warn	Les utilisateurs du groupe peuvent modifier tout l’état OpenClaw	permissions du système de fichiers sur `~/.openclaw`	yes
`fs.state_dir.perms_readable`	warn	Le répertoire d’état est lisible par d’autres	permissions du système de fichiers sur `~/.openclaw`	yes
`fs.state_dir.symlink`	warn	La cible du répertoire d’état devient une autre frontière de confiance	organisation du système de fichiers du répertoire d’état	no
`fs.config.perms_writable`	critical	D’autres peuvent modifier auth/politique d’outils/config	permissions du système de fichiers sur `~/.openclaw/openclaw.json`	yes
`fs.config.symlink`	warn	La cible de la configuration devient une autre frontière de confiance	organisation du système de fichiers du fichier de config	no
`fs.config.perms_group_readable`	warn	Les utilisateurs du groupe peuvent lire jetons/paramètres de config	permissions du système de fichiers sur le fichier de config	yes
`fs.config.perms_world_readable`	critical	La config peut exposer des jetons/paramètres	permissions du système de fichiers sur le fichier de config	yes
`fs.config_include.perms_writable`	critical	Le fichier include de config peut être modifié par d’autres	permissions du fichier include référencé depuis `openclaw.json`	yes
`fs.config_include.perms_group_readable`	warn	Les utilisateurs du groupe peuvent lire secrets/paramètres inclus	permissions du fichier include référencé depuis `openclaw.json`	yes
`fs.config_include.perms_world_readable`	critical	Les secrets/paramètres inclus sont lisibles par tout le monde	permissions du fichier include référencé depuis `openclaw.json`	yes
`fs.auth_profiles.perms_writable`	critical	D’autres peuvent injecter ou remplacer des identifiants de modèle stockés	permissions de `agents/<agentId>/agent/auth-profiles.json`	yes
`fs.auth_profiles.perms_readable`	warn	D’autres peuvent lire clés API et jetons OAuth	permissions de `agents/<agentId>/agent/auth-profiles.json`	yes
`fs.credentials_dir.perms_writable`	critical	D’autres peuvent modifier l’état d’appairage/des identifiants des canaux	permissions du système de fichiers sur `~/.openclaw/credentials`	yes
`fs.credentials_dir.perms_readable`	warn	D’autres peuvent lire l’état des identifiants des canaux	permissions du système de fichiers sur `~/.openclaw/credentials`	yes
`fs.sessions_store.perms_readable`	warn	D’autres peuvent lire transcriptions/métadonnées de session	permissions du stockage des sessions	yes
`fs.log_file.perms_readable`	warn	D’autres peuvent lire des journaux expurgés mais encore sensibles	permissions du fichier journal Gateway	yes
`fs.synced_dir`	warn	État/config dans iCloud/Dropbox/Drive élargit l’exposition de jetons/transcriptions	déplacer config/état hors des dossiers synchronisés	no
`gateway.bind_no_auth`	critical	Bind distant sans secret partagé	`gateway.bind`, `gateway.auth.*`	no
`gateway.loopback_no_auth`	critical	Le loopback derrière proxy inverse peut devenir non authentifié	`gateway.auth.*`, configuration du proxy	no
`gateway.trusted_proxies_missing`	warn	Les en-têtes de proxy inverse sont présents mais non approuvés	`gateway.trustedProxies`	no
`gateway.http.no_auth`	warn/critical	API HTTP Gateway accessibles avec `auth.mode="none"`	`gateway.auth.mode`, `gateway.http.endpoints.*`	no
`gateway.http.session_key_override_enabled`	info	Les appelants de l’API HTTP peuvent remplacer `sessionKey`	`gateway.http.allowSessionKeyOverride`	no
`gateway.tools_invoke_http.dangerous_allow`	warn/critical	Réactive des outils dangereux via l’API HTTP	`gateway.tools.allow`	no
`gateway.nodes.allow_commands_dangerous`	warn/critical	Active des commandes de nœud à fort impact (caméra/écran/contacts/calendrier/SMS)	`gateway.nodes.allowCommands`	no
`gateway.nodes.deny_commands_ineffective`	warn	Les entrées deny de type motif ne correspondent pas au texte shell ni aux groupes	`gateway.nodes.denyCommands`	no
`gateway.tailscale_funnel`	critical	Exposition à l’Internet public	`gateway.tailscale.mode`	no
`gateway.tailscale_serve`	info	L’exposition tailnet est activée via Serve	`gateway.tailscale.mode`	no
`gateway.control_ui.allowed_origins_required`	critical	Control UI hors loopback sans liste d’autorisation explicite des origines navigateur	`gateway.controlUi.allowedOrigins`	no
`gateway.control_ui.allowed_origins_wildcard`	warn/critical	`allowedOrigins=["*"]` désactive la liste d’autorisation des origines navigateur	`gateway.controlUi.allowedOrigins`	no
`gateway.control_ui.host_header_origin_fallback`	warn/critical	Active le repli d’origine via en-tête Host (dégradation du durcissement anti DNS rebinding)	`gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback`	no
`gateway.control_ui.insecure_auth`	warn	Bascule de compatibilité d’auth non sûre activée	`gateway.controlUi.allowInsecureAuth`	no
`gateway.control_ui.device_auth_disabled`	critical	Désactive la vérification d’identité de l’appareil	`gateway.controlUi.dangerouslyDisableDeviceAuth`	no
`gateway.real_ip_fallback_enabled`	warn/critical	Faire confiance au repli `X-Real-IP` peut permettre l’usurpation IP via une mauvaise config proxy	`gateway.allowRealIpFallback`, `gateway.trustedProxies`	no
`gateway.token_too_short`	warn	Jeton partagé court plus facile à forcer	`gateway.auth.token`	no
`gateway.auth_no_rate_limit`	warn	Une auth exposée sans limitation de débit augmente le risque de force brute	`gateway.auth.rateLimit`	no
`gateway.trusted_proxy_auth`	critical	L’identité du proxy devient désormais la frontière d’auth	`gateway.auth.mode="trusted-proxy"`	no
`gateway.trusted_proxy_no_proxies`	critical	Auth trusted-proxy sans IP de proxy approuvées n’est pas sûre	`gateway.trustedProxies`	no
`gateway.trusted_proxy_no_user_header`	critical	Auth trusted-proxy ne peut pas résoudre l’identité utilisateur de manière sûre	`gateway.auth.trustedProxy.userHeader`	no
`gateway.trusted_proxy_no_allowlist`	warn	Auth trusted-proxy accepte n’importe quel utilisateur authentifié en amont	`gateway.auth.trustedProxy.allowUsers`	no
`gateway.probe_auth_secretref_unavailable`	warn	Le sondage profond n’a pas pu résoudre des SecretRef d’auth dans ce chemin	source d’auth du deep-probe / disponibilité SecretRef	no
`gateway.probe_failed`	warn/critical	Le sondage live Gateway a échoué	accessibilité/auth Gateway	no
`discovery.mdns_full_mode`	warn/critical	Le mode mDNS complet annonce les métadonnées `cliPath`/`sshPort` sur le réseau local	`discovery.mdns.mode`, `gateway.bind`	no
`config.insecure_or_dangerous_flags`	warn	Tout drapeau de debug non sûr/dangereux activé	clés multiples (voir détail de la constatation)	no
`config.secrets.gateway_password_in_config`	warn	Le mot de passe gateway est stocké directement dans la config	`gateway.auth.password`	no
`config.secrets.hooks_token_in_config`	warn	Le bearer token des hooks est stocké directement dans la config	`hooks.token`	no
`hooks.token_reuse_gateway_token`	critical	Le jeton d’entrée des hooks déverrouille aussi l’auth Gateway	`hooks.token`, `gateway.auth.token`	no
`hooks.token_too_short`	warn	Force brute plus facile sur l’entrée des hooks	`hooks.token`	no
`hooks.default_session_key_unset`	warn	Les exécutions d’agent via hook se dispersent dans des sessions générées par requête	`hooks.defaultSessionKey`	no
`hooks.allowed_agent_ids_unrestricted`	warn/critical	Les appelants de hooks authentifiés peuvent router vers n’importe quel agent configuré	`hooks.allowedAgentIds`	no
`hooks.request_session_key_enabled`	warn/critical	Un appelant externe peut choisir `sessionKey`	`hooks.allowRequestSessionKey`	no
`hooks.request_session_key_prefixes_missing`	warn/critical	Aucune borne sur les formes de clé de session externes	`hooks.allowedSessionKeyPrefixes`	no
`hooks.path_root`	critical	Le chemin de hook est `/`, ce qui facilite collisions ou mauvais routages	`hooks.path`	no
`hooks.installs_unpinned_npm_specs`	warn	Les enregistrements d’installation des hooks ne sont pas épinglés à des specs npm immuables	métadonnées d’installation des hooks	no
`hooks.installs_missing_integrity`	warn	Les enregistrements d’installation des hooks n’ont pas de métadonnées d’intégrité	métadonnées d’installation des hooks	no
`hooks.installs_version_drift`	warn	Les enregistrements d’installation des hooks dérivent des packages installés	métadonnées d’installation des hooks	no
`logging.redact_off`	warn	Les valeurs sensibles fuient dans les logs/statuts	`logging.redactSensitive`	yes
`browser.control_invalid_config`	warn	La configuration du contrôle navigateur est invalide avant le runtime	`browser.*`	no
`browser.control_no_auth`	critical	Contrôle navigateur exposé sans auth token/password	`gateway.auth.*`	no
`browser.remote_cdp_http`	warn	CDP distant en HTTP simple sans chiffrement du transport	profil navigateur `cdpUrl`	no
`browser.remote_cdp_private_host`	warn	CDP distant cible un hôte privé/interne	profil navigateur `cdpUrl`, `browser.ssrfPolicy.*`	no
`sandbox.docker_config_mode_off`	warn	Configuration Docker du sandbox présente mais inactive	`agents.*.sandbox.mode`	no
`sandbox.bind_mount_non_absolute`	warn	Les montages bind relatifs peuvent se résoudre de façon imprévisible	`agents.*.sandbox.docker.binds[]`	no
`sandbox.dangerous_bind_mount`	critical	Le montage bind du sandbox cible des chemins système/bibliothèque de credentials/socket Docker bloqués	`agents.*.sandbox.docker.binds[]`	no
`sandbox.dangerous_network_mode`	critical	Le réseau Docker du sandbox utilise `host` ou `container:*`	`agents.*.sandbox.docker.network`	no
`sandbox.dangerous_seccomp_profile`	critical	Le profil seccomp du sandbox affaiblit l’isolation du conteneur	`agents.*.sandbox.docker.securityOpt`	no
`sandbox.dangerous_apparmor_profile`	critical	Le profil AppArmor du sandbox affaiblit l’isolation du conteneur	`agents.*.sandbox.docker.securityOpt`	no
`sandbox.browser_cdp_bridge_unrestricted`	warn	Le pont CDP navigateur du sandbox est exposé sans restriction de plage source	`sandbox.browser.cdpSourceRange`	no
`sandbox.browser_container.non_loopback_publish`	critical	Un conteneur navigateur existant publie CDP sur des interfaces non loopback	configuration de publication du conteneur sandbox navigateur	no
`sandbox.browser_container.hash_label_missing`	warn	Le conteneur navigateur existant est antérieur aux labels de hash de config actuels	`openclaw sandbox recreate --browser --all`	no
`sandbox.browser_container.hash_epoch_stale`	warn	Le conteneur navigateur existant est antérieur à l’époque actuelle de config navigateur	`openclaw sandbox recreate --browser --all`	no
`tools.exec.host_sandbox_no_sandbox_defaults`	warn	`exec host=sandbox` échoue en mode fermé lorsque le sandbox est désactivé	`tools.exec.host`, `agents.defaults.sandbox.mode`	no
`tools.exec.host_sandbox_no_sandbox_agents`	warn	`exec host=sandbox` par agent échoue en mode fermé lorsque le sandbox est désactivé	`agents.list[].tools.exec.host`, `agents.list[].sandbox.mode`	no
`tools.exec.security_full_configured`	warn/critical	L’exec hôte fonctionne avec `security="full"`	`tools.exec.security`, `agents.list[].tools.exec.security`	no
`tools.exec.auto_allow_skills_enabled`	warn	Les approbations exec font implicitement confiance aux binaires de Skills	`~/.openclaw/exec-approvals.json`	no
`tools.exec.allowlist_interpreter_without_strict_inline_eval`	warn	Les listes d’autorisation d’interpréteurs permettent l’eval inline sans réapprobation forcée	`tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, liste d’approbation exec	no
`tools.exec.safe_bins_interpreter_unprofiled`	warn	Les binaires d’interpréteur/runtime dans `safeBins` sans profils explicites élargissent le risque exec	`tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*`	no
`tools.exec.safe_bins_broad_behavior`	warn	Les outils à comportement large dans `safeBins` affaiblissent le modèle de confiance stdin faible risque	`tools.exec.safeBins`, `agents.list[].tools.exec.safeBins`	no
`tools.exec.safe_bin_trusted_dirs_risky`	warn	`safeBinTrustedDirs` inclut des répertoires mutables ou risqués	`tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs`	no
`skills.workspace.symlink_escape`	warn	`skills/**/SKILL.md` dans l’espace de travail se résout hors de la racine workspace	état du système de fichiers de l’espace de travail `skills/**`	no
`plugins.extensions_no_allowlist`	warn	Des extensions sont installées sans liste d’autorisation explicite des plugins	`plugins.allowlist`	no
`plugins.installs_unpinned_npm_specs`	warn	Les enregistrements d’installation des plugins ne sont pas épinglés à des specs npm immuables	métadonnées d’installation de plugin	no
`plugins.installs_missing_integrity`	warn	Les enregistrements d’installation des plugins n’ont pas de métadonnées d’intégrité	métadonnées d’installation de plugin	no
`plugins.installs_version_drift`	warn	Les enregistrements d’installation des plugins dérivent des packages installés	métadonnées d’installation de plugin	no
`plugins.code_safety`	warn/critical	Le scan de code du plugin a trouvé des motifs suspects ou dangereux	code du plugin / source d’installation	no
`plugins.code_safety.entry_path`	warn	Le chemin d’entrée du plugin pointe vers des emplacements cachés ou `node_modules`	manifeste du plugin `entry`	no
`plugins.code_safety.entry_escape`	critical	L’entrée du plugin s’échappe du répertoire du plugin	manifeste du plugin `entry`	no
`plugins.code_safety.scan_failed`	warn	Le scan de code du plugin n’a pas pu se terminer	chemin d’extension du plugin / environnement de scan	no
`skills.code_safety`	warn/critical	Les métadonnées/code de l’installateur de Skills contiennent des motifs suspects ou dangereux	source d’installation de Skill	no
`skills.code_safety.scan_failed`	warn	Le scan de code des Skills n’a pas pu se terminer	environnement de scan de Skills	no
`security.exposure.open_channels_with_exec`	warn/critical	Des salons publics/partagés peuvent atteindre des agents avec exec activé	`channels..dmPolicy`, `channels..groupPolicy`, `tools.exec.`, `agents.list[].tools.exec.`	no
`security.exposure.open_groups_with_elevated`	critical	Des groupes ouverts + outils élevés créent des chemins d’injection de prompt à fort impact	`channels..groupPolicy`, `tools.elevated.`	no
`security.exposure.open_groups_with_runtime_or_fs`	critical/warn	Des groupes ouverts peuvent atteindre des outils de commande/fichier sans garde-fous sandbox/workspace	`channels..groupPolicy`, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents..sandbox.mode`	no
`security.trust_model.multi_user_heuristic`	warn	La config semble multi-utilisateur alors que le modèle de confiance gateway est assistant personnel	séparer les frontières de confiance, ou durcissement utilisateur partagé (`sandbox.mode`, deny/workspace scoping)	no
`tools.profile_minimal_overridden`	warn	Les remplacements par agent contournent le profil minimal global	`agents.list[].tools.profile`	no
`plugins.tools_reachable_permissive_policy`	warn	Les outils d’extension sont accessibles dans des contextes permissifs	`tools.profile` + allow/deny d’outil	no
`models.legacy`	warn	Des familles de modèles héritées sont encore configurées	sélection de modèle	no
`models.weak_tier`	warn	Les modèles configurés sont en dessous des niveaux recommandés actuels	sélection de modèle	no
`models.small_params`	critical/info	Petits modèles + surfaces d’outils non sûres augmentent le risque d’injection	choix du modèle + politique de sandbox/outils	no
`summary.attack_surface`	info	Résumé global de la posture auth, canaux, outils et exposition	clés multiples (voir détail de la constatation)	no

Control UI sur HTTP

La Control UI a besoin d’un contexte sécurisé (HTTPS ou localhost) pour générer une identité d’appareil. gateway.controlUi.allowInsecureAuth est une bascule locale de compatibilité :

Sur localhost, elle autorise l’auth Control UI sans identité d’appareil lorsque la page est chargée en HTTP non sécurisé.
Elle ne contourne pas les vérifications d’appairage.
Elle n’assouplit pas les exigences d’identité d’appareil à distance (hors localhost).

Préférez HTTPS (Tailscale Serve) ou ouvrez l’UI sur 127.0.0.1. Pour les scénarios break-glass uniquement, gateway.controlUi.dangerouslyDisableDeviceAuth désactive complètement les vérifications d’identité d’appareil. Il s’agit d’une dégradation sévère de sécurité ; laissez cela désactivé sauf si vous êtes en train de déboguer activement et pouvez revenir rapidement en arrière. Séparément de ces drapeaux dangereux, une authentification réussie via gateway.auth.mode: "trusted-proxy" peut admettre des sessions operator de Control UI sans identité d’appareil. Il s’agit d’un comportement intentionnel du mode d’auth, pas d’un raccourci allowInsecureAuth, et cela ne s’étend toujours pas aux sessions Control UI de rôle node. openclaw security audit avertit lorsque ce réglage est activé.

Résumé des drapeaux non sûrs ou dangereux

openclaw security audit inclut config.insecure_or_dangerous_flags lorsque des commutateurs de debug connus comme non sûrs/dangereux sont activés. Cette vérification agrège actuellement :

gateway.controlUi.allowInsecureAuth=true
gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true
gateway.controlUi.dangerouslyDisableDeviceAuth=true
hooks.gmail.allowUnsafeExternalContent=true
hooks.mappings[<index>].allowUnsafeExternalContent=true
tools.exec.applyPatch.workspaceOnly=false
plugins.entries.acpx.config.permissionMode=approve-all

Ensemble complet des clés de configuration dangerous* / dangerously* définies dans le schéma de configuration OpenClaw :

gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
gateway.controlUi.dangerouslyDisableDeviceAuth
browser.ssrfPolicy.dangerouslyAllowPrivateNetwork
channels.discord.dangerouslyAllowNameMatching
channels.discord.accounts.<accountId>.dangerouslyAllowNameMatching
channels.slack.dangerouslyAllowNameMatching
channels.slack.accounts.<accountId>.dangerouslyAllowNameMatching
channels.googlechat.dangerouslyAllowNameMatching
channels.googlechat.accounts.<accountId>.dangerouslyAllowNameMatching
channels.msteams.dangerouslyAllowNameMatching
channels.synology-chat.dangerouslyAllowNameMatching (canal d’extension)
channels.synology-chat.accounts.<accountId>.dangerouslyAllowNameMatching (canal d’extension)
channels.synology-chat.dangerouslyAllowInheritedWebhookPath (canal d’extension)
channels.zalouser.dangerouslyAllowNameMatching (canal d’extension)
channels.zalouser.accounts.<accountId>.dangerouslyAllowNameMatching (canal d’extension)
channels.irc.dangerouslyAllowNameMatching (canal d’extension)
channels.irc.accounts.<accountId>.dangerouslyAllowNameMatching (canal d’extension)
channels.mattermost.dangerouslyAllowNameMatching (canal d’extension)
channels.mattermost.accounts.<accountId>.dangerouslyAllowNameMatching (canal d’extension)
channels.telegram.network.dangerouslyAllowPrivateNetwork
channels.telegram.accounts.<accountId>.network.dangerouslyAllowPrivateNetwork
agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargets
agents.defaults.sandbox.docker.dangerouslyAllowExternalBindSources
agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin
agents.list[<index>].sandbox.docker.dangerouslyAllowReservedContainerTargets
agents.list[<index>].sandbox.docker.dangerouslyAllowExternalBindSources
agents.list[<index>].sandbox.docker.dangerouslyAllowContainerNamespaceJoin

Configuration de proxy inverse

Si vous exécutez Gateway derrière un proxy inverse (nginx, Caddy, Traefik, etc.), configurez gateway.trustedProxies pour une gestion correcte de l’IP client transmise. Lorsque Gateway détecte des en-têtes de proxy depuis une adresse qui n’est pas dans trustedProxies, elle ne traitera pas les connexions comme des clients locaux. Si l’auth gateway est désactivée, ces connexions sont rejetées. Cela évite un contournement d’authentification dans lequel des connexions proxifiées apparaîtraient sinon comme venant de localhost et recevraient une confiance automatique. gateway.trustedProxies alimente aussi gateway.auth.mode: "trusted-proxy", mais ce mode d’auth est plus strict :

l’auth trusted-proxy échoue en mode fermé sur les proxys source loopback
les proxys inverses loopback sur le même hôte peuvent toujours utiliser gateway.trustedProxies pour la détection des clients locaux et la gestion des IP transmises
pour ces proxys inverses loopback sur le même hôte, utilisez l’auth token/password au lieu de gateway.auth.mode: "trusted-proxy"

gateway:
  trustedProxies:
    - "10.0.0.1" # IP du proxy inverse
  # Facultatif. Par défaut false.
  # N’activez ceci que si votre proxy ne peut pas fournir X-Forwarded-For.
  allowRealIpFallback: false
  auth:
    mode: password
    password: ${OPENCLAW_GATEWAY_PASSWORD}

Lorsque trustedProxies est configuré, Gateway utilise X-Forwarded-For pour déterminer l’IP du client. X-Real-IP est ignoré par défaut sauf si gateway.allowRealIpFallback: true est explicitement défini. Bon comportement de proxy inverse (écrase les en-têtes de forwarding entrants) :

proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;

Mauvais comportement de proxy inverse (ajoute/préserve des en-têtes de forwarding non fiables) :

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

Notes sur HSTS et les origines

OpenClaw gateway est d’abord local/loopback. Si vous terminez TLS sur un proxy inverse, définissez HSTS sur le domaine HTTPS exposé par ce proxy à cet endroit.
Si la gateway elle-même termine HTTPS, vous pouvez définir gateway.http.securityHeaders.strictTransportSecurity pour émettre l’en-tête HSTS depuis les réponses OpenClaw.
Les recommandations détaillées de déploiement sont dans Auth Trusted Proxy.
Pour les déploiements de Control UI hors loopback, gateway.controlUi.allowedOrigins est requis par défaut.
gateway.controlUi.allowedOrigins: ["*"] est une politique explicite d’autorisation de toutes les origines navigateur, pas une valeur par défaut durcie. Évitez-la hors tests locaux très contrôlés.
Les échecs d’auth d’origine navigateur sur loopback sont toujours limités en débit même lorsque l’exemption loopback générale est activée, mais la clé de blocage est portée par valeur Origin normalisée et non par un compartiment localhost partagé.
gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true active le mode de repli d’origine via en-tête Host ; traitez cela comme une politique dangereuse choisie par l’opérateur.
Traitez le DNS rebinding et le comportement des en-têtes Host côté proxy comme des préoccupations de durcissement de déploiement ; gardez trustedProxies strict et évitez d’exposer directement la gateway à l’Internet public.

Les journaux de session locaux vivent sur disque

OpenClaw stocke les transcriptions de session sur disque sous ~/.openclaw/agents/<agentId>/sessions/*.jsonl. Ceci est nécessaire pour la continuité de session et (éventuellement) l’indexation mémoire des sessions, mais cela signifie aussi que tout processus/utilisateur ayant un accès au système de fichiers peut lire ces journaux. Traitez l’accès disque comme la frontière de confiance et verrouillez les permissions sur ~/.openclaw (voir la section audit ci-dessous). Si vous avez besoin d’une isolation plus forte entre agents, exécutez-les sous des utilisateurs OS distincts ou sur des hôtes distincts.

Exécution sur nœud (`system.run`)

Si un nœud macOS est appairé, Gateway peut invoquer system.run sur ce nœud. Il s’agit d’une exécution de code à distance sur le Mac :

Nécessite l’appairage du nœud (approbation + jeton).
L’appairage de nœud Gateway n’est pas une surface d’approbation par commande. Il établit l’identité/la confiance du nœud et l’émission de jetons.
Gateway applique une politique globale grossière des commandes de nœud via gateway.nodes.allowCommands / denyCommands.
Contrôlé sur le Mac via Réglages → Exec approvals (security + ask + allowlist).
La politique system.run par nœud est le propre fichier d’approbations exec du nœud (exec.approvals.node.*), qui peut être plus stricte ou plus souple que la politique globale des ID de commande de la gateway.
Un nœud exécuté avec security="full" et ask="off" suit le modèle par défaut d’opérateur de confiance. Considérez cela comme attendu sauf si votre déploiement exige explicitement une posture d’approbation ou de liste d’autorisation plus stricte.
Le mode d’approbation lie le contexte exact de la requête et, lorsque possible, un seul opérande direct de script/fichier local concret. Si OpenClaw ne peut pas identifier exactement un fichier local direct pour une commande d’interpréteur/runtime, l’exécution fondée sur l’approbation est refusée plutôt que de promettre une couverture sémantique complète.
Pour host=node, les exécutions appuyées sur approbation stockent aussi un systemRunPlan préparé canonique ; les redirections approuvées ultérieures réutilisent ce plan stocké, et la validation gateway rejette les modifications appelant de la commande/cwd/contexte de session après création de la demande d’approbation.
Si vous ne voulez pas d’exécution distante, définissez security sur deny et supprimez l’appairage du nœud pour ce Mac.

Cette distinction est importante pour le triage :

Un nœud appairé se reconnectant et annonçant une liste de commandes différente n’est pas, à lui seul, une vulnérabilité si la politique globale de Gateway et les approbations exec locales du nœud appliquent toujours la vraie frontière d’exécution.
Les signalements traitant les métadonnées d’appairage de nœud comme une seconde couche cachée d’approbation par commande relèvent généralement d’une confusion de politique/UX, pas d’un contournement de frontière de sécurité.

Skills dynamiques (watcher / nœuds distants)

OpenClaw peut rafraîchir la liste des Skills en cours de session :

Watcher de Skills : les modifications de SKILL.md peuvent mettre à jour l’instantané des Skills au prochain tour d’agent.
Nœuds distants : connecter un nœud macOS peut rendre des Skills réservés à macOS éligibles (sur la base de la détection de binaires).

Traitez les dossiers de Skills comme du code de confiance et limitez qui peut les modifier.

Le modèle de menace

Votre assistant IA peut :

Exécuter des commandes shell arbitraires
Lire/écrire des fichiers
Accéder à des services réseau
Envoyer des messages à n’importe qui (si vous lui donnez l’accès WhatsApp)

Les personnes qui vous envoient des messages peuvent :

Essayer de piéger votre IA pour qu’elle fasse de mauvaises choses
Faire de l’ingénierie sociale pour accéder à vos données
Sonder les détails de votre infrastructure

Concept clé : contrôle d’accès avant intelligence

La plupart des échecs ici ne sont pas des exploits sophistiqués — c’est juste « quelqu’un a envoyé un message au bot et le bot a fait ce qu’on lui a demandé ». Position d’OpenClaw :

Identité d’abord : décidez qui peut parler au bot (appairage DM / listes d’autorisation / mode “open” explicite).
Périmètre ensuite : décidez où le bot est autorisé à agir (listes d’autorisation de groupe + contrôle de mention, outils, sandboxing, permissions d’appareil).
Modèle en dernier : supposez que le modèle peut être manipulé ; concevez le système de sorte que cette manipulation ait un rayon d’impact limité.

Modèle d’autorisation des commandes

Les slash commands et directives ne sont honorées que pour les expéditeurs autorisés. L’autorisation est dérivée des listes d’autorisation/appairages de canal plus commands.useAccessGroups (voir Configuration et Slash commands). Si une liste d’autorisation de canal est vide ou inclut "*", les commandes sont de fait ouvertes pour ce canal. /exec est une commodité limitée à la session pour les opérateurs autorisés. Elle n’écrit pas dans la config et ne modifie pas d’autres sessions.

Risque des outils de plan de contrôle

Deux outils intégrés peuvent effectuer des changements persistants de plan de contrôle :

gateway peut inspecter la config avec config.schema.lookup / config.get, et peut faire des changements persistants avec config.apply, config.patch, et update.run.
cron peut créer des tâches planifiées qui continuent à s’exécuter après la fin du chat/de la tâche d’origine.

L’outil runtime gateway réservé au propriétaire refuse toujours de réécrire tools.exec.ask ou tools.exec.security ; les alias hérités tools.bash.* sont normalisés vers les mêmes chemins exec protégés avant écriture. Pour tout agent/surface qui traite du contenu non fiable, refusez-les par défaut :

{
  tools: {
    deny: ["gateway", "cron", "sessions_spawn", "sessions_send"],
  },
}

commands.restart=false bloque uniquement les actions de redémarrage. Cela ne désactive pas les actions gateway de config/mise à jour.

Plugins/extensions

Les plugins s’exécutent dans le processus avec Gateway. Traitez-les comme du code de confiance :

N’installez que des plugins provenant de sources de confiance.
Préférez des listes d’autorisation explicites plugins.allow.
Examinez la configuration du plugin avant activation.
Redémarrez Gateway après des changements de plugin.
Si vous installez ou mettez à jour des plugins (openclaw plugins install <package>, openclaw plugins update <id>), traitez cela comme l’exécution de code non fiable :
- Le chemin d’installation est le répertoire par plugin sous la racine active d’installation des plugins.
- OpenClaw exécute un scan intégré de code dangereux avant install/mise à jour. Les constatations critical bloquent par défaut.
- OpenClaw utilise npm pack puis exécute npm install --omit=dev dans ce répertoire (les scripts de cycle de vie npm peuvent exécuter du code lors de l’installation).
- Préférez des versions épinglées exactes (@scope/pkg@1.2.3), et inspectez le code décompressé sur disque avant activation.
- --dangerously-force-unsafe-install est réservé aux cas de break-glass pour les faux positifs du scan intégré dans les flux d’installation/mise à jour de plugins. Il ne contourne pas les blocages de politique before_install du plugin et ne contourne pas les échecs de scan.
- Les installations de dépendances de Skills pilotées par Gateway suivent la même séparation dangereux/suspect : les constatations intégrées critical bloquent sauf si l’appelant définit explicitement dangerouslyForceUnsafeInstall, tandis que les constatations suspectes ne font qu’avertir. openclaw skills install reste le flux séparé de téléchargement/installation de Skills ClawHub.

Détails : Plugins

Modèle d’accès DM (appairage / liste d’autorisation / open / disabled)

Tous les canaux actuels compatibles DM prennent en charge une politique DM (dmPolicy ou *.dm.policy) qui filtre les DM entrants avant traitement du message :

pairing (par défaut) : les expéditeurs inconnus reçoivent un court code d’appairage et le bot ignore leur message jusqu’à approbation. Les codes expirent après 1 heure ; des DM répétés ne renverront pas de code tant qu’une nouvelle demande n’est pas créée. Les demandes en attente sont plafonnées à 3 par canal par défaut.
allowlist : les expéditeurs inconnus sont bloqués (pas de handshake d’appairage).
open : autorise n’importe qui à envoyer des DM (public). Nécessite que la liste d’autorisation du canal inclue "*" (opt-in explicite).
disabled : ignore totalement les DM entrants.

Approuvez via CLI :

openclaw pairing list <channel>
openclaw pairing approve <channel> <code>

Détails + fichiers sur disque : Appairage

Isolation des sessions DM (mode multi-utilisateur)

Par défaut, OpenClaw route tous les DM vers la session principale afin que votre assistant garde une continuité entre appareils et canaux. Si plusieurs personnes peuvent envoyer des DM au bot (DM ouverts ou liste d’autorisation multi-personne), envisagez d’isoler les sessions DM :

{
  session: { dmScope: "per-channel-peer" },
}

Cela évite les fuites de contexte inter-utilisateurs tout en gardant les chats de groupe isolés. Il s’agit d’une frontière de contexte de messagerie, pas d’une frontière d’administration d’hôte. Si les utilisateurs sont mutuellement adverses et partagent le même hôte/config Gateway, exécutez des gateways distinctes par frontière de confiance.

Mode DM sécurisé (recommandé)

Traitez l’extrait ci-dessus comme le mode DM sécurisé :

Par défaut : session.dmScope: "main" (tous les DM partagent une session pour la continuité).
Valeur par défaut d’onboarding CLI local : écrit session.dmScope: "per-channel-peer" lorsqu’il n’est pas défini (conserve les valeurs explicites existantes).
Mode DM sécurisé : session.dmScope: "per-channel-peer" (chaque paire canal+expéditeur obtient un contexte DM isolé).
Isolation inter-canaux par pair : session.dmScope: "per-peer" (chaque expéditeur obtient une session sur tous les canaux du même type).

Si vous exécutez plusieurs comptes sur le même canal, utilisez per-account-channel-peer à la place. Si la même personne vous contacte sur plusieurs canaux, utilisez session.identityLinks pour fusionner ces sessions DM en une identité canonique. Voir Gestion des sessions et Configuration.

Listes d’autorisation (DM + groupes) - terminologie

OpenClaw possède deux couches distinctes « qui peut me déclencher ? » :

Liste d’autorisation DM (allowFrom / channels.discord.allowFrom / channels.slack.allowFrom; héritée : channels.discord.dm.allowFrom, channels.slack.dm.allowFrom) : qui est autorisé à parler au bot en message direct.
- Lorsque dmPolicy="pairing", les approbations sont écrites dans le stockage de liste d’autorisation d’appairage à portée compte sous ~/.openclaw/credentials/ (<channel>-allowFrom.json pour le compte par défaut, <channel>-<accountId>-allowFrom.json pour les comptes non par défaut), fusionné avec les listes d’autorisation de configuration.
Liste d’autorisation de groupe (spécifique au canal) : quels groupes/canaux/guilds le bot acceptera comme source de messages.
- Modèles courants :
  - channels.whatsapp.groups, channels.telegram.groups, channels.imessage.groups : valeurs par défaut par groupe comme requireMention ; lorsqu’il est défini, cela agit aussi comme liste d’autorisation de groupe (incluez "*" pour conserver le comportement autoriser-tout).
  - groupPolicy="allowlist" + groupAllowFrom : restreint qui peut déclencher le bot à l’intérieur d’une session de groupe (WhatsApp/Telegram/Signal/iMessage/Microsoft Teams).
  - channels.discord.guilds / channels.slack.channels : listes d’autorisation par surface + valeurs par défaut de mention.
- Les vérifications de groupe s’exécutent dans cet ordre : groupPolicy/listes d’autorisation de groupe d’abord, activation par mention/réponse ensuite.
- Répondre à un message du bot (mention implicite) ne contourne pas les listes d’autorisation d’expéditeur comme groupAllowFrom.
- Note de sécurité : traitez dmPolicy="open" et groupPolicy="open" comme des réglages de dernier recours. Ils devraient être rarement utilisés ; préférez appairage + listes d’autorisation sauf si vous faites entièrement confiance à chaque membre du salon.

Détails : Configuration et Groupes

Injection de prompt (ce que c’est, pourquoi c’est important)

L’injection de prompt consiste à fabriquer un message qui manipule le modèle pour lui faire faire quelque chose de non sûr (« ignore tes instructions », « vide ton système de fichiers », « suis ce lien et exécute des commandes », etc.). Même avec des prompts système solides, l’injection de prompt n’est pas résolue. Les garde-fous du prompt système ne sont qu’un guidage souple ; l’application stricte vient de la politique d’outils, des approbations exec, du sandboxing et des listes d’autorisation de canaux (et les opérateurs peuvent les désactiver par conception). Ce qui aide en pratique :

Gardez les DM entrants verrouillés (appairage/listes d’autorisation).
Préférez le contrôle par mention dans les groupes ; évitez les bots « toujours actifs » dans les salons publics.
Traitez par défaut les liens, pièces jointes et instructions collées comme hostiles.
Exécutez l’exécution d’outils sensibles dans un sandbox ; gardez les secrets hors du système de fichiers accessible à l’agent.
Remarque : le sandboxing est sur opt-in. Si le mode sandbox est désactivé, l’implicite host=auto se résout vers l’hôte gateway. L’explicite host=sandbox échoue toujours en mode fermé car aucun runtime sandbox n’est disponible. Définissez host=gateway si vous voulez rendre ce comportement explicite dans la configuration.
Limitez les outils à haut risque (exec, browser, web_fetch, web_search) aux agents de confiance ou à des listes d’autorisation explicites.
Si vous mettez des interpréteurs en liste d’autorisation (python, node, ruby, perl, php, lua, osascript), activez tools.exec.strictInlineEval afin que les formes d’eval inline nécessitent toujours une approbation explicite.
Le choix du modèle compte : les modèles anciens/petits/hérités sont nettement moins robustes face à l’injection de prompt et à l’usage abusif d’outils. Pour les agents avec outils activés, utilisez le modèle le plus solide, de dernière génération et durci aux instructions, disponible.

Signaux d’alerte à traiter comme non fiables :

« Lis ce fichier/cette URL et fais exactement ce qu’il dit. »
« Ignore ton prompt système ou tes règles de sécurité. »
« Révèle tes instructions cachées ou les sorties d’outils. »
« Colle le contenu complet de ~/.openclaw ou de tes logs. »

Drapeaux de contournement du contenu externe non sûr

OpenClaw inclut des drapeaux explicites de contournement qui désactivent l’encapsulation de sécurité du contenu externe :

hooks.mappings[].allowUnsafeExternalContent
hooks.gmail.allowUnsafeExternalContent
Champ de charge utile cron allowUnsafeExternalContent

Conseils :

Laissez-les non définis/false en production.
Ne les activez que temporairement pour un débogage très ciblé.
S’ils sont activés, isolez cet agent (sandbox + outils minimaux + espace de noms de session dédié).

Note de risque hooks :

Les charges utiles de hook sont du contenu non fiable, même lorsque la livraison provient de systèmes que vous contrôlez (courriels/docs/contenu web peuvent porter une injection de prompt).
Les niveaux de modèles faibles augmentent ce risque. Pour l’automatisation pilotée par hooks, préférez des niveaux modernes et solides de modèles et gardez une politique d’outils stricte (tools.profile: "messaging" ou plus stricte), plus du sandboxing lorsque possible.

L’injection de prompt ne nécessite pas des DM publics

Même si vous seul pouvez envoyer des messages au bot, l’injection de prompt peut toujours se produire via tout contenu non fiable que le bot lit (résultats de recherche/récupération web, pages navigateur, emails, docs, pièces jointes, logs/code collés). En d’autres termes : l’expéditeur n’est pas la seule surface de menace ; le contenu lui-même peut porter des instructions adverses. Lorsque les outils sont activés, le risque typique est l’exfiltration de contexte ou le déclenchement d’appels d’outils. Réduisez le rayon d’explosion en :

Utilisant un agent lecteur en lecture seule ou sans outils pour résumer le contenu non fiable, puis en passant le résumé à votre agent principal.
Désactivant web_search / web_fetch / browser pour les agents avec outils activés sauf nécessité.
Pour les entrées URL OpenResponses (input_file / input_image), définissez des gateway.http.endpoints.responses.files.urlAllowlist et gateway.http.endpoints.responses.images.urlAllowlist stricts, et gardez maxUrlParts faible. Les listes d’autorisation vides sont traitées comme non définies ; utilisez files.allowUrl: false / images.allowUrl: false si vous voulez désactiver complètement la récupération d’URL.
Pour les entrées de fichier OpenResponses, le texte input_file décodé est toujours injecté comme contenu externe non fiable. Ne considérez pas le texte de fichier comme fiable simplement parce que Gateway l’a décodé localement. Le bloc injecté porte toujours des marqueurs de frontière explicites <<<EXTERNAL_UNTRUSTED_CONTENT ...>>> ainsi que les métadonnées Source: External, même si ce chemin omet la bannière plus longue SECURITY NOTICE:.
Le même encapsulage basé sur des marqueurs est appliqué lorsque media-understanding extrait du texte de documents joints avant d’ajouter ce texte au prompt média.
Activant le sandboxing et des listes d’autorisation d’outils strictes pour tout agent qui touche des entrées non fiables.
Gardant les secrets hors des prompts ; passez-les via env/config sur l’hôte gateway à la place.

Solidité du modèle (note de sécurité)

La résistance à l’injection de prompt n’est pas uniforme entre les niveaux de modèles. Les modèles plus petits/moins chers sont généralement plus sensibles à l’usage abusif des outils et au détournement d’instructions, surtout face à des prompts adverses.

Pour les agents avec outils activés ou les agents qui lisent du contenu non fiable, le risque d’injection de prompt avec des modèles plus anciens/plus petits est souvent trop élevé. N’exécutez pas ces charges de travail sur des niveaux de modèles faibles.

Recommandations :

Utilisez le modèle de dernière génération, meilleur niveau pour tout bot pouvant exécuter des outils ou toucher des fichiers/réseaux.
N’utilisez pas de niveaux plus anciens/faibles/petits pour des agents avec outils activés ou des boîtes de réception non fiables ; le risque d’injection de prompt est trop élevé.
Si vous devez utiliser un modèle plus petit, réduisez le rayon d’impact (outils en lecture seule, sandboxing fort, accès minimal au système de fichiers, listes d’autorisation strictes).
Lorsque vous exécutez de petits modèles, activez le sandboxing pour toutes les sessions et désactivez web_search/web_fetch/browser sauf si les entrées sont étroitement contrôlées.
Pour les assistants personnels en chat seul avec entrées de confiance et sans outils, les petits modèles conviennent généralement.

Raisonnement et sortie verbeuse dans les groupes

/reasoning et /verbose peuvent exposer un raisonnement interne ou une sortie d’outil qui n’étaient pas destinés à un canal public. Dans les contextes de groupe, traitez-les comme réservés au débogage et laissez-les désactivés sauf besoin explicite. Conseils :

Gardez /reasoning et /verbose désactivés dans les salons publics.
Si vous les activez, faites-le uniquement dans des DM de confiance ou des salons étroitement contrôlés.
Rappelez-vous : une sortie verbeuse peut inclure des arguments d’outils, des URL et des données que le modèle a vues.

Durcissement de la configuration (exemples)

0) Permissions des fichiers

Gardez la configuration et l’état privés sur l’hôte gateway :

~/.openclaw/openclaw.json : 600 (lecture/écriture utilisateur uniquement)
~/.openclaw : 700 (utilisateur uniquement)

openclaw doctor peut avertir et proposer de resserrer ces permissions.

0.4) Exposition réseau (bind + port + pare-feu)

La Gateway multiplexe WebSocket + HTTP sur un seul port :

Par défaut : 18789
Config/drapeaux/env : gateway.port, --port, OPENCLAW_GATEWAY_PORT

Cette surface HTTP inclut la Control UI et l’hôte canvas :

Control UI (ressources SPA) (chemin de base par défaut /)
Hôte canvas : /__openclaw__/canvas/ et /__openclaw__/a2ui/ (HTML/JS arbitraires ; traitez cela comme du contenu non fiable)

Si vous chargez du contenu canvas dans un navigateur normal, traitez-le comme n’importe quelle autre page web non fiable :

N’exposez pas l’hôte canvas à des réseaux/utilisateurs non fiables.
Ne faites pas partager au contenu canvas la même origine que des surfaces web privilégiées sauf si vous comprenez totalement les implications.

Le mode bind contrôle où la Gateway écoute :

gateway.bind: "loopback" (par défaut) : seuls les clients locaux peuvent se connecter.
Les binds hors loopback ("lan", "tailnet", "custom") élargissent la surface d’attaque. Ne les utilisez qu’avec une auth gateway (token/password partagé ou proxy de confiance hors loopback correctement configuré) et un vrai pare-feu.

Règles pratiques :

Préférez Tailscale Serve aux binds LAN (Serve garde la Gateway en loopback, et Tailscale gère l’accès).
Si vous devez binder sur le LAN, filtrez le port par pare-feu à une liste d’autorisation serrée d’IP sources ; ne le transférez pas largement.
N’exposez jamais la Gateway non authentifiée sur 0.0.0.0.

0.4.1) Publication de ports Docker + UFW (`DOCKER-USER`)

Si vous exécutez OpenClaw avec Docker sur un VPS, rappelez-vous que les ports de conteneur publiés (-p HOST:CONTAINER ou ports: Compose) sont routés via les chaînes de forwarding Docker, pas seulement via les règles INPUT de l’hôte. Pour garder le trafic Docker aligné avec votre politique pare-feu, appliquez des règles dans DOCKER-USER (cette chaîne est évaluée avant les propres règles d’acceptation de Docker). Sur de nombreuses distributions modernes, iptables/ip6tables utilisent le frontal iptables-nft et appliquent toujours ces règles au backend nftables. Exemple minimal de liste d’autorisation (IPv4) :

# /etc/ufw/after.rules (à ajouter comme sa propre section *filter)
*filter
:DOCKER-USER - [0:0]
-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
-A DOCKER-USER -s 127.0.0.0/8 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 192.168.0.0/16 -j RETURN
-A DOCKER-USER -s 100.64.0.0/10 -j RETURN
-A DOCKER-USER -p tcp --dport 80 -j RETURN
-A DOCKER-USER -p tcp --dport 443 -j RETURN
-A DOCKER-USER -m conntrack --ctstate NEW -j DROP
-A DOCKER-USER -j RETURN
COMMIT

IPv6 a des tables séparées. Ajoutez une politique correspondante dans /etc/ufw/after6.rules si Docker IPv6 est activé. Évitez de coder en dur des noms d’interface comme eth0 dans les extraits de documentation. Les noms d’interface varient selon les images VPS (ens3, enp*, etc.) et les incompatibilités peuvent contourner accidentellement votre règle de refus. Validation rapide après rechargement :

ufw reload
iptables -S DOCKER-USER
ip6tables -S DOCKER-USER
nmap -sT -p 1-65535 <public-ip> --open

Les ports externes attendus devraient être uniquement ceux que vous exposez intentionnellement (pour la plupart des configurations : SSH + les ports de votre proxy inverse).

0.4.2) Découverte mDNS/Bonjour (divulgation d’informations)

La Gateway diffuse sa présence via mDNS (_openclaw-gw._tcp sur le port 5353) pour la découverte d’appareils locaux. En mode complet, cela inclut des enregistrements TXT pouvant exposer des détails opérationnels :

cliPath : chemin complet du système de fichiers vers le binaire CLI (révèle le nom d’utilisateur et l’emplacement d’installation)
sshPort : annonce la disponibilité de SSH sur l’hôte
displayName, lanHost : informations de nom d’hôte

Considération de sécurité opérationnelle : diffuser des détails d’infrastructure facilite la reconnaissance pour quiconque est sur le réseau local. Même des informations « inoffensives » comme des chemins du système de fichiers et la disponibilité de SSH aident les attaquants à cartographier votre environnement. Recommandations :

Mode minimal (par défaut, recommandé pour les gateways exposées) : omettez les champs sensibles des diffusions mDNS :
```
{
  discovery: {
    mdns: { mode: "minimal" },
  },
}
```
Désactivez entièrement si vous n’avez pas besoin de la découverte d’appareils locaux :
```
{
  discovery: {
    mdns: { mode: "off" },
  },
}
```
Mode complet (sur opt-in) : inclut cliPath + sshPort dans les enregistrements TXT :
```
{
  discovery: {
    mdns: { mode: "full" },
  },
}
```
Variable d’environnement (alternative) : définissez OPENCLAW_DISABLE_BONJOUR=1 pour désactiver mDNS sans modifier la config.

En mode minimal, Gateway diffuse encore suffisamment pour la découverte d’appareils (role, gatewayPort, transport) mais omet cliPath et sshPort. Les applications qui ont besoin d’informations sur le chemin CLI peuvent les récupérer via la connexion WebSocket authentifiée.

0.5) Verrouiller le WebSocket Gateway (auth locale)

L’auth Gateway est requise par défaut. Si aucun chemin d’auth gateway valide n’est configuré, la Gateway refuse les connexions WebSocket (échec en mode fermé). L’onboarding génère un token par défaut (même pour loopback), donc les clients locaux doivent s’authentifier. Définissez un token pour que tous les clients WS doivent s’authentifier :

{
  gateway: {
    auth: { mode: "token", token: "your-token" },
  },
}

Doctor peut en générer un pour vous : openclaw doctor --generate-gateway-token. Remarque : gateway.remote.token / .password sont des sources d’identifiants client. Elles ne protègent pas à elles seules l’accès WS local. Les chemins d’appel locaux peuvent utiliser gateway.remote.* comme repli uniquement lorsque gateway.auth.* n’est pas défini. Si gateway.auth.token / gateway.auth.password est explicitement configuré via SecretRef et non résolu, la résolution échoue en mode fermé (aucun repli distant masquant). Facultatif : épinglez le TLS distant avec gateway.remote.tlsFingerprint lorsque vous utilisez wss://. ws:// en clair est limité au loopback par défaut. Pour des chemins privés de confiance sur réseau privé, définissez OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1 sur le processus client comme break-glass. Appairage des appareils locaux :

L’appairage d’appareil est approuvé automatiquement pour les connexions locales directes en loopback afin de garder une bonne fluidité pour les clients du même hôte.
OpenClaw dispose aussi d’un chemin étroit d’auto-connexion backend/conteneur-local pour des flux auxiliaires de confiance à secret partagé.
Les connexions tailnet et LAN, y compris les binds tailnet sur le même hôte, sont traitées comme distantes pour l’appairage et nécessitent toujours une approbation.

Modes d’auth :

gateway.auth.mode: "token" : bearer token partagé (recommandé pour la plupart des configurations).
gateway.auth.mode: "password" : auth par mot de passe (préférez le définir via env : OPENCLAW_GATEWAY_PASSWORD).
gateway.auth.mode: "trusted-proxy" : fait confiance à un proxy inverse conscient de l’identité pour authentifier les utilisateurs et transmettre l’identité via des en-têtes (voir Auth Trusted Proxy).

Checklist de rotation (token/password) :

Générez/définissez un nouveau secret (gateway.auth.token ou OPENCLAW_GATEWAY_PASSWORD).
Redémarrez Gateway (ou redémarrez l’application macOS si elle supervise Gateway).
Mettez à jour les clients distants (gateway.remote.token / .password sur les machines qui appellent la Gateway).
Vérifiez qu’il n’est plus possible de se connecter avec les anciens identifiants.

0.6) En-têtes d’identité Tailscale Serve

Lorsque gateway.auth.allowTailscale vaut true (par défaut pour Serve), OpenClaw accepte les en-têtes d’identité Tailscale Serve (tailscale-user-login) pour l’authentification de la Control UI/WebSocket. OpenClaw vérifie l’identité en résolvant l’adresse x-forwarded-for via le démon Tailscale local (tailscale whois) et en la comparant à l’en-tête. Cela ne se déclenche que pour les requêtes qui atteignent loopback et incluent x-forwarded-for, x-forwarded-proto, et x-forwarded-host tels qu’injectés par Tailscale. Pour ce chemin de vérification d’identité asynchrone, les tentatives en échec pour le même {scope, ip} sont sérialisées avant que le limiteur n’enregistre l’échec. Des nouvelles tentatives concurrentes erronées provenant d’un même client Serve peuvent donc bloquer immédiatement la deuxième tentative au lieu de passer la course comme deux simples incohérences. Les points de terminaison d’API HTTP (par exemple /v1/*, /tools/invoke, et /api/channels/*) n’utilisent pas l’auth par en-tête d’identité Tailscale. Ils suivent toujours le mode d’auth HTTP configuré de la gateway. Remarque importante sur la frontière :

L’auth bearer HTTP Gateway est en pratique un accès opérateur tout ou rien.
Traitez les identifiants capables d’appeler /v1/chat/completions, /v1/responses, ou /api/channels/* comme des secrets opérateur à accès complet pour cette gateway.
Sur la surface HTTP compatible OpenAI, l’auth bearer à secret partagé restaure les portées opérateur complètes par défaut (operator.admin, operator.approvals, operator.pairing, operator.read, operator.talk.secrets, operator.write) ainsi que la sémantique propriétaire pour les tours d’agent ; des valeurs x-openclaw-scopes plus étroites ne réduisent pas ce chemin à secret partagé.
Les sémantiques de portée par requête en HTTP ne s’appliquent que lorsque la requête provient d’un mode porteur d’identité tel que l’auth trusted proxy ou gateway.auth.mode="none" sur un ingress privé.
Dans ces modes porteurs d’identité, omettre x-openclaw-scopes fait revenir à l’ensemble normal de portées par défaut de l’opérateur ; envoyez explicitement cet en-tête lorsque vous voulez un ensemble plus restreint.
/tools/invoke suit la même règle pour les secrets partagés : l’auth bearer token/password y est également traitée comme un accès opérateur complet, tandis que les modes porteurs d’identité respectent encore les portées déclarées.
Ne partagez pas ces identifiants avec des appelants non fiables ; préférez des gateways distinctes par frontière de confiance.

Hypothèse de confiance : l’auth Serve sans token suppose que l’hôte gateway est digne de confiance. Ne traitez pas cela comme une protection contre des processus hostiles sur le même hôte. Si du code local non fiable peut s’exécuter sur l’hôte gateway, désactivez gateway.auth.allowTailscale et exigez une auth explicite par secret partagé avec gateway.auth.mode: "token" ou "password". Règle de sécurité : ne transmettez pas ces en-têtes depuis votre propre proxy inverse. Si vous terminez TLS ou placez un proxy devant la gateway, désactivez gateway.auth.allowTailscale et utilisez à la place une auth à secret partagé (gateway.auth.mode: "token" ou "password") ou Auth Trusted Proxy. Proxys de confiance :

Si vous terminez TLS devant la Gateway, définissez gateway.trustedProxies avec les IP de votre proxy.
OpenClaw fera confiance à x-forwarded-for (ou x-real-ip) depuis ces IP pour déterminer l’IP client lors des vérifications locales d’appairage et des vérifications HTTP/auth locale.
Assurez-vous que votre proxy écrase x-forwarded-for et bloque l’accès direct au port Gateway.

Voir Tailscale et Vue d’ensemble du Web.

0.6.1) Contrôle navigateur via l’hôte node (recommandé)

Si votre Gateway est distante mais que le navigateur s’exécute sur une autre machine, exécutez un hôte node sur la machine du navigateur et laissez la Gateway proxifier les actions du navigateur (voir Outil navigateur). Traitez l’appairage du nœud comme un accès administrateur. Modèle recommandé :

Gardez la Gateway et l’hôte node sur le même tailnet (Tailscale).
Appairez le nœud de façon intentionnelle ; désactivez le routage proxy navigateur si vous n’en avez pas besoin.

À éviter :

Exposer les ports de relais/contrôle sur le LAN ou l’Internet public.
Utiliser Tailscale Funnel pour les points de terminaison de contrôle navigateur (exposition publique).

0.7) Secrets sur disque (données sensibles)

Supposez que tout ce qui se trouve sous ~/.openclaw/ (ou $OPENCLAW_STATE_DIR/) peut contenir des secrets ou des données privées :

openclaw.json : la config peut inclure des jetons (gateway, gateway distante), des paramètres de fournisseur et des listes d’autorisation.
credentials/** : identifiants de canal (exemple : identifiants WhatsApp), listes d’autorisation d’appairage, imports OAuth hérités.
agents/<agentId>/agent/auth-profiles.json : clés API, profils de jetons, jetons OAuth et keyRef/tokenRef facultatifs.
secrets.json (facultatif) : charge utile de secret basée sur fichier utilisée par les fournisseurs SecretRef file (secrets.providers).
agents/<agentId>/agent/auth.json : fichier de compatibilité hérité. Les entrées statiques api_key sont purgées lorsqu’elles sont découvertes.
agents/<agentId>/sessions/** : transcriptions de session (*.jsonl) + métadonnées de routage (sessions.json) pouvant contenir des messages privés et des sorties d’outils.
packages de plugins intégrés : plugins installés (plus leur node_modules/).
sandboxes/** : espaces de travail des sandboxes d’outils ; peuvent accumuler des copies de fichiers lus/écrits dans le sandbox.

Conseils de durcissement :

Gardez des permissions strictes (700 sur les répertoires, 600 sur les fichiers).
Utilisez le chiffrement complet du disque sur l’hôte gateway.
Préférez un compte utilisateur OS dédié pour la Gateway si l’hôte est partagé.

0.8) Journaux + transcriptions (expurgation + rétention)

Les journaux et transcriptions peuvent divulguer des informations sensibles même si les contrôles d’accès sont corrects :

Les journaux Gateway peuvent inclure des résumés d’outils, erreurs et URL.
Les transcriptions de session peuvent inclure des secrets collés, contenus de fichiers, sorties de commandes et liens.

Recommandations :

Gardez l’expurgation des résumés d’outils activée (logging.redactSensitive: "tools" ; par défaut).
Ajoutez des motifs personnalisés pour votre environnement via logging.redactPatterns (jetons, noms d’hôte, URL internes).
Lorsque vous partagez des diagnostics, préférez openclaw status --all (copiable, secrets expurgés) aux journaux bruts.
Purgez les anciennes transcriptions de session et les fichiers journal si vous n’avez pas besoin d’une rétention longue.

Détails : Journalisation

1) DM : appairage par défaut

{
  channels: { whatsapp: { dmPolicy: "pairing" } },
}

2) Groupes : exiger une mention partout

{
  "channels": {
    "whatsapp": {
      "groups": {
        "*": { "requireMention": true }
      }
    }
  },
  "agents": {
    "list": [
      {
        "id": "main",
        "groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] }
      }
    ]
  }
}

Dans les chats de groupe, ne répondez que lorsque vous êtes explicitement mentionné.

3) Numéros séparés (WhatsApp, Signal, Telegram)

Pour les canaux à numéro de téléphone, envisagez d’exécuter votre IA sur un numéro distinct de votre numéro personnel :

Numéro personnel : vos conversations restent privées
Numéro du bot : l’IA gère celles-ci, avec les limites appropriées

4) Mode lecture seule (via sandbox + outils)

Vous pouvez construire un profil lecture seule en combinant :

agents.defaults.sandbox.workspaceAccess: "ro" (ou "none" pour aucun accès à l’espace de travail)
des listes allow/deny d’outils qui bloquent write, edit, apply_patch, exec, process, etc.

Options de durcissement supplémentaires :

tools.exec.applyPatch.workspaceOnly: true (par défaut) : garantit que apply_patch ne peut pas écrire/supprimer en dehors du répertoire workspace même lorsque le sandboxing est désactivé. Définissez-le à false uniquement si vous voulez intentionnellement que apply_patch touche des fichiers hors workspace.
tools.fs.workspaceOnly: true (facultatif) : restreint les chemins read/write/edit/apply_patch et les chemins natifs d’auto-chargement d’images de prompt au répertoire workspace (utile si vous autorisez aujourd’hui des chemins absolus et voulez un garde-fou unique).
Gardez des racines de système de fichiers étroites : évitez des racines larges comme votre répertoire personnel pour les workspaces d’agent/workspaces de sandbox. Les racines larges peuvent exposer des fichiers locaux sensibles (par exemple état/config sous ~/.openclaw) aux outils du système de fichiers.

5) Référence sûre (copier/coller)

Une configuration « sûre par défaut » qui garde la Gateway privée, exige l’appairage DM et évite les bots de groupe toujours actifs :

{
  gateway: {
    mode: "local",
    bind: "loopback",
    port: 18789,
    auth: { mode: "token", token: "your-long-random-token" },
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } },
    },
  },
}

Si vous voulez aussi une exécution d’outils « plus sûre par défaut », ajoutez un sandbox + refusez les outils dangereux pour tout agent non propriétaire (exemple ci-dessous dans « Profils d’accès par agent »). Référence intégrée pour les tours d’agent pilotés par chat : les expéditeurs non propriétaires ne peuvent pas utiliser les outils cron ou gateway.

Sandboxing (recommandé)

Documentation dédiée : Sandboxing Deux approches complémentaires :

Exécuter toute la Gateway dans Docker (frontière de conteneur) : Docker
Sandbox d’outils (agents.defaults.sandbox, gateway hôte + outils isolés par Docker) : Sandboxing

Remarque : pour empêcher l’accès inter-agents, gardez agents.defaults.sandbox.scope sur "agent" (par défaut) ou "session" pour une isolation plus stricte par session. scope: "shared" utilise un seul conteneur/espace de travail. Pensez aussi à l’accès à l’espace de travail de l’agent dans le sandbox :

agents.defaults.sandbox.workspaceAccess: "none" (par défaut) garde le workspace de l’agent hors d’atteinte ; les outils s’exécutent sur un workspace sandbox sous ~/.openclaw/sandboxes
agents.defaults.sandbox.workspaceAccess: "ro" monte le workspace de l’agent en lecture seule sur /agent (désactive write/edit/apply_patch)
agents.defaults.sandbox.workspaceAccess: "rw" monte le workspace de l’agent en lecture/écriture sur /workspace
Les sandbox.docker.binds supplémentaires sont validés par rapport à des chemins source normalisés et canonisés. Les astuces de symlink parent et alias canoniques du répertoire personnel échouent toujours en mode fermé si elles se résolvent dans des racines bloquées comme /etc, /var/run, ou des répertoires d’identifiants sous le home OS.

Important : tools.elevated est l’échappatoire globale qui exécute exec hors du sandbox. L’hôte effectif vaut gateway par défaut, ou node lorsque la cible exec est configurée sur node. Gardez tools.elevated.allowFrom strict et ne l’activez pas pour des inconnus. Vous pouvez restreindre davantage elevated par agent via agents.list[].tools.elevated. Voir Mode Elevated.

Garde-fou de délégation à sous-agent

Si vous autorisez les outils de session, traitez les exécutions déléguées de sous-agent comme une autre décision de frontière :

Refusez sessions_spawn sauf si l’agent a vraiment besoin de délégation.
Gardez agents.defaults.subagents.allowAgents et tout remplacement par agent agents.list[].subagents.allowAgents restreints aux agents cibles connus comme sûrs.
Pour tout flux de travail qui doit rester sandboxé, appelez sessions_spawn avec sandbox: "require" (la valeur par défaut est inherit).
sandbox: "require" échoue immédiatement si le runtime enfant cible n’est pas sandboxé.

Risques du contrôle navigateur

Activer le contrôle navigateur donne au modèle la capacité de piloter un vrai navigateur. Si ce profil navigateur contient déjà des sessions connectées, le modèle peut accéder à ces comptes et à ces données. Traitez les profils navigateur comme un état sensible :

Préférez un profil dédié pour l’agent (profil openclaw par défaut).
Évitez de pointer l’agent vers votre profil personnel d’usage quotidien.
Gardez désactivé le contrôle navigateur hôte pour les agents sandboxés à moins de leur faire confiance.
L’API autonome de contrôle navigateur en loopback n’honore que l’auth à secret partagé (auth bearer token gateway ou mot de passe gateway). Elle ne consomme pas les en-têtes d’identité trusted-proxy ou Tailscale Serve.
Traitez les téléchargements navigateur comme des entrées non fiables ; préférez un répertoire de téléchargements isolé.
Désactivez si possible la synchronisation navigateur/les gestionnaires de mots de passe dans le profil agent (réduit le rayon d’impact).
Pour les gateways distantes, considérez que « contrôle navigateur » équivaut à « accès opérateur » à tout ce que ce profil peut atteindre.
Gardez les hôtes Gateway et node limités au tailnet ; évitez d’exposer les ports de contrôle navigateur au LAN ou à l’Internet public.
Désactivez le routage proxy navigateur quand vous n’en avez pas besoin (gateway.nodes.browser.mode="off").
Le mode Chrome MCP sur session existante n’est pas « plus sûr » ; il peut agir comme vous sur tout ce que ce profil Chrome hôte peut atteindre.

Politique SSRF navigateur (valeur par défaut réseau de confiance)

La politique réseau navigateur d’OpenClaw suit par défaut le modèle d’opérateur de confiance : les destinations privées/internes sont autorisées sauf si vous les désactivez explicitement.

Par défaut : browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: true (implicite lorsqu’il n’est pas défini).
Alias hérité : browser.ssrfPolicy.allowPrivateNetwork est encore accepté pour compatibilité.
Mode strict : définissez browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: false pour bloquer par défaut les destinations privées/internes/spéciales.
En mode strict, utilisez hostnameAllowlist (motifs comme *.example.com) et allowedHostnames (exceptions d’hôtes exacts, y compris des noms bloqués comme localhost) pour les exceptions explicites.
La navigation est vérifiée avant la requête puis revérifiée au mieux sur l’URL finale http(s) après navigation afin de réduire les pivots fondés sur des redirections.

Exemple de politique stricte :

{
  browser: {
    ssrfPolicy: {
      dangerouslyAllowPrivateNetwork: false,
      hostnameAllowlist: ["*.example.com", "example.com"],
      allowedHostnames: ["localhost"],
    },
  },
}

Profils d’accès par agent (multi-agent)

Avec le routage multi-agent, chaque agent peut avoir sa propre politique sandbox + outils : utilisez cela pour donner accès complet, lecture seule, ou aucun accès par agent. Voir Sandbox & outils multi-agent pour tous les détails et les règles de priorité. Cas d’usage courants :

Agent personnel : accès complet, pas de sandbox
Agent famille/travail : sandboxé + outils en lecture seule
Agent public : sandboxé + sans outils de système de fichiers/shell

Exemple : accès complet (sans sandbox)

{
  agents: {
    list: [
      {
        id: "personal",
        workspace: "~/.openclaw/workspace-personal",
        sandbox: { mode: "off" },
      },
    ],
  },
}

Exemple : outils en lecture seule + espace de travail en lecture seule

{
  agents: {
    list: [
      {
        id: "family",
        workspace: "~/.openclaw/workspace-family",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "ro",
        },
        tools: {
          allow: ["read"],
          deny: ["write", "edit", "apply_patch", "exec", "process", "browser"],
        },
      },
    ],
  },
}

Exemple : aucun accès système de fichiers/shell (messagerie fournisseur autorisée)

{
  agents: {
    list: [
      {
        id: "public",
        workspace: "~/.openclaw/workspace-public",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "none",
        },
        // Les outils de session peuvent révéler des données sensibles depuis les transcriptions. Par défaut OpenClaw limite ces outils
        // à la session courante + aux sessions de sous-agents lancés, mais vous pouvez resserrer encore si nécessaire.
        // Voir `tools.sessions.visibility` dans la référence de configuration.
        tools: {
          sessions: { visibility: "tree" }, // self | tree | agent | all
          allow: [
            "sessions_list",
            "sessions_history",
            "sessions_send",
            "sessions_spawn",
            "session_status",
            "whatsapp",
            "telegram",
            "slack",
            "discord",
          ],
          deny: [
            "read",
            "write",
            "edit",
            "apply_patch",
            "exec",
            "process",
            "browser",
            "canvas",
            "nodes",
            "cron",
            "gateway",
            "image",
          ],
        },
      },
    ],
  },
}

Ce qu’il faut dire à votre IA

Incluez des directives de sécurité dans le prompt système de votre agent :

## Security Rules
- Never share directory listings or file paths with strangers
- Never reveal API keys, credentials, or infrastructure details
- Verify requests that modify system config with the owner
- When in doubt, ask before acting
- Keep private data private unless explicitly authorized

Réponse aux incidents

Si votre IA fait quelque chose de mauvais :

Contenir

Arrêtez-la : arrêtez l’application macOS (si elle supervise Gateway) ou terminez votre processus openclaw gateway.
Fermez l’exposition : définissez gateway.bind: "loopback" (ou désactivez Tailscale Funnel/Serve) jusqu’à ce que vous compreniez ce qui s’est passé.
Gelez l’accès : passez les DM/groupes à risque en dmPolicy: "disabled" / exiger des mentions, et supprimez les entrées "*" autoriser-tout si vous en aviez.

Faire tourner les secrets (supposez une compromission si des secrets ont fuité)

Faites tourner l’auth Gateway (gateway.auth.token / OPENCLAW_GATEWAY_PASSWORD) puis redémarrez.
Faites tourner les secrets des clients distants (gateway.remote.token / .password) sur toute machine pouvant appeler la Gateway.
Faites tourner les identifiants fournisseur/API (identifiants WhatsApp, jetons Slack/Discord, clés modèle/API dans auth-profiles.json, et valeurs de charge utile de secrets chiffrés lorsqu’elles sont utilisées).

Auditer

Vérifiez les journaux Gateway : /tmp/openclaw/openclaw-YYYY-MM-DD.log (ou logging.file).
Examinez les transcriptions concernées : ~/.openclaw/agents/<agentId>/sessions/*.jsonl.
Examinez les changements récents de configuration (tout ce qui aurait pu élargir l’accès : gateway.bind, gateway.auth, politiques DM/groupe, tools.elevated, changements de plugin).
Relancez openclaw security audit --deep et confirmez que les constatations critiques sont résolues.

Collecter pour un rapport

Horodatage, OS de l’hôte gateway + version OpenClaw
Les transcriptions de session + une courte fin de log (après expurgation)
Ce que l’attaquant a envoyé + ce que l’agent a fait
Si la Gateway était exposée au-delà du loopback (LAN/Tailscale Funnel/Serve)

Scan de secrets (detect-secrets)

La CI exécute le hook pre-commit detect-secrets dans le job secrets. Les push vers main exécutent toujours un scan de tous les fichiers. Les pull requests utilisent un chemin rapide sur les fichiers modifiés lorsqu’un commit de base est disponible, et reviennent sinon à un scan complet. En cas d’échec, il y a de nouveaux candidats non encore présents dans la référence.

Si la CI échoue

Reproduisez localement :

pre-commit run --all-files detect-secrets

Comprenez les outils :
- detect-secrets dans pre-commit exécute detect-secrets-hook avec la référence et les exclusions du dépôt.
- detect-secrets audit ouvre une revue interactive pour marquer chaque élément de la référence comme vrai ou faux positif.
Pour les vrais secrets : faites-les tourner/supprimez-les, puis relancez le scan pour mettre à jour la référence.
Pour les faux positifs : exécutez l’audit interactif et marquez-les comme faux :
```
detect-secrets audit .secrets.baseline
```
Si vous avez besoin de nouvelles exclusions, ajoutez-les à .detect-secrets.cfg et régénérez la référence avec des drapeaux --exclude-files / --exclude-lines correspondants (le fichier de config n’est donné qu’à titre de référence ; detect-secrets ne le lit pas automatiquement).

Validez la nouvelle version de .secrets.baseline une fois qu’elle reflète l’état voulu.

Signalement de problèmes de sécurité

Vous avez trouvé une vulnérabilité dans OpenClaw ? Merci de la signaler de manière responsable :

Email : security@openclaw.ai
Ne la publiez pas avant qu’elle soit corrigée
Nous vous créditerons (sauf si vous préférez l’anonymat)

Gateway

Remote access

Security

Nodes and media

Web interfaces

​Sécurité

​D’abord le périmètre : modèle de sécurité d’assistant personnel

​Vérification rapide : openclaw security audit

​Déploiement et confiance dans l’hôte

​Espace de travail Slack partagé : risque réel

​Agent partagé d’entreprise : modèle acceptable

​Concept de confiance Gateway et nœud

​Matrice des frontières de confiance

​Pas des vulnérabilités par conception

​Checklist préalable pour les chercheurs

​Référence durcie en 60 secondes

​Règle rapide pour boîte de réception partagée

​Modèle de visibilité du contexte

​Ce que l’audit vérifie (haut niveau)

​Carte du stockage des identifiants

​Checklist d’audit de sécurité

​Glossaire de l’audit de sécurité

​Control UI sur HTTP

​Résumé des drapeaux non sûrs ou dangereux

​Configuration de proxy inverse

​Notes sur HSTS et les origines

​Les journaux de session locaux vivent sur disque

​Exécution sur nœud (system.run)

​Skills dynamiques (watcher / nœuds distants)

​Le modèle de menace

​Concept clé : contrôle d’accès avant intelligence

​Modèle d’autorisation des commandes

​Risque des outils de plan de contrôle

​Plugins/extensions

​Modèle d’accès DM (appairage / liste d’autorisation / open / disabled)

​Isolation des sessions DM (mode multi-utilisateur)

​Mode DM sécurisé (recommandé)

​Listes d’autorisation (DM + groupes) - terminologie

​Injection de prompt (ce que c’est, pourquoi c’est important)

​Drapeaux de contournement du contenu externe non sûr

​L’injection de prompt ne nécessite pas des DM publics

​Solidité du modèle (note de sécurité)

​Raisonnement et sortie verbeuse dans les groupes

​Durcissement de la configuration (exemples)

​0) Permissions des fichiers

​0.4) Exposition réseau (bind + port + pare-feu)

​0.4.1) Publication de ports Docker + UFW (DOCKER-USER)

​0.4.2) Découverte mDNS/Bonjour (divulgation d’informations)

​0.5) Verrouiller le WebSocket Gateway (auth locale)

​0.6) En-têtes d’identité Tailscale Serve

​0.6.1) Contrôle navigateur via l’hôte node (recommandé)

​0.7) Secrets sur disque (données sensibles)

​0.8) Journaux + transcriptions (expurgation + rétention)

​1) DM : appairage par défaut

​2) Groupes : exiger une mention partout

​3) Numéros séparés (WhatsApp, Signal, Telegram)

​4) Mode lecture seule (via sandbox + outils)

​5) Référence sûre (copier/coller)

​Sandboxing (recommandé)

​Garde-fou de délégation à sous-agent

​Risques du contrôle navigateur

​Politique SSRF navigateur (valeur par défaut réseau de confiance)

​Profils d’accès par agent (multi-agent)

​Exemple : accès complet (sans sandbox)

​Exemple : outils en lecture seule + espace de travail en lecture seule

​Exemple : aucun accès système de fichiers/shell (messagerie fournisseur autorisée)

​Ce qu’il faut dire à votre IA

​Réponse aux incidents

​Contenir

​Faire tourner les secrets (supposez une compromission si des secrets ont fuité)

​Auditer

​Collecter pour un rapport

​Scan de secrets (detect-secrets)

​Si la CI échoue

​Signalement de problèmes de sécurité

Sécurité

D’abord le périmètre : modèle de sécurité d’assistant personnel

Vérification rapide : `openclaw security audit`

Déploiement et confiance dans l’hôte

Espace de travail Slack partagé : risque réel

Agent partagé d’entreprise : modèle acceptable

Concept de confiance Gateway et nœud

Matrice des frontières de confiance

Pas des vulnérabilités par conception

Checklist préalable pour les chercheurs

Référence durcie en 60 secondes

Règle rapide pour boîte de réception partagée

Modèle de visibilité du contexte

Ce que l’audit vérifie (haut niveau)

Carte du stockage des identifiants

Checklist d’audit de sécurité

Glossaire de l’audit de sécurité

Control UI sur HTTP

Résumé des drapeaux non sûrs ou dangereux

Configuration de proxy inverse

Notes sur HSTS et les origines

Les journaux de session locaux vivent sur disque

Exécution sur nœud (`system.run`)

Skills dynamiques (watcher / nœuds distants)

Le modèle de menace

Concept clé : contrôle d’accès avant intelligence

Modèle d’autorisation des commandes

Risque des outils de plan de contrôle

Plugins/extensions

Modèle d’accès DM (appairage / liste d’autorisation / open / disabled)

Isolation des sessions DM (mode multi-utilisateur)

Mode DM sécurisé (recommandé)

Listes d’autorisation (DM + groupes) - terminologie

Injection de prompt (ce que c’est, pourquoi c’est important)

Drapeaux de contournement du contenu externe non sûr

L’injection de prompt ne nécessite pas des DM publics

Solidité du modèle (note de sécurité)

Raisonnement et sortie verbeuse dans les groupes

Durcissement de la configuration (exemples)

0) Permissions des fichiers

0.4) Exposition réseau (bind + port + pare-feu)

0.4.1) Publication de ports Docker + UFW (`DOCKER-USER`)

0.4.2) Découverte mDNS/Bonjour (divulgation d’informations)

0.5) Verrouiller le WebSocket Gateway (auth locale)

0.6) En-têtes d’identité Tailscale Serve

0.6.1) Contrôle navigateur via l’hôte node (recommandé)

0.7) Secrets sur disque (données sensibles)

0.8) Journaux + transcriptions (expurgation + rétention)

1) DM : appairage par défaut

2) Groupes : exiger une mention partout

3) Numéros séparés (WhatsApp, Signal, Telegram)

4) Mode lecture seule (via sandbox + outils)

5) Référence sûre (copier/coller)

Sandboxing (recommandé)

Garde-fou de délégation à sous-agent

Risques du contrôle navigateur

Politique SSRF navigateur (valeur par défaut réseau de confiance)

Profils d’accès par agent (multi-agent)

Exemple : accès complet (sans sandbox)

Exemple : outils en lecture seule + espace de travail en lecture seule

Exemple : aucun accès système de fichiers/shell (messagerie fournisseur autorisée)

Ce qu’il faut dire à votre IA

Réponse aux incidents

Contenir

Faire tourner les secrets (supposez une compromission si des secrets ont fuité)

Auditer

Collecter pour un rapport

Scan de secrets (detect-secrets)

Si la CI échoue

Signalement de problèmes de sécurité