Beveiliging - OpenClaw

Vertrouwensmodel voor persoonlijke assistenten. Deze richtlijn gaat uit van één vertrouwde operatorgrens per Gateway (model met één gebruiker en persoonlijke assistent). OpenClaw is geen vijandige beveiligingsgrens voor meerdere tenants waarin meerdere kwaadwillende gebruikers één agent of Gateway delen. Als je werking met gemengd vertrouwen of kwaadwillende gebruikers nodig hebt, splits dan de vertrouwensgrenzen (afzonderlijke Gateway + inloggegevens, idealiter afzonderlijke OS-gebruikers of hosts).

Eerst de scope: beveiligingsmodel voor persoonlijke assistenten

De beveiligingsrichtlijnen van OpenClaw gaan uit van een implementatie als persoonlijke assistent: één vertrouwde operatorgrens, mogelijk met veel agents.

Ondersteunde beveiligingshouding: één gebruiker/vertrouwensgrens per Gateway (bij voorkeur één OS-gebruiker/host/VPS per grens).
Geen ondersteunde beveiligingsgrens: één gedeelde Gateway/agent die wordt gebruikt door onderling niet-vertrouwde of kwaadwillende gebruikers.
Als isolatie van kwaadwillende gebruikers vereist is, splits dan per vertrouwensgrens (afzonderlijke Gateway + inloggegevens, en idealiter afzonderlijke OS-gebruikers/hosts).
Als meerdere niet-vertrouwde gebruikers berichten kunnen sturen naar één agent met tools, behandel ze dan alsof ze dezelfde gedelegeerde toolbevoegdheid voor die agent delen.

Deze pagina legt verharding binnen dat model uit. Ze claimt geen vijandige isolatie voor meerdere tenants op één gedeelde Gateway.

Snelle controle: `openclaw security audit`

Zie ook: Formele verificatie (beveiligingsmodellen) Voer dit regelmatig uit (vooral na het wijzigen van configuratie of het blootstellen van netwerkoppervlakken):

openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --json

security audit --fix blijft bewust smal: het zet gangbare open groepsbeleidsregels om naar allowlists, herstelt logging.redactSensitive: "tools", scherpt machtigingen voor state/config/include-bestanden aan, en gebruikt Windows ACL-resets in plaats van POSIX chmod wanneer het op Windows draait. Het markeert veelvoorkomende valkuilen (blootstelling van Gateway-authenticatie, blootstelling van browserbesturing, verhoogde allowlists, bestandssysteemmachtigingen, permissieve exec-goedkeuringen en blootstelling van tools via open kanalen). OpenClaw is zowel een product als een experiment: je koppelt gedrag van grensverleggende modellen aan echte berichtoppervlakken en echte tools. Er bestaat geen “perfect beveiligde” opstelling. Het doel is om bewust om te gaan met:

wie met je bot kan praten
waar de bot mag handelen
wat de bot mag aanraken

Begin met de kleinste toegang die nog werkt, en breid die daarna uit naarmate je meer vertrouwen krijgt.

Implementatie en hostvertrouwen

OpenClaw gaat ervan uit dat de host- en configuratiegrens vertrouwd zijn:

Als iemand de host-state/config van de Gateway kan wijzigen (~/.openclaw, inclusief openclaw.json), behandel die persoon dan als vertrouwde operator.
Eén Gateway draaien voor meerdere onderling niet-vertrouwde/kwaadwillende operators is geen aanbevolen opstelling.
Voor teams met gemengd vertrouwen splits je vertrouwensgrenzen met afzonderlijke gateways (of minimaal afzonderlijke OS-gebruikers/hosts).
Aanbevolen standaard: één gebruiker per machine/host (of VPS), één Gateway voor die gebruiker, en één of meer agents in die Gateway.
Binnen één Gateway-instantie is geauthenticeerde operatortoegang een vertrouwde rol voor het besturingsvlak, geen tenantrol per gebruiker.
Sessie-identifiers (sessionKey, sessie-ID’s, labels) zijn routeringsselectoren, geen autorisatietokens.
Als meerdere mensen één agent met tools kunnen berichten, kan ieder van hen dezelfde set machtigingen sturen. Sessie-/geheugenisolatie per gebruiker helpt voor privacy, maar zet een gedeelde agent niet om in hostautorisatie per gebruiker.

Gedeelde Slack-werkruimte: reëel risico

Als “iedereen in Slack de bot kan berichten,” is het kernrisico gedelegeerde toolbevoegdheid:

elke toegestane afzender kan toolaanroepen (exec, browser, netwerk-/bestandstools) uitlokken binnen het beleid van de agent;
prompt-/contentinjectie van één afzender kan acties veroorzaken die gedeelde state, apparaten of uitvoer beïnvloeden;
als één gedeelde agent gevoelige inloggegevens/bestanden heeft, kan elke toegestane afzender mogelijk exfiltratie via toolgebruik aansturen.

Gebruik afzonderlijke agents/gateways met minimale tools voor teamworkflows; houd agents met persoonlijke gegevens privé.

Bedrijfsgedeelde agent: acceptabel patroon

Dit is acceptabel wanneer iedereen die die agent gebruikt binnen dezelfde vertrouwensgrens valt (bijvoorbeeld één bedrijfsteam) en de agent strikt zakelijk is afgebakend.

draai hem op een toegewezen machine/VM/container;
gebruik een toegewezen OS-gebruiker + toegewezen browser/profiel/accounts voor die runtime;
meld die runtime niet aan bij persoonlijke Apple-/Google-accounts of persoonlijke wachtwoordmanager-/browserprofielen.

Als je persoonlijke en bedrijfsidentiteiten op dezelfde runtime mengt, hef je de scheiding op en vergroot je het risico op blootstelling van persoonlijke gegevens.

Vertrouwensconcept voor Gateway en Node

Behandel Gateway en Node als één operatorvertrouwensdomein, met verschillende rollen:

Gateway is het besturingsvlak en beleidsoppervlak (gateway.auth, toolbeleid, routering).
Node is het externe uitvoeringsoppervlak dat aan die Gateway is gekoppeld (commando’s, apparaatacties, hostlokale mogelijkheden).
Een aanroeper die bij de Gateway is geauthenticeerd, wordt vertrouwd binnen Gateway-scope. Na koppeling zijn Node-acties vertrouwde operatoracties op die Node.
Operatorscopeniveaus en controles tijdens goedkeuring worden samengevat in Operatorscopes.
Directe loopback-backendclients die zijn geauthenticeerd met het gedeelde Gateway- token/wachtwoord kunnen interne RPC’s voor het besturingsvlak uitvoeren zonder een gebruikers- apparaatidentiteit te presenteren. Dit is geen externe of browserkoppelingsbypass: netwerk- clients, Node-clients, clients met apparaattokens en expliciete apparaatidentiteiten lopen nog steeds via koppelings- en scope-upgradehandhaving.
sessionKey is routerings-/contextselectie, geen auth per gebruiker.
Exec-goedkeuringen (allowlist + vragen) zijn vangrails voor operatorintentie, geen vijandige isolatie voor meerdere tenants.
De productstandaard van OpenClaw voor vertrouwde opstellingen met één operator is dat host-exec op gateway/node is toegestaan zonder goedkeuringsprompts (security="full", ask="off" tenzij je dit aanscherpt). Die standaard is opzettelijke UX, op zichzelf geen kwetsbaarheid.
Exec-goedkeuringen binden exacte aanvraagcontext en best-effort directe lokale bestandsoperanden; ze modelleren niet semantisch elk runtime-/interpreterloaderpad. Gebruik sandboxing en hostisolatie voor sterke grenzen.

Als je isolatie voor kwaadwillende gebruikers nodig hebt, splits vertrouwensgrenzen dan per OS-gebruiker/host en draai afzonderlijke gateways.

Matrix voor vertrouwensgrenzen

Gebruik dit als snel model bij risicotriage:

Grens of controle	Wat het betekent	Veelvoorkomende verkeerde lezing
`gateway.auth` (token/password/trusted-proxy/device auth)	Authenticeert aanroepers bij Gateway-API’s	”Heeft per-bericht-handtekeningen op elk frame nodig om veilig te zijn”
`sessionKey`	Routeringssleutel voor context-/sessieselectie	”Sessiesleutel is een gebruikersauthgrens”
Prompt-/contentvangrails	Verminderen risico op modelmisbruik	”Promptinjectie alleen bewijst authbypass”
`canvas.eval` / browser-evaluatie	Opzettelijke operatormogelijkheid wanneer actief	”Elke JS-eval-primitief is automatisch een kwetsbaarheid in dit vertrouwensmodel”
Lokale TUI `!`-shell	Expliciete door operator getriggerde lokale uitvoering	”Lokale shell-gemaksopdracht is externe injectie”
Node-koppeling en Node-commando’s	Externe uitvoering op operatorniveau op gekoppelde apparaten	”Externe apparaatbesturing moet standaard als niet-vertrouwde gebruikerstoegang worden behandeld”
`gateway.nodes.pairing.autoApproveCidrs`	Opt-in beleid voor Node-inschrijving op vertrouwde netwerken	”Een standaard uitgeschakelde allowlist is een automatische koppelingskwetsbaarheid”

Geen kwetsbaarheden volgens ontwerp

Veelvoorkomende bevindingen die buiten scope vallen

Deze patronen worden vaak gerapporteerd en worden meestal zonder actie gesloten tenzij een echte bypass van een grens wordt aangetoond:

Alleen promptinjectieketens zonder beleids-, auth- of sandboxbypass.
Claims die uitgaan van vijandige werking met meerdere tenants op één gedeelde host of configuratie.
Claims die normale operatortoegang via leespaden (bijvoorbeeld sessions.list / sessions.preview / chat.history) classificeren als IDOR in een gedeelde-Gateway-opstelling.
Bevindingen voor implementaties die alleen op localhost draaien (bijvoorbeeld HSTS op een Gateway die alleen via loopback bereikbaar is).
Bevindingen over Discord inbound Webhook-handtekeningen voor inbound-paden die niet in deze repo bestaan.
Rapporten die Node-koppelingsmetadata behandelen als een verborgen tweede per-commando goedkeuringslaag voor system.run, terwijl de echte uitvoeringsgrens nog steeds het globale Node-commandobeleid van de Gateway plus de eigen exec- goedkeuringen van de Node is.
Rapporten die geconfigureerde gateway.nodes.pairing.autoApproveCidrs op zichzelf als een kwetsbaarheid behandelen. Deze instelling is standaard uitgeschakeld, vereist expliciete CIDR/IP-vermeldingen, geldt alleen voor eerste role: node-koppeling met geen aangevraagde scopes, en keurt operator/browser/Control UI, WebChat, rolupgrades, scope-upgrades, metadatawijzigingen, publieke-sleutelwijzigingen of trusted-proxy-headerpaden via loopback op dezelfde host niet automatisch goed, tenzij loopback trusted-proxy-auth expliciet is ingeschakeld.
Bevindingen over “ontbrekende autorisatie per gebruiker” die sessionKey als een auth-token behandelen.

Verharde basislijn in 60 seconden

Gebruik eerst deze basislijn en schakel daarna selectief tools opnieuw in per vertrouwde agent:

{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "replace-with-long-random-token" },
  },
  session: {
    dmScope: "per-channel-peer",
  },
  tools: {
    profile: "messaging",
    deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
    fs: { workspaceOnly: true },
    exec: { security: "deny", ask: "always" },
    elevated: { enabled: false },
  },
  channels: {
    whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } },
  },
}

Dit houdt de Gateway alleen lokaal, isoleert DM’s en schakelt standaard tools voor besturingsvlak/runtime uit.

Snelle regel voor gedeelde inboxen

Als meer dan één persoon je bot kan DM’en:

Stel session.dmScope: "per-channel-peer" in (of "per-account-channel-peer" voor kanalen met meerdere accounts).
Houd dmPolicy: "pairing" of strikte allowlists aan.
Combineer gedeelde DM’s nooit met brede tooltoegang.
Dit verhardt coöperatieve/gedeelde inboxen, maar is niet ontworpen als vijandige mede-tenantisolatie wanneer gebruikers host-/configschrijftoegang delen.

Model voor contextzichtbaarheid

OpenClaw scheidt twee concepten:

Triggerautorisatie: wie de agent kan triggeren (dmPolicy, groupPolicy, allowlists, mention gates).
Contextzichtbaarheid: welke aanvullende context in de modelinvoer wordt geïnjecteerd (antwoordtekst, geciteerde tekst, threadgeschiedenis, doorgestuurde metadata).

Allowlists bewaken triggers en commandoautorisatie. De instelling contextVisibility bepaalt hoe aanvullende context (geciteerde antwoorden, thread-roots, opgehaalde geschiedenis) wordt gefilterd:

contextVisibility: "all" (standaard) behoudt aanvullende context zoals ontvangen.
contextVisibility: "allowlist" filtert aanvullende context naar afzenders die door de actieve allowlist-controles zijn toegestaan.
contextVisibility: "allowlist_quote" gedraagt zich als allowlist, maar behoudt nog steeds één expliciet geciteerd antwoord.

Stel contextVisibility per kanaal of per ruimte/gesprek in. Zie Groepschats voor installatiegegevens. Richtlijn voor adviserende triage:

Claims die alleen aantonen dat “model geciteerde of historische tekst van niet-toegestane afzenders kan zien” zijn hardeningsbevindingen die met contextVisibility kunnen worden aangepakt, niet op zichzelf omzeilingen van auth- of sandboxgrenzen.
Om security-impact te hebben, hebben rapporten nog steeds een aangetoonde omzeiling van een vertrouwensgrens nodig (auth, beleid, sandbox, goedkeuring of een andere gedocumenteerde grens).

Wat de audit controleert (hoog niveau)

Inkomende toegang (DM-beleid, groepsbeleid, allowlists): kunnen onbekenden de bot activeren?
Blast radius van tools (verhoogde tools + open ruimtes): kan promptinjectie veranderen in shell-/bestands-/netwerkacties?
Verschuiving in exec-goedkeuring (security=full, autoAllowSkills, interpreter-allowlists zonder strictInlineEval): doen host-exec-guardrails nog wat je denkt dat ze doen?
- security="full" is een brede houdingswaarschuwing, geen bewijs van een bug. Het is de gekozen standaard voor vertrouwde personal-assistant-setups; maak dit alleen strikter wanneer je dreigingsmodel goedkeurings- of allowlist-guardrails nodig heeft.
Netwerkblootstelling (Gateway-bind/auth, Tailscale Serve/Funnel, zwakke/korte auth-tokens).
Blootstelling van browserbesturing (remote nodes, relay-poorten, externe CDP-endpoints).
Hygiëne van lokale schijf (machtigingen, symlinks, config-includes, paden naar “gesynchroniseerde mappen”).
Plugins (plugins laden zonder expliciete allowlist).
Beleidsverschuiving/misconfiguratie (sandbox docker-instellingen geconfigureerd maar sandboxmodus uit; ineffectieve gateway.nodes.denyCommands-patronen omdat matching alleen op exacte commandonaam gebeurt (bijvoorbeeld system.run) en shelltekst niet inspecteert; gevaarlijke gateway.nodes.allowCommands-items; globale tools.profile="minimal" overschreven door profielen per agent; tools die eigendom zijn van plugins bereikbaar onder permissief toolbeleid).
Verschuiving in runtimeverwachtingen (bijvoorbeeld aannemen dat impliciete exec nog steeds sandbox betekent terwijl tools.exec.host nu standaard auto is, of expliciet tools.exec.host="sandbox" instellen terwijl sandboxmodus uit staat).
Modelhygiëne (waarschuw wanneer geconfigureerde modellen verouderd lijken; geen harde blokkade).

Als je --deep uitvoert, probeert OpenClaw ook een best-effort live Gateway-probe.

Kaart voor opslag van inloggegevens

Gebruik dit bij het auditen van toegang of bij het bepalen wat je moet back-uppen:

WhatsApp: ~/.openclaw/credentials/whatsapp/<accountId>/creds.json
Telegram-bottoken: config/env of channels.telegram.tokenFile (alleen regulier bestand; symlinks geweigerd)
Discord-bottoken: config/env of SecretRef (env/file/exec-providers)
Slack-tokens: config/env (channels.slack.*)
Pairing-allowlists:
- ~/.openclaw/credentials/<channel>-allowFrom.json (standaardaccount)
- ~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json (niet-standaardaccounts)
Model-auth-profielen: ~/.openclaw/agents/<agentId>/agent/auth-profiles.json
Codex-runtime-status: ~/.openclaw/agents/<agentId>/agent/codex-home/
Bestandsgedragen secrets-payload (optioneel): ~/.openclaw/secrets.json
Legacy OAuth-import: ~/.openclaw/credentials/oauth.json

Checklist voor security-audit

Wanneer de audit bevindingen afdrukt, behandel dit dan als prioriteitsvolgorde:

Alles “open” + tools ingeschakeld: vergrendel eerst DM’s/groepen (pairing/allowlists), maak daarna toolbeleid/sandboxing strikter.
Publieke netwerkblootstelling (LAN-bind, Funnel, ontbrekende auth): los dit onmiddellijk op.
Externe blootstelling van browserbesturing: behandel dit als operator-toegang (alleen tailnet, koppel nodes bewust, vermijd publieke blootstelling).
Machtigingen: zorg dat state/config/credentials/auth niet leesbaar zijn voor groep/wereld.
Plugins: laad alleen wat je expliciet vertrouwt.
Modelkeuze: geef de voorkeur aan moderne, instructiegeharde modellen voor elke bot met tools.

Glossarium voor security-audit

Elke auditbevinding is gekoppeld aan een gestructureerde checkId (bijvoorbeeld gateway.bind_no_auth of tools.exec.security_full_configured). Veelvoorkomende kritieke ernstklassen:

fs.* — filesystem-machtigingen op state, config, credentials, auth-profielen.
gateway.* — bindmodus, auth, Tailscale, Control UI, trusted-proxy-setup.
hooks.*, browser.*, sandbox.*, tools.exec.* — hardening per oppervlak.
plugins.*, skills.* — supply chain van plugins/Skills en scanbevindingen.
security.exposure.* — doorsnijdende controles waar toegangsbeleid samenkomt met tool-blast radius.

Zie de volledige catalogus met ernstniveaus, fix-sleutels en ondersteuning voor auto-fix op Security-auditcontroles.

Control UI via HTTP

De Control UI heeft een secure context (HTTPS of localhost) nodig om apparaatidentiteit te genereren. gateway.controlUi.allowInsecureAuth is een lokale compatibiliteitsschakelaar:

Op localhost staat deze Control UI-auth toe zonder apparaatidentiteit wanneer de pagina via niet-beveiligde HTTP wordt geladen.
Deze omzeilt pairing-controles niet.
Deze versoepelt de vereisten voor apparaatidentiteit op afstand (niet-localhost) niet.

Geef de voorkeur aan HTTPS (Tailscale Serve) of open de UI op 127.0.0.1. Alleen voor break-glass-scenario’s schakelt gateway.controlUi.dangerouslyDisableDeviceAuth apparaatidentiteitscontroles volledig uit. Dit is een ernstige securityverlaging; laat dit uit tenzij je actief debugt en snel kunt terugdraaien. Los van die gevaarlijke vlaggen kunnen succesvolle gateway.auth.mode: "trusted-proxy"- instellingen operator Control UI-sessies toelaten zonder apparaatidentiteit. Dat is bedoeld auth-mode-gedrag, geen allowInsecureAuth-shortcut, en het geldt nog steeds niet voor Control UI-sessies met node-rol. openclaw security audit waarschuwt wanneer deze instelling is ingeschakeld.

Samenvatting van onveilige of gevaarlijke vlaggen

openclaw security audit geeft config.insecure_or_dangerous_flags wanneer bekende onveilige/gevaarlijke debugschakelaars zijn ingeschakeld. Laat deze uitgeschakeld in productie.

Flags tracked by the audit today

gateway.controlUi.allowInsecureAuth=true
gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true
gateway.controlUi.dangerouslyDisableDeviceAuth=true
hooks.gmail.allowUnsafeExternalContent=true
hooks.mappings[<index>].allowUnsafeExternalContent=true
tools.exec.applyPatch.workspaceOnly=false
plugins.entries.acpx.config.permissionMode=approve-all

All `dangerous*` / `dangerously*` keys in the config schema

Control UI en browser:

gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
gateway.controlUi.dangerouslyDisableDeviceAuth
browser.ssrfPolicy.dangerouslyAllowPrivateNetwork

Kanaalnaam-matching (gebundelde kanalen en pluginkanalen; ook beschikbaar per accounts.<accountId> waar van toepassing):

channels.discord.dangerouslyAllowNameMatching
channels.slack.dangerouslyAllowNameMatching
channels.googlechat.dangerouslyAllowNameMatching
channels.msteams.dangerouslyAllowNameMatching
channels.synology-chat.dangerouslyAllowNameMatching (pluginkanaal)
channels.synology-chat.dangerouslyAllowInheritedWebhookPath (pluginkanaal)
channels.zalouser.dangerouslyAllowNameMatching (pluginkanaal)
channels.irc.dangerouslyAllowNameMatching (pluginkanaal)
channels.mattermost.dangerouslyAllowNameMatching (pluginkanaal)

Netwerkblootstelling:

channels.telegram.network.dangerouslyAllowPrivateNetwork (ook per account)

Sandbox Docker (standaarden + per agent):

agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargets
agents.defaults.sandbox.docker.dangerouslyAllowExternalBindSources
agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin

Reverse-proxyconfiguratie

Als je de Gateway achter een reverse proxy (nginx, Caddy, Traefik, enz.) uitvoert, configureer dan gateway.trustedProxies voor correcte afhandeling van doorgestuurde client-IP’s. Wanneer de Gateway proxyheaders detecteert vanaf een adres dat niet in trustedProxies staat, behandelt hij verbindingen niet als lokale clients. Als gateway-auth is uitgeschakeld, worden die verbindingen geweigerd. Dit voorkomt authentication bypass waarbij proxied verbindingen anders van localhost lijken te komen en automatisch vertrouwen krijgen. gateway.trustedProxies voedt ook gateway.auth.mode: "trusted-proxy", maar die auth-modus is strenger:

trusted-proxy-auth faalt standaard gesloten bij proxies met loopback-bron
reverse proxies met loopback op dezelfde host kunnen gateway.trustedProxies gebruiken voor detectie van lokale clients en afhandeling van doorgestuurde IP’s
reverse proxies met loopback op dezelfde host kunnen alleen aan gateway.auth.mode: "trusted-proxy" voldoen wanneer gateway.auth.trustedProxy.allowLoopback = true; gebruik anders token-/wachtwoord-auth

gateway:
  trustedProxies:
    - "10.0.0.1" # reverse proxy IP
  # Optional. Default false.
  # Only enable if your proxy cannot provide X-Forwarded-For.
  allowRealIpFallback: false
  auth:
    mode: password
    password: ${OPENCLAW_GATEWAY_PASSWORD}

Wanneer trustedProxies is geconfigureerd, gebruikt de Gateway X-Forwarded-For om het client-IP te bepalen. X-Real-IP wordt standaard genegeerd tenzij gateway.allowRealIpFallback: true expliciet is ingesteld. Trusted-proxyheaders maken node-apparaatpairing niet automatisch vertrouwd. gateway.nodes.pairing.autoApproveCidrs is een afzonderlijk, standaard uitgeschakeld operatorbeleid. Zelfs wanneer dit is ingeschakeld, worden trusted-proxy-headerpaden met loopback-bron uitgesloten van automatische node-goedkeuring, omdat lokale callers die headers kunnen vervalsen, ook wanneer loopback trusted-proxy-auth expliciet is ingeschakeld. Goed reverse-proxygedrag (inkomende forwarding-headers overschrijven):

proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;

Slecht reverse-proxygedrag (onvertrouwde forwarding-headers toevoegen/behouden):

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

HSTS- en origin-notities

OpenClaw gateway is eerst lokaal/loopback. Als je TLS op een reverse proxy beëindigt, stel HSTS daar in op het HTTPS-domein aan de proxyzijde.
Als de gateway zelf HTTPS beëindigt, kun je gateway.http.securityHeaders.strictTransportSecurity instellen om de HSTS-header vanuit OpenClaw-responses te verzenden.
Gedetailleerde implementatiebegeleiding staat in Trusted Proxy Auth.
Voor niet-loopback Control UI-implementaties is gateway.controlUi.allowedOrigins standaard vereist.
gateway.controlUi.allowedOrigins: ["*"] is een expliciet allow-all browser-origin-beleid, geen geharde standaard. Vermijd dit buiten strak gecontroleerde lokale tests.
Browser-origin-auth-fouten op loopback zijn nog steeds rate-limited, zelfs wanneer de algemene loopback-uitzondering is ingeschakeld, maar de lockout-sleutel is per genormaliseerde Origin-waarde gescoped in plaats van één gedeelde localhost-bucket.
gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true schakelt Host-header-origin-fallbackmodus in; behandel dit als een gevaarlijk door de operator gekozen beleid.
Behandel DNS-rebinding en proxy-host-headergedrag als implementatiehardening; houd trustedProxies strak en vermijd directe blootstelling van de gateway aan het publieke internet.

Lokale sessielogs staan op schijf

OpenClaw bewaart sessietranscripten op schijf onder ~/.openclaw/agents/<agentId>/sessions/*.jsonl. Dit is vereist voor sessiecontinuïteit en (optioneel) indexering van sessiegeheugen, maar het betekent ook dat elk proces/elke gebruiker met filesystem-toegang die logs kan lezen. Behandel schijftoegang als de vertrouwensgrens en vergrendel machtigingen op ~/.openclaw (zie de auditsectie hieronder). Als je sterkere isolatie tussen agents nodig hebt, voer ze dan uit onder afzonderlijke OS-gebruikers of op afzonderlijke hosts.

Node-uitvoering (system.run)

Als een macOS-node is gekoppeld, kan de Gateway system.run op die node aanroepen. Dit is remote code execution op de Mac:

Vereist Node-koppeling (goedkeuring + token).
Gateway-Node-koppeling is geen goedkeuringsvlak per opdracht. Het stelt Node-identiteit/vertrouwen en tokenuitgifte vast.
De Gateway past een grof globaal Node-opdrachtbeleid toe via gateway.nodes.allowCommands / denyCommands.
Beheerd op de Mac via Instellingen → Exec-goedkeuringen (beveiliging + vragen + allowlist).
Het per-Node system.run-beleid is het eigen exec-goedkeuringsbestand van de Node (exec.approvals.node.*), dat strikter of minder strikt kan zijn dan het globale opdracht-ID-beleid van de Gateway.
Een Node die draait met security="full" en ask="off" volgt het standaardmodel voor vertrouwde operators. Behandel dat als verwacht gedrag, tenzij je implementatie expliciet een striktere goedkeurings- of allowlist-houding vereist.
Goedkeuringsmodus bindt de exacte aanvraagcontext en, waar mogelijk, één concreet lokaal script-/bestandsoperand. Als OpenClaw niet precies één direct lokaal bestand voor een interpreter-/runtime-opdracht kan identificeren, wordt uitvoering met goedkeuring geweigerd in plaats van volledige semantische dekking te beloven.
Voor host=node slaan runs met goedkeuring ook een canoniek voorbereide systemRunPlan op; latere goedgekeurde doorsturingen hergebruiken dat opgeslagen plan, en Gateway- validatie weigert bewerkingen door de aanroeper aan opdracht-/cwd-/sessiecontext nadat de goedkeuringsaanvraag is aangemaakt.
Als je geen uitvoering op afstand wilt, stel beveiliging in op weigeren en verwijder Node-koppeling voor die Mac.

Dit onderscheid is belangrijk voor triage:

Een opnieuw verbindende gekoppelde Node die een andere opdrachtenlijst adverteert, is op zichzelf geen kwetsbaarheid als het globale beleid van de Gateway en de lokale exec-goedkeuringen van de Node nog steeds de daadwerkelijke uitvoeringsgrens afdwingen.
Meldingen die Node-koppelingsmetadata behandelen als een tweede verborgen goedkeuringslaag per opdracht zijn meestal verwarring over beleid/UX, geen omzeiling van een beveiligingsgrens.

Dynamische Skills (watcher / externe Nodes)

OpenClaw kan de lijst met Skills halverwege een sessie vernieuwen:

Skills-watcher: wijzigingen aan SKILL.md kunnen de Skills-snapshot bij de volgende agentbeurt bijwerken.
Externe Nodes: het verbinden van een macOS-Node kan macOS-only Skills in aanmerking laten komen (op basis van bin-probing).

Behandel Skills-mappen als vertrouwde code en beperk wie ze kan wijzigen.

Het dreigingsmodel

Je AI-assistent kan:

Willekeurige shell-opdrachten uitvoeren
Bestanden lezen/schrijven
Toegang krijgen tot netwerkservices
Berichten naar iedereen sturen (als je hem WhatsApp-toegang geeft)

Mensen die je berichten sturen kunnen:

Proberen je AI te misleiden om schadelijke dingen te doen
Toegang tot je gegevens social engineeren
Naar infrastructuurdetails peilen

Kernconcept: toegangscontrole vóór intelligentie

De meeste fouten hier zijn geen geavanceerde exploits — het is “iemand stuurde de bot een bericht en de bot deed wat werd gevraagd.” De houding van OpenClaw:

Eerst identiteit: bepaal wie met de bot mag praten (DM-koppeling / allowlists / expliciet “open”).
Daarna scope: bepaal waar de bot mag handelen (groeps-allowlists + mention-gating, tools, sandboxing, apparaatrechten).
Model als laatste: ga ervan uit dat het model kan worden gemanipuleerd; ontwerp zo dat manipulatie een beperkte blast radius heeft.

Opdrachtautorisatiemodel

Slash-opdrachten en directives worden alleen gehonoreerd voor geautoriseerde afzenders. Autorisatie wordt afgeleid uit kanaal-allowlists/koppeling plus commands.useAccessGroups (zie Configuratie en Slash-opdrachten). Als een kanaal-allowlist leeg is of "*" bevat, zijn opdrachten effectief open voor dat kanaal. /exec is een sessiegebonden gemak voor geautoriseerde operators. Het schrijft geen config en wijzigt geen andere sessies.

Risico van control-plane-tools

Twee ingebouwde tools kunnen blijvende control-plane-wijzigingen aanbrengen:

gateway kan config inspecteren met config.schema.lookup / config.get, en kan blijvende wijzigingen aanbrengen met config.apply, config.patch en update.run.
cron kan geplande taken maken die blijven draaien nadat de oorspronkelijke chat/taak eindigt.

De owner-only gateway-runtime-tool weigert nog steeds tools.exec.ask of tools.exec.security te herschrijven; legacy tools.bash.*-aliassen worden genormaliseerd naar dezelfde beschermde exec-paden vóór het schrijven. Door agents uitgevoerde gateway config.apply- en gateway config.patch-bewerkingen fail-closed standaard: alleen een smalle set prompt-, model- en mention-gating- paden is door agents afstelbaar. Nieuwe gevoelige config-trees zijn daarom beschermd, tenzij ze bewust aan de allowlist worden toegevoegd. Voor elke agent/surface die onvertrouwde inhoud verwerkt, weiger deze standaard:

{
  tools: {
    deny: ["gateway", "cron", "sessions_spawn", "sessions_send"],
  },
}

commands.restart=false blokkeert alleen herstartacties. Het schakelt gateway-config-/updateacties niet uit.

Plugins

Plugins draaien in-process met de Gateway. Behandel ze als vertrouwde code:

Installeer alleen Plugins uit bronnen die je vertrouwt.
Geef de voorkeur aan expliciete plugins.allow-allowlists.
Controleer Plugin-config voordat je deze inschakelt.
Herstart de Gateway na Plugin-wijzigingen.
Als je Plugins installeert of bijwerkt (openclaw plugins install <package>, openclaw plugins update <id>), behandel dit alsof je onvertrouwde code uitvoert:
- Het installatiepad is de per-Plugin-map onder de actieve Plugin-installatieroot.
- OpenClaw voert vóór installatie/update een ingebouwde scan op gevaarlijke code uit. critical-bevindingen blokkeren standaard.
- npm- en git-Plugin-installaties voeren package-manager dependency convergence alleen uit tijdens de expliciete installatie-/updateflow. Lokale paden en archieven worden behandeld als zelfvoorzienende Plugin-pakketten; OpenClaw kopieert/verwijst ernaar zonder npm install uit te voeren.
- Geef de voorkeur aan vastgepinde, exacte versies (@scope/pkg@1.2.3) en inspecteer de uitgepakte code op schijf voordat je deze inschakelt.
- --dangerously-force-unsafe-install is alleen een noodoptie voor fout-positieven van de ingebouwde scan in Plugin-installatie-/updateflows. Het omzeilt geen Plugin-before_install-hookbeleidsblokkades en omzeilt geen scanfouten.
- Gateway-backed Skill-afhankelijkheidsinstallaties volgen dezelfde gevaarlijk/verdacht-splitsing: ingebouwde critical-bevindingen blokkeren tenzij de aanroeper expliciet dangerouslyForceUnsafeInstall instelt, terwijl verdachte bevindingen alleen blijven waarschuwen. openclaw skills install blijft de afzonderlijke ClawHub Skill-download-/installatieflow.

Details: Plugins

DM-toegangsmodel: koppeling, allowlist, open, uitgeschakeld

Alle huidige DM-geschikte kanalen ondersteunen een DM-beleid (dmPolicy of *.dm.policy) dat inkomende DM’s afschermt voordat het bericht wordt verwerkt:

pairing (standaard): onbekende afzenders ontvangen een korte koppelingscode en de bot negeert hun bericht totdat dit is goedgekeurd. Codes verlopen na 1 uur; herhaalde DM’s sturen geen code opnieuw totdat een nieuwe aanvraag is aangemaakt. Openstaande aanvragen zijn standaard beperkt tot 3 per kanaal.
allowlist: onbekende afzenders worden geblokkeerd (geen koppelingshandshake).
open: sta iedereen toe een DM te sturen (publiek). Vereist dat de kanaal-allowlist "*" bevat (expliciete opt-in).
disabled: negeer inkomende DM’s volledig.

Goedkeuren via CLI:

openclaw pairing list <channel>
openclaw pairing approve <channel> <code>

Details + bestanden op schijf: Koppeling

DM-sessie-isolatie (multi-user-modus)

Standaard routeert OpenClaw alle DM’s naar de hoofdsessie, zodat je assistent continuïteit heeft over apparaten en kanalen heen. Als meerdere mensen de bot kunnen DM’en (open DM’s of een allowlist met meerdere personen), overweeg dan DM-sessies te isoleren:

{
  session: { dmScope: "per-channel-peer" },
}

Dit voorkomt contextlekkage tussen gebruikers terwijl groepschats geïsoleerd blijven. Dit is een grens voor berichtcontext, geen host-admin-grens. Als gebruikers wederzijds vijandig zijn en dezelfde Gateway-host/config delen, draai dan afzonderlijke gateways per vertrouwensgrens.

Veilige DM-modus (aanbevolen)

Behandel het fragment hierboven als veilige DM-modus:

Standaard: session.dmScope: "main" (alle DM’s delen één sessie voor continuïteit).
Standaard voor lokale CLI-onboarding: schrijft session.dmScope: "per-channel-peer" wanneer niet ingesteld (behoudt bestaande expliciete waarden).
Veilige DM-modus: session.dmScope: "per-channel-peer" (elk kanaal+afzender-paar krijgt een geïsoleerde DM-context).
Cross-channel peer-isolatie: session.dmScope: "per-peer" (elke afzender krijgt één sessie over alle kanalen van hetzelfde type).

Als je meerdere accounts op hetzelfde kanaal gebruikt, gebruik dan in plaats daarvan per-account-channel-peer. Als dezelfde persoon via meerdere kanalen contact met je opneemt, gebruik dan session.identityLinks om die DM-sessies samen te voegen tot één canonieke identiteit. Zie Sessiebeheer en Configuratie.

Allowlists voor DM’s en groepen

OpenClaw heeft twee afzonderlijke lagen voor “wie kan mij triggeren?”:

DM-allowlist (allowFrom / channels.discord.allowFrom / channels.slack.allowFrom; legacy: channels.discord.dm.allowFrom, channels.slack.dm.allowFrom): wie met de bot mag praten in directe berichten.
- Wanneer dmPolicy="pairing" worden goedkeuringen geschreven naar de account-scoped pairing-allowlist-store onder ~/.openclaw/credentials/ (<channel>-allowFrom.json voor het standaardaccount, <channel>-<accountId>-allowFrom.json voor niet-standaardaccounts), samengevoegd met config-allowlists.
Groeps-allowlist (kanaalspecifiek): van welke groepen/kanalen/guilds de bot überhaupt berichten accepteert.
- Veelvoorkomende patronen:
  - channels.whatsapp.groups, channels.telegram.groups, channels.imessage.groups: per-groep-standaarden zoals requireMention; wanneer ingesteld, fungeert dit ook als groeps-allowlist (neem "*" op om allow-all-gedrag te behouden).
  - groupPolicy="allowlist" + groupAllowFrom: beperk wie de bot binnen een groepssessie kan triggeren (WhatsApp/Telegram/Signal/iMessage/Microsoft Teams).
  - channels.discord.guilds / channels.slack.channels: per-surface-allowlists + mention-standaarden.
- Groepscontroles draaien in deze volgorde: eerst groupPolicy/groeps-allowlists, daarna mention-/reply-activatie.
- Antwoorden op een botbericht (impliciete mention) omzeilt afzender-allowlists zoals groupAllowFrom niet.
- Beveiligingsnotitie: behandel dmPolicy="open" en groupPolicy="open" als noodinstellingen. Ze zouden nauwelijks gebruikt moeten worden; geef de voorkeur aan koppeling + allowlists tenzij je elk lid van de ruimte volledig vertrouwt.

Details: Configuratie en Groepen

Prompt-injectie (wat het is, waarom het belangrijk is)

Prompt-injectie is wanneer een aanvaller een bericht opstelt dat het model manipuleert om iets onveiligs te doen (“negeer je instructies”, “dump je bestandssysteem”, “volg deze link en voer opdrachten uit”, enzovoort). Zelfs met sterke systeemprompts is prompt-injectie niet opgelost. Guardrails in systeemprompts zijn slechts zachte begeleiding; harde afdwinging komt van toolbeleid, exec-goedkeuringen, sandboxing en kanaal-allowlists (en operators kunnen deze bewust uitschakelen). Wat in de praktijk helpt:

Houd inkomende DM’s vergrendeld (pairing/allowlists).
Geef de voorkeur aan mention-gating in groepen; vermijd “altijd-aan”-bots in openbare kamers.
Behandel links, bijlagen en geplakte instructies standaard als vijandig.
Voer gevoelige tooluitvoering uit in een sandbox; houd geheimen buiten het voor de agent bereikbare bestandssysteem.
Opmerking: sandboxing is opt-in. Als sandboxmodus uit staat, wordt impliciet host=auto naar de gateway-host herleid. Expliciet host=sandbox faalt nog steeds gesloten, omdat er geen sandbox-runtime beschikbaar is. Stel host=gateway in als je wilt dat dit gedrag expliciet in de configuratie staat.
Beperk tools met hoog risico (exec, browser, web_fetch, web_search) tot vertrouwde agents of expliciete allowlists.
Als je interpreters toestaat (python, node, ruby, perl, php, lua, osascript), schakel dan tools.exec.strictInlineEval in zodat inline-eval-vormen nog steeds expliciete goedkeuring nodig hebben.
Shell-goedkeuringsanalyse weigert ook POSIX-parameterexpansievormen ($VAR, $?, $$, $1, $@, ${…}) binnen ongequote heredocs, zodat een toegestane heredoc-body geen shell-expansie als platte tekst langs allowlist-controle kan smokkelen. Quote de heredoc-terminator (bijvoorbeeld <<'EOF') om te kiezen voor letterlijke bodysemantiek; ongequote heredocs die variabelen zouden hebben geëxpandeerd, worden geweigerd.
Modelkeuze doet ertoe: oudere/kleinere/legacy-modellen zijn aanzienlijk minder robuust tegen promptinjectie en toolmisbruik. Gebruik voor agents met tools het sterkste beschikbare model van de nieuwste generatie dat is gehard voor instructies.

Rode vlaggen die je als onvertrouwd moet behandelen:

“Lees dit bestand/deze URL en doe precies wat erin staat.”
“Negeer je systeemprompt of veiligheidsregels.”
“Onthul je verborgen instructies of tooluitvoer.”
“Plak de volledige inhoud van ~/.openclaw of je logs.”

Sanitisatie van special-tokens in externe inhoud

OpenClaw verwijdert veelvoorkomende self-hosted LLM-chat-template-special-token-literals uit ingepakte externe inhoud en metadata voordat ze het model bereiken. Gedekte markerfamilies zijn onder andere Qwen/ChatML, Llama, Gemma, Mistral, Phi en GPT-OSS role/turn-tokens. Waarom:

OpenAI-compatibele backends vóór self-hosted modellen behouden soms special tokens die in gebruikerstekst voorkomen, in plaats van ze te maskeren. Een aanvaller die in inkomende externe inhoud kan schrijven (een opgehaalde pagina, een e-mailbody, uitvoer van een tool voor bestandsinhoud) zou anders een synthetische assistant- of system-rolgrens kunnen injecteren en ontsnappen aan de guardrails rond ingepakte inhoud.
Sanitisatie gebeurt op de laag die externe inhoud inpakt, waardoor deze uniform geldt voor fetch/read-tools en inkomende kanaalinhoud in plaats van per provider.
Uitgaande modelantwoorden hebben al een aparte sanitizer die gelekte <tool_call>, <function_calls>, <system-reminder>, <previous_response> en vergelijkbare interne runtime-scaffolding verwijdert uit antwoorden die zichtbaar zijn voor gebruikers bij de uiteindelijke kanaalafleveringsgrens. De sanitizer voor externe inhoud is de inkomende tegenhanger.

Dit vervangt de andere hardening op deze pagina niet — dmPolicy, allowlists, exec-goedkeuringen, sandboxing en contextVisibility doen nog steeds het primaire werk. Het sluit één specifieke bypass op tokenizer-laagniveau tegen self-hosted stacks die gebruikerstekst met intacte special tokens doorsturen.

Bypassvlaggen voor onveilige externe inhoud

OpenClaw bevat expliciete bypassvlaggen die veiligheidswrapping voor externe inhoud uitschakelen:

hooks.mappings[].allowUnsafeExternalContent
hooks.gmail.allowUnsafeExternalContent
Cron-payloadveld allowUnsafeExternalContent

Richtlijn:

Laat deze in productie uitgeschakeld/false.
Schakel ze alleen tijdelijk in voor strikt afgebakende debugging.
Als ze zijn ingeschakeld, isoleer die agent (sandbox + minimale tools + dedicated sessie-namespace).

Risico-opmerking voor hooks:

Hook-payloads zijn onvertrouwde inhoud, zelfs wanneer aflevering afkomstig is van systemen die je beheert (mail/docs/webinhoud kan promptinjectie bevatten).
Zwakke modelniveaus vergroten dit risico. Geef voor hook-gedreven automatisering de voorkeur aan sterke moderne modelniveaus en houd het toolbeleid strikt (tools.profile: "messaging" of strikter), plus sandboxing waar mogelijk.

Promptinjectie vereist geen openbare DM’s

Zelfs als alleen jij de bot berichten kunt sturen, kan promptinjectie nog steeds plaatsvinden via alle onvertrouwde inhoud die de bot leest (webzoek-/fetch-resultaten, browserpagina’s, e-mails, docs, bijlagen, geplakte logs/code). Met andere woorden: de afzender is niet het enige aanvalsoppervlak; de inhoud zelf kan vijandige instructies bevatten. Wanneer tools zijn ingeschakeld, is het typische risico het exfiltreren van context of het triggeren van toolcalls. Beperk de impact door:

Een read-only of tool-uitgeschakelde reader-agent te gebruiken om onvertrouwde inhoud samen te vatten, en vervolgens de samenvatting aan je hoofdagent door te geven.
web_search / web_fetch / browser uit te houden voor agents met tools, tenzij nodig.
Voor OpenResponses-URL-invoer (input_file / input_image) strikte gateway.http.endpoints.responses.files.urlAllowlist en gateway.http.endpoints.responses.images.urlAllowlist in te stellen, en maxUrlParts laag te houden. Lege allowlists worden als niet ingesteld behandeld; gebruik files.allowUrl: false / images.allowUrl: false als je URL-fetching volledig wilt uitschakelen.
Voor OpenResponses-bestandsinvoer wordt gedecodeerde input_file-tekst nog steeds geïnjecteerd als onvertrouwde externe inhoud. Vertrouw niet op bestandstekst alleen omdat de Gateway deze lokaal heeft gedecodeerd. Het geïnjecteerde blok bevat nog steeds expliciete <<<EXTERNAL_UNTRUSTED_CONTENT ...>>>-grensmarkers plus Source: External- metadata, hoewel dit pad de langere SECURITY NOTICE:-banner weglaat.
Dezelfde markergebaseerde wrapping wordt toegepast wanneer media-understanding tekst extraheert uit bijgevoegde documenten voordat die tekst aan de media-prompt wordt toegevoegd.
Sandboxing en strikte tool-allowlists in te schakelen voor elke agent die onvertrouwde invoer verwerkt.
Geheimen uit prompts te houden; geef ze in plaats daarvan door via env/config op de Gateway-host.

Self-hosted LLM-backends

OpenAI-compatibele self-hosted backends zoals vLLM, SGLang, TGI, LM Studio, of custom Hugging Face-tokenizerstacks kunnen verschillen van hosted providers in hoe chat-template-special-tokens worden afgehandeld. Als een backend letterlijke strings zoals <|im_start|>, <|start_header_id|> of <start_of_turn> tokenizet als structurele chat-template-tokens binnen gebruikersinhoud, kan onvertrouwde tekst proberen rolgrenzen op de tokenizer-laag te vervalsen. OpenClaw verwijdert veelvoorkomende model-family-special-token-literals uit ingepakte externe inhoud voordat deze naar het model wordt verzonden. Houd external-content wrapping ingeschakeld, en geef de voorkeur aan backendinstellingen die special tokens in door gebruikers aangeleverde inhoud splitsen of escapen wanneer beschikbaar. Hosted providers zoals OpenAI en Anthropic passen al hun eigen sanitisatie aan de request-kant toe.

Modelsterkte (beveiligingsopmerking)

Weerstand tegen promptinjectie is niet uniform over modelniveaus. Kleinere/goedkopere modellen zijn over het algemeen vatbaarder voor toolmisbruik en instructiekaping, vooral bij vijandige prompts.

Voor agents met tools of agents die onvertrouwde inhoud lezen, is het promptinjectierisico met oudere/kleinere modellen vaak te hoog. Draai die workloads niet op zwakke modelniveaus.

Aanbevelingen:

Gebruik het nieuwste generatie, beste modelniveau voor elke bot die tools kan uitvoeren of bestanden/netwerken kan aanraken.
Gebruik geen oudere/zwakkere/kleinere niveaus voor agents met tools of onvertrouwde inboxen; het promptinjectierisico is te hoog.
Als je een kleiner model moet gebruiken, beperk de impact (read-only tools, sterke sandboxing, minimale bestandssysteemtoegang, strikte allowlists).
Wanneer je kleine modellen draait, schakel sandboxing in voor alle sessies en schakel web_search/web_fetch/browser uit, tenzij invoer strikt gecontroleerd is.
Voor chat-only persoonlijke assistenten met vertrouwde invoer en geen tools zijn kleinere modellen meestal prima.

Reasoning en uitgebreide uitvoer in groepen

/reasoning, /verbose en /trace kunnen interne redenering, tool- uitvoer of Plugin-diagnostiek blootleggen die niet bedoeld was voor een openbaar kanaal. Behandel ze in groepsinstellingen als alleen debug en houd ze uitgeschakeld tenzij je ze expliciet nodig hebt. Richtlijn:

Houd /reasoning, /verbose en /trace uitgeschakeld in openbare kamers.
Als je ze inschakelt, doe dat alleen in vertrouwde DM’s of strikt gecontroleerde kamers.
Onthoud: uitgebreide en trace-uitvoer kan toolargumenten, URL’s, Plugin-diagnostiek en gegevens bevatten die het model heeft gezien.

Voorbeelden voor configuratiehardening

Bestandsrechten

Houd configuratie + staat privé op de Gateway-host:

~/.openclaw/openclaw.json: 600 (alleen gebruiker lezen/schrijven)
~/.openclaw: 700 (alleen gebruiker)

openclaw doctor kan waarschuwen en aanbieden om deze rechten aan te scherpen.

Netwerkblootstelling (bind, poort, firewall)

De Gateway multiplext WebSocket + HTTP op één poort:

Standaard: 18789
Config/vlaggen/env: gateway.port, --port, OPENCLAW_GATEWAY_PORT

Dit HTTP-oppervlak bevat de Control UI en de canvas-host:

Control UI (SPA-assets) (standaard basispad /)
Canvas-host: /__openclaw__/canvas/ en /__openclaw__/a2ui/ (willekeurige HTML/JS; behandel als onvertrouwde inhoud)

Als je canvasinhoud in een normale browser laadt, behandel die dan als elke andere onvertrouwde webpagina:

Stel de canvas-host niet bloot aan onvertrouwde netwerken/gebruikers.
Laat canvasinhoud niet dezelfde origin delen als geprivilegieerde weboppervlakken, tenzij je de implicaties volledig begrijpt.

Bind-modus bepaalt waar de Gateway luistert:

gateway.bind: "loopback" (standaard): alleen lokale clients kunnen verbinden.
Niet-loopback-binds ("lan", "tailnet", "custom") vergroten het aanvalsoppervlak. Gebruik ze alleen met gateway-authenticatie (gedeeld token/wachtwoord of een correct geconfigureerde vertrouwde proxy) en een echte firewall.

Vuistregels:

Geef de voorkeur aan Tailscale Serve boven LAN-binds (Serve houdt de Gateway op loopback, en Tailscale handelt toegang af).
Als je aan LAN moet binden, firewall de poort dan naar een strikte allowlist van bron-IP’s; forward de poort niet breed.
Stel de Gateway nooit ongeauthenticeerd bloot op 0.0.0.0.

Docker-poortpublicatie met UFW

Als je OpenClaw met Docker op een VPS draait, onthoud dan dat gepubliceerde containerpoorten (-p HOST:CONTAINER of Compose ports:) via Docker’s forwarding- chains worden gerouteerd, niet alleen via host-INPUT-regels. Om Docker-verkeer in lijn te houden met je firewallbeleid, handhaaf je regels in DOCKER-USER (deze chain wordt geëvalueerd vóór Docker’s eigen accept-regels). Op veel moderne distro’s gebruiken iptables/ip6tables de iptables-nft-frontend en passen ze deze regels nog steeds toe op de nftables-backend. Minimaal allowlist-voorbeeld (IPv4):

# /etc/ufw/after.rules (append as its own *filter section)
*filter
:DOCKER-USER - [0:0]
-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
-A DOCKER-USER -s 127.0.0.0/8 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 192.168.0.0/16 -j RETURN
-A DOCKER-USER -s 100.64.0.0/10 -j RETURN
-A DOCKER-USER -p tcp --dport 80 -j RETURN
-A DOCKER-USER -p tcp --dport 443 -j RETURN
-A DOCKER-USER -m conntrack --ctstate NEW -j DROP
-A DOCKER-USER -j RETURN
COMMIT

IPv6 heeft aparte tabellen. Voeg een overeenkomend beleid toe in /etc/ufw/after6.rules als Docker IPv6 is ingeschakeld. Vermijd het hardcoderen van interfacenamen zoals eth0 in docs-fragmenten. Interfacenamen verschillen per VPS-image (ens3, enp*, enz.) en mismatches kunnen per ongeluk je deny-regel overslaan. Snelle validatie na herladen:

ufw reload
iptables -S DOCKER-USER
ip6tables -S DOCKER-USER
nmap -sT -p 1-65535 <public-ip> --open

Verwachte externe poorten zouden alleen moeten zijn wat je bewust blootstelt (voor de meeste setups: SSH + je reverse-proxy-poorten).

mDNS/Bonjour-discovery

Wanneer de gebundelde bonjour-Plugin is ingeschakeld, zendt de Gateway zijn aanwezigheid uit via mDNS (_openclaw-gw._tcp op poort 5353) voor lokale apparaatdiscovery. In volledige modus bevat dit TXT-records die operationele details kunnen blootleggen:

cliPath: volledig bestandssysteempad naar de CLI-binary (onthult gebruikersnaam en installatielocatie)
sshPort: maakt SSH-beschikbaarheid op de host bekend
displayName, lanHost: hostnaaminformatie

Overweging voor operationele beveiliging: Het uitzenden van infrastructuurdetails maakt verkenning eenvoudiger voor iedereen op het lokale netwerk. Zelfs “onschuldige” informatie zoals bestandssysteempaden en SSH-beschikbaarheid helpt aanvallers je omgeving in kaart te brengen. Aanbevelingen:

Laat Bonjour uitgeschakeld tenzij LAN-detectie nodig is. Bonjour start automatisch op macOS-hosts en is elders opt-in; directe Gateway-URL’s, Tailnet, SSH of wide-area DNS-SD vermijden lokale multicast.
Minimale modus (standaard wanneer Bonjour is ingeschakeld, aanbevolen voor blootgestelde gateways): laat gevoelige velden weg uit mDNS-uitzendingen:
```
{
  discovery: {
    mdns: { mode: "minimal" },
  },
}
```
Schakel mDNS-modus uit als je de Plugin ingeschakeld wilt houden maar lokale apparaatdetectie wilt onderdrukken:
```
{
  discovery: {
    mdns: { mode: "off" },
  },
}
```

Volledige modus (opt-in): neem cliPath + sshPort op in TXT-records:

{
  discovery: {
    mdns: { mode: "full" },
  },
}

Omgevingsvariabele (alternatief): stel OPENCLAW_DISABLE_BONJOUR=1 in om mDNS uit te schakelen zonder configuratiewijzigingen.

Wanneer Bonjour is ingeschakeld in minimale modus, zendt de Gateway genoeg uit voor apparaatdetectie (role, gatewayPort, transport), maar laat cliPath en sshPort weg. Apps die CLI-padinformatie nodig hebben, kunnen die in plaats daarvan ophalen via de geauthenticeerde WebSocket-verbinding.

Vergrendel de Gateway WebSocket (lokale auth)

Gateway-auth is standaard vereist. Als er geen geldig gateway-auth-pad is geconfigureerd, weigert de Gateway WebSocket-verbindingen (fail-closed). Onboarding genereert standaard een token (zelfs voor loopback), zodat lokale clients zich moeten authenticeren. Stel een token in zodat alle WS-clients zich moeten authenticeren:

{
  gateway: {
    auth: { mode: "token", token: "your-token" },
  },
}

Doctor kan er een voor je genereren: openclaw doctor --generate-gateway-token.

gateway.remote.token en gateway.remote.password zijn bronnen voor clientreferenties. Ze beschermen lokale WS-toegang op zichzelf niet. Lokale aanroeppaden kunnen gateway.remote.* alleen als fallback gebruiken wanneer gateway.auth.* niet is ingesteld. Als gateway.auth.token of gateway.auth.password expliciet via SecretRef is geconfigureerd en niet kan worden opgelost, faalt de oplossing gesloten (geen maskering door remote fallback).

Optioneel: pin remote TLS met gateway.remote.tlsFingerprint wanneer je wss:// gebruikt. Plaintext ws:// is standaard alleen voor loopback. Voor vertrouwde paden op privénetwerken stel je OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1 in op het clientproces als noodmaatregel. Dit is bewust alleen een procesomgeving, geen openclaw.json-configuratiesleutel. Mobiele koppeling en handmatige of gescande Android-gatewayroutes zijn strenger: cleartext wordt geaccepteerd voor loopback, maar private-LAN, link-local, .local en hostnamen zonder punt moeten TLS gebruiken tenzij je expliciet kiest voor het vertrouwde cleartext-pad op privénetwerken. Lokale apparaatkoppeling:

Apparaatkoppeling wordt automatisch goedgekeurd voor directe lokale loopback-verbindingen om clients op dezelfde host soepel te houden.
OpenClaw heeft ook een smal backend/container-lokaal zelfverbindingspad voor vertrouwde helperflows met gedeeld geheim.
Tailnet- en LAN-verbindingen, inclusief tailnet-binds op dezelfde host, worden behandeld als remote voor koppeling en vereisen nog steeds goedkeuring.
Forwarded-header-bewijs op een loopback-verzoek diskwalificeert loopback- lokaliteit. Automatische goedkeuring voor metadata-upgrades is nauw afgebakend. Zie Gateway-koppeling voor beide regels.

Auth-modi:

gateway.auth.mode: "token": gedeeld bearer-token (aanbevolen voor de meeste opstellingen).
gateway.auth.mode: "password": wachtwoordauth (bij voorkeur instellen via env: OPENCLAW_GATEWAY_PASSWORD).
gateway.auth.mode: "trusted-proxy": vertrouw op een identiteitsbewuste reverse proxy om gebruikers te authenticeren en identiteit via headers door te geven (zie Vertrouwde-proxy-auth).

Rotatiechecklist (token/wachtwoord):

Genereer/stel een nieuw geheim in (gateway.auth.token of OPENCLAW_GATEWAY_PASSWORD).
Herstart de Gateway (of herstart de macOS-app als die de Gateway beheert).
Werk eventuele remote clients bij (gateway.remote.token / .password op machines die de Gateway aanroepen).
Controleer dat je niet langer kunt verbinden met de oude referenties.

Tailscale Serve-identiteitsheaders

Wanneer gateway.auth.allowTailscale true is (standaard voor Serve), accepteert OpenClaw Tailscale Serve-identiteitsheaders (tailscale-user-login) voor Control UI/WebSocket-authenticatie. OpenClaw verifieert de identiteit door het x-forwarded-for-adres op te lossen via de lokale Tailscale-daemon (tailscale whois) en het te vergelijken met de header. Dit wordt alleen geactiveerd voor verzoeken die loopback bereiken en x-forwarded-for, x-forwarded-proto en x-forwarded-host bevatten zoals geïnjecteerd door Tailscale. Voor dit async-identiteitscontrolepad worden mislukte pogingen voor dezelfde {scope, ip} geserialiseerd voordat de limiter de mislukking registreert. Gelijktijdige slechte pogingen van één Serve-client kunnen daardoor de tweede poging onmiddellijk buitensluiten in plaats van als twee gewone mismatches door te racen. HTTP API-eindpunten (bijvoorbeeld /v1/*, /tools/invoke en /api/channels/*) gebruiken geen Tailscale-identiteitsheader-auth. Ze volgen nog steeds de geconfigureerde HTTP-auth-modus van de gateway. Belangrijke grensnotitie:

Gateway HTTP bearer-auth is feitelijk alles-of-niets operatortoegang.
Behandel referenties die /v1/chat/completions, /v1/responses of /api/channels/* kunnen aanroepen als operatorgeheimen met volledige toegang voor die gateway.
Op het OpenAI-compatibele HTTP-oppervlak herstelt shared-secret bearer-auth de volledige standaardoperatorscopes (operator.admin, operator.approvals, operator.pairing, operator.read, operator.talk.secrets, operator.write) en eigenaarssemantiek voor agentbeurten; smallere x-openclaw-scopes-waarden beperken dat shared-secret-pad niet.
Per-request-scopesemantiek op HTTP geldt alleen wanneer het verzoek afkomstig is uit een identiteitsdragende modus zoals trusted proxy auth of gateway.auth.mode="none" op een private ingress.
In die identiteitsdragende modi valt het weglaten van x-openclaw-scopes terug op de normale standaardoperatorscope-set; stuur de header expliciet wanneer je een smallere scope-set wilt.
/tools/invoke volgt dezelfde shared-secret-regel: token/password bearer-auth wordt daar ook behandeld als volledige operatortoegang, terwijl identiteitsdragende modi nog steeds gedeclareerde scopes respecteren.
Deel deze referenties niet met niet-vertrouwde aanroepers; geef de voorkeur aan afzonderlijke gateways per vertrouwensgrens.

Vertrouwensaannname: tokenloze Serve-auth gaat ervan uit dat de gateway-host vertrouwd is. Behandel dit niet als bescherming tegen vijandige processen op dezelfde host. Als niet-vertrouwde lokale code op de gateway-host kan draaien, schakel dan gateway.auth.allowTailscale uit en vereis expliciete shared-secret-auth met gateway.auth.mode: "token" of "password". Beveiligingsregel: stuur deze headers niet door vanuit je eigen reverse proxy. Als je TLS beëindigt of een proxy vóór de gateway plaatst, schakel dan gateway.auth.allowTailscale uit en gebruik shared-secret-auth (gateway.auth.mode: "token" of "password") of Vertrouwde-proxy-auth in plaats daarvan. Vertrouwde proxy’s:

Als je TLS vóór de Gateway beëindigt, stel gateway.trustedProxies dan in op de IP’s van je proxy.
OpenClaw vertrouwt x-forwarded-for (of x-real-ip) van die IP’s om het client-IP te bepalen voor lokale koppelingscontroles en HTTP-auth/lokale controles.
Zorg dat je proxy x-forwarded-for overschrijft en directe toegang tot de Gateway-poort blokkeert.

Zie Tailscale en Weboverzicht.

Browserbesturing via nodehost (aanbevolen)

Als je Gateway remote is maar de browser op een andere machine draait, voer dan een nodehost uit op de browsermachine en laat de Gateway browseracties proxyen (zie Browsertool). Behandel nodekoppeling als admin-toegang. Aanbevolen patroon:

Houd de Gateway en nodehost op dezelfde tailnet (Tailscale).
Koppel de node bewust; schakel browser-proxyrouting uit als je die niet nodig hebt.

Vermijd:

Relay-/controlepoorten blootstellen via LAN of openbaar internet.
Tailscale Funnel voor browserbesturingseindpunten (openbare blootstelling).

Geheimen op schijf

Ga ervan uit dat alles onder ~/.openclaw/ (of $OPENCLAW_STATE_DIR/) geheimen of privégegevens kan bevatten:

openclaw.json: configuratie kan tokens bevatten (gateway, remote gateway), providerinstellingen en allowlists.
credentials/**: kanaalreferenties (voorbeeld: WhatsApp-referenties), koppelingsallowlists, verouderde OAuth-imports.
agents/<agentId>/agent/auth-profiles.json: API-sleutels, tokenprofielen, OAuth-tokens en optionele keyRef/tokenRef.
agents/<agentId>/agent/codex-home/**: per-agent Codex-app-serveraccount, configuratie, skills, plugins, native threadstatus en diagnostiek.
secrets.json (optioneel): bestandsgedragen geheime payload gebruikt door file SecretRef-providers (secrets.providers).
agents/<agentId>/agent/auth.json: bestand voor legacy-compatibiliteit. Statische api_key-items worden opgeschoond wanneer ze worden gevonden.
agents/<agentId>/sessions/**: sessietranscripten (*.jsonl) + routeringsmetadata (sessions.json) die privéberichten en tooluitvoer kunnen bevatten.
gebundelde pluginpakketten: geïnstalleerde plugins (plus hun node_modules/).
sandboxes/**: tool-sandboxwerkruimten; kunnen kopieën ophopen van bestanden die je binnen de sandbox leest/schrijft.

Hardeningtips:

Houd permissies strak (700 op mappen, 600 op bestanden).
Gebruik volledige-schijfversleuteling op de gateway-host.
Geef de voorkeur aan een toegewijd OS-gebruikersaccount voor de Gateway als de host gedeeld is.

Workspace-`.env`-bestanden

OpenClaw laadt workspace-lokale .env-bestanden voor agents en tools, maar laat die bestanden nooit stilzwijgend gateway-runtimecontroles overschrijven.

Elke sleutel die begint met OPENCLAW_* wordt geblokkeerd vanuit niet-vertrouwde workspace-.env-bestanden.
Kanaaleindpuntinstellingen voor Matrix, Mattermost, IRC en Synology Chat worden ook geblokkeerd voor workspace-.env-overschrijvingen, zodat gekloonde workspaces gebundeld connectorverkeer niet kunnen omleiden via lokale eindpuntconfiguratie. Eindpunt-env-sleutels (zoals MATRIX_HOMESERVER, MATTERMOST_URL, IRC_HOST, SYNOLOGY_CHAT_INCOMING_URL) moeten afkomstig zijn uit de gateway-procesomgeving of env.shellEnv, niet uit een door de workspace geladen .env.
De blokkade is fail-closed: een nieuwe runtime-controlvariabele die in een toekomstige release wordt toegevoegd, kan niet worden geërfd uit een ingecheckte of door een aanvaller aangeleverde .env; de sleutel wordt genegeerd en de gateway behoudt zijn eigen waarde.
Vertrouwde proces-/OS-omgevingsvariabelen (de eigen shell van de gateway, launchd/systemd-unit, appbundel) gelden nog steeds — dit beperkt alleen het laden van .env-bestanden.

Waarom: workspace-.env-bestanden staan vaak naast agentcode, worden per ongeluk gecommit of worden door tools geschreven. Het blokkeren van het hele OPENCLAW_*-prefix betekent dat het toevoegen van een nieuwe OPENCLAW_*-vlag later nooit kan terugvallen naar stilzwijgende overerving uit workspacestatus.

Logs en transcripten (redactie en retentie)

Logs en transcripten kunnen gevoelige informatie lekken, zelfs wanneer toegangscontroles correct zijn:

Gateway-logs kunnen toolsamenvattingen, fouten en URL’s bevatten.
Sessietranscripten kunnen geplakte geheimen, bestandsinhoud, opdrachtuitvoer en links bevatten.

Aanbevelingen:

Houd redactie van logs en transcripten aan (logging.redactSensitive: "tools"; standaard).
Voeg aangepaste patronen voor je omgeving toe via logging.redactPatterns (tokens, hostnamen, interne URL’s).
Gebruik bij het delen van diagnostiek bij voorkeur openclaw status --all (plakbaar, geheimen geredigeerd) in plaats van ruwe logs.
Snoei oude sessietranscripten en logbestanden als je geen lange retentie nodig hebt.

Details: Logging

DM’s: standaard koppeling

{
  channels: { whatsapp: { dmPolicy: "pairing" } },
}

Groepen: overal vermelding vereisen

{
  "channels": {
    "whatsapp": {
      "groups": {
        "*": { "requireMention": true }
      }
    }
  },
  "agents": {
    "list": [
      {
        "id": "main",
        "groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] }
      }
    ]
  }
}

Reageer in groepschats alleen wanneer je expliciet wordt genoemd.

Afzonderlijke nummers (WhatsApp, Signal, Telegram)

Voor kanalen op basis van telefoonnummers kun je overwegen je AI op een ander telefoonnummer te laten draaien dan je persoonlijke nummer:

Persoonlijk nummer: je gesprekken blijven privé
Botnummer: AI handelt deze af, met passende grenzen

Alleen-lezenmodus (via sandbox en tools)

Je kunt een alleen-lezenprofiel opbouwen door het volgende te combineren:

agents.defaults.sandbox.workspaceAccess: "ro" (of "none" voor geen toegang tot de werkruimte)
lijsten voor toestaan/weigeren van tools die write, edit, apply_patch, exec, process, enzovoort blokkeren.

Extra opties voor verharding:

tools.exec.applyPatch.workspaceOnly: true (standaard): zorgt ervoor dat apply_patch niet buiten de werkruimtemap kan schrijven/verwijderen, zelfs wanneer sandboxing uit staat. Stel dit alleen in op false als je bewust wilt dat apply_patch bestanden buiten de werkruimte aanraakt.
tools.fs.workspaceOnly: true (optioneel): beperkt paden voor read/write/edit/apply_patch en automatisch laden van native promptafbeeldingen tot de werkruimtemap (handig als je vandaag absolute paden toestaat en één vangrail wilt).
Houd bestandssysteemroots smal: vermijd brede roots zoals je homedirectory voor agentwerkruimten/sandboxwerkruimten. Brede roots kunnen gevoelige lokale bestanden (bijvoorbeeld status/configuratie onder ~/.openclaw) blootstellen aan bestandssysteemtools.

Veilige basisconfiguratie (kopiëren/plakken)

Een “veilige standaardconfiguratie” die de Gateway privé houdt, DM-koppeling vereist en altijd actieve groepsbots vermijdt:

{
  gateway: {
    mode: "local",
    bind: "loopback",
    port: 18789,
    auth: { mode: "token", token: "your-long-random-token" },
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } },
    },
  },
}

Als je ook “standaard veiliger” tooluitvoering wilt, voeg dan een sandbox toe en weiger gevaarlijke tools voor elke agent die geen eigenaar is (voorbeeld hieronder onder “Toegangsprofielen per agent”). Ingebouwde basislijn voor chatgestuurde agentbeurten: afzenders die geen eigenaar zijn, kunnen de tools cron of gateway niet gebruiken.

Sandboxing (aanbevolen)

Specifiek document: Sandboxing Twee aanvullende benaderingen:

Voer de volledige Gateway uit in Docker (containergrens): Docker
Toolsandbox (agents.defaults.sandbox, hostgateway + door sandbox geïsoleerde tools; Docker is de standaardbackend): Sandboxing

Houd agents.defaults.sandbox.scope op "agent" (standaard) of "session" voor strengere isolatie per sessie om toegang tussen agents te voorkomen. scope: "shared" gebruikt één container of werkruimte.

Overweeg ook toegang tot de agentwerkruimte binnen de sandbox:

agents.defaults.sandbox.workspaceAccess: "none" (standaard) houdt de agentwerkruimte buiten bereik; tools draaien tegen een sandboxwerkruimte onder ~/.openclaw/sandboxes
agents.defaults.sandbox.workspaceAccess: "ro" koppelt de agentwerkruimte alleen-lezen op /agent (schakelt write/edit/apply_patch uit)
agents.defaults.sandbox.workspaceAccess: "rw" koppelt de agentwerkruimte lezen/schrijven op /workspace
Extra sandbox.docker.binds worden gevalideerd tegen genormaliseerde en gecanoniseerde bronpaden. Trucs met bovenliggende symlinks en canonieke home-aliassen falen nog steeds gesloten als ze herleiden naar geblokkeerde roots zoals /etc, /var/run of credentialmappen onder de OS-home.

tools.elevated is de globale basis-ontsnappingsroute die exec buiten de sandbox uitvoert. De effectieve host is standaard gateway, of node wanneer het exec-doel is geconfigureerd als node. Houd tools.elevated.allowFrom strikt en schakel dit niet in voor vreemden. Je kunt elevated per agent verder beperken via agents.list[].tools.elevated. Zie Elevated-modus.

Vangrail voor subagentdelegatie

Als je sessietools toestaat, behandel gedelegeerde subagentruns dan als een extra grensbeslissing:

Weiger sessions_spawn tenzij de agent echt delegatie nodig heeft.
Houd agents.defaults.subagents.allowAgents en eventuele per-agent overrides van agents.list[].subagents.allowAgents beperkt tot bekende veilige doelagents.
Voor elke workflow die gesandboxed moet blijven, roep je sessions_spawn aan met sandbox: "require" (standaard is inherit).
sandbox: "require" faalt snel wanneer de doel-childruntime niet gesandboxed is.

Risico’s van browserbesturing

Het inschakelen van browserbesturing geeft het model de mogelijkheid een echte browser te bedienen. Als dat browserprofiel al ingelogde sessies bevat, kan het model toegang krijgen tot die accounts en gegevens. Behandel browserprofielen als gevoelige staat:

Geef de voorkeur aan een speciaal profiel voor de agent (het standaardprofiel openclaw).
Vermijd het richten van de agent op je persoonlijke dagelijkse profiel.
Houd hostbrowserbesturing uitgeschakeld voor gesandboxte agents tenzij je ze vertrouwt.
De zelfstandige local loopback API voor browserbesturing respecteert alleen gedeelde-geheim-authenticatie (Gateway-tokenbearer-authenticatie of Gateway-wachtwoord). Deze gebruikt geen trusted-proxy- of Tailscale Serve-identiteitsheaders.
Behandel browserdownloads als niet-vertrouwde invoer; geef de voorkeur aan een geïsoleerde downloadmap.
Schakel indien mogelijk browsersynchronisatie/wachtwoordbeheerders uit in het agentprofiel (verkleint de impact).
Ga er bij externe gateways van uit dat “browserbesturing” gelijkstaat aan “operator-toegang” tot alles wat dat profiel kan bereiken.
Houd de Gateway- en node-hosts alleen beschikbaar via tailnet; vermijd blootstelling van browserbesturingspoorten aan LAN of het openbare internet.
Schakel browserproxyrouting uit wanneer je die niet nodig hebt (gateway.nodes.browser.mode="off").
De bestaande-sessiemodus van Chrome MCP is niet “veiliger”; deze kan handelen als jij in alles wat dat Chrome-hostprofiel kan bereiken.

Browser-SSRF-beleid (standaard strikt)

Het browsernavigatiebeleid van OpenClaw is standaard strikt: privé/interne bestemmingen blijven geblokkeerd tenzij je expliciet opt-in kiest.

Standaard: browser.ssrfPolicy.dangerouslyAllowPrivateNetwork is niet ingesteld, dus browsernavigatie houdt privé/interne/special-use bestemmingen geblokkeerd.
Legacy alias: browser.ssrfPolicy.allowPrivateNetwork wordt nog steeds geaccepteerd voor compatibiliteit.
Opt-inmodus: stel browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: true in om privé/interne/special-use bestemmingen toe te staan.
Gebruik in strikte modus hostnameAllowlist (patronen zoals *.example.com) en allowedHostnames (exacte hostuitzonderingen, inclusief geblokkeerde namen zoals localhost) voor expliciete uitzonderingen.
Navigatie wordt vóór het verzoek gecontroleerd en na navigatie naar beste vermogen opnieuw gecontroleerd op de uiteindelijke http(s)-URL om pivots op basis van redirects te verminderen.

Voorbeeld van strikt beleid:

{
  browser: {
    ssrfPolicy: {
      dangerouslyAllowPrivateNetwork: false,
      hostnameAllowlist: ["*.example.com", "example.com"],
      allowedHostnames: ["localhost"],
    },
  },
}

Toegangsprofielen per agent (multi-agent)

Met multi-agentrouting kan elke agent zijn eigen sandbox + toolbeleid hebben: gebruik dit om per agent volledige toegang, alleen-lezen of geen toegang te geven. Zie Multi-Agent Sandbox & Tools voor volledige details en voorrangsregels. Veelvoorkomende use cases:

Persoonlijke agent: volledige toegang, geen sandbox
Familie-/werkagent: gesandboxed + alleen-lezentools
Openbare agent: gesandboxed + geen bestandssysteem-/shelltools

Voorbeeld: volledige toegang (geen sandbox)

{
  agents: {
    list: [
      {
        id: "personal",
        workspace: "~/.openclaw/workspace-personal",
        sandbox: { mode: "off" },
      },
    ],
  },
}

Voorbeeld: alleen-lezentools + alleen-lezenwerkruimte

{
  agents: {
    list: [
      {
        id: "family",
        workspace: "~/.openclaw/workspace-family",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "ro",
        },
        tools: {
          allow: ["read"],
          deny: ["write", "edit", "apply_patch", "exec", "process", "browser"],
        },
      },
    ],
  },
}

Voorbeeld: geen bestandssysteem-/shelltoegang (providermessaging toegestaan)

{
  agents: {
    list: [
      {
        id: "public",
        workspace: "~/.openclaw/workspace-public",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "none",
        },
        // Session tools can reveal sensitive data from transcripts. By default OpenClaw limits these tools
        // to the current session + spawned subagent sessions, but you can clamp further if needed.
        // See `tools.sessions.visibility` in the configuration reference.
        tools: {
          sessions: { visibility: "tree" }, // self | tree | agent | all
          allow: [
            "sessions_list",
            "sessions_history",
            "sessions_send",
            "sessions_spawn",
            "session_status",
            "whatsapp",
            "telegram",
            "slack",
            "discord",
          ],
          deny: [
            "read",
            "write",
            "edit",
            "apply_patch",
            "exec",
            "process",
            "browser",
            "canvas",
            "nodes",
            "cron",
            "gateway",
            "image",
          ],
        },
      },
    ],
  },
}

Incidentrespons

Als je AI iets slechts doet:

Indammen

Stop deze: stop de macOS-app (als die de Gateway superviseert) of beëindig je openclaw gateway-proces.
Sluit blootstelling: stel gateway.bind: "loopback" in (of schakel Tailscale Funnel/Serve uit) totdat je begrijpt wat er is gebeurd.
Bevries toegang: zet risicovolle DM’s/groepen op dmPolicy: "disabled" / vereis vermeldingen, en verwijder "*"-allow-all-vermeldingen als je die had.

Roteren (ga uit van compromittering als geheimen zijn gelekt)

Roteer Gateway-authenticatie (gateway.auth.token / OPENCLAW_GATEWAY_PASSWORD) en herstart.
Roteer externe clientgeheimen (gateway.remote.token / .password) op elke machine die de Gateway kan aanroepen.
Roteer provider-/API-credentials (WhatsApp-credentials, Slack-/Discord-tokens, model-/API-sleutels in auth-profiles.json, en versleutelde waarden van geheimenpayloads wanneer gebruikt).

Auditen

Controleer Gateway-logs: /tmp/openclaw/openclaw-YYYY-MM-DD.log (of logging.file).
Bekijk de relevante transcript(s): ~/.openclaw/agents/<agentId>/sessions/*.jsonl.
Bekijk recente configuratiewijzigingen (alles wat toegang kan hebben verbreed: gateway.bind, gateway.auth, DM-/groepsbeleid, tools.elevated, pluginwijzigingen).
Voer openclaw security audit --deep opnieuw uit en bevestig dat kritieke bevindingen zijn opgelost.

Verzamelen voor een rapport

Tijdstempel, OS van de gatewayhost + OpenClaw-versie
De sessietranscript(s) + een korte logtail (na redactie)
Wat de aanvaller stuurde + wat de agent deed
Of de Gateway buiten loopback was blootgesteld (LAN/Tailscale Funnel/Serve)

Geheimmenscanning

CI voert de pre-commit-hook detect-private-key uit over de repository. Als deze faalt, verwijder of roteer dan het gecommitte sleutelmaterial en reproduceer lokaal:

pre-commit run --all-files detect-private-key

Beveiligingsproblemen melden

Een kwetsbaarheid in OpenClaw gevonden? Meld dit alstublieft verantwoord:

E-mail: security@openclaw.ai
Plaats niets openbaar totdat het is opgelost
We vermelden je als ontdekker (tenzij je anonimiteit verkiest)

Gateway

Remote access

Security

Nodes and media

Web interfaces

Documentation Index

​Eerst de scope: beveiligingsmodel voor persoonlijke assistenten

​Snelle controle: openclaw security audit

​Implementatie en hostvertrouwen

​Gedeelde Slack-werkruimte: reëel risico

​Bedrijfsgedeelde agent: acceptabel patroon

​Vertrouwensconcept voor Gateway en Node

​Matrix voor vertrouwensgrenzen

​Geen kwetsbaarheden volgens ontwerp

​Verharde basislijn in 60 seconden

​Snelle regel voor gedeelde inboxen

​Model voor contextzichtbaarheid

​Wat de audit controleert (hoog niveau)

​Kaart voor opslag van inloggegevens

​Checklist voor security-audit

​Glossarium voor security-audit

​Control UI via HTTP

​Samenvatting van onveilige of gevaarlijke vlaggen

​Reverse-proxyconfiguratie

​HSTS- en origin-notities

​Lokale sessielogs staan op schijf

​Node-uitvoering (system.run)

​Dynamische Skills (watcher / externe Nodes)

​Het dreigingsmodel

​Kernconcept: toegangscontrole vóór intelligentie

​Opdrachtautorisatiemodel

​Risico van control-plane-tools

​Plugins

​DM-toegangsmodel: koppeling, allowlist, open, uitgeschakeld

​DM-sessie-isolatie (multi-user-modus)

​Veilige DM-modus (aanbevolen)

​Allowlists voor DM’s en groepen

​Prompt-injectie (wat het is, waarom het belangrijk is)

​Sanitisatie van special-tokens in externe inhoud

​Bypassvlaggen voor onveilige externe inhoud

​Promptinjectie vereist geen openbare DM’s

​Self-hosted LLM-backends

​Modelsterkte (beveiligingsopmerking)

​Reasoning en uitgebreide uitvoer in groepen

​Voorbeelden voor configuratiehardening

​Bestandsrechten

​Netwerkblootstelling (bind, poort, firewall)

​Docker-poortpublicatie met UFW

​mDNS/Bonjour-discovery

​Vergrendel de Gateway WebSocket (lokale auth)

​Tailscale Serve-identiteitsheaders

​Browserbesturing via nodehost (aanbevolen)

​Geheimen op schijf

​Workspace-.env-bestanden

​Logs en transcripten (redactie en retentie)

​DM’s: standaard koppeling

​Groepen: overal vermelding vereisen

​Afzonderlijke nummers (WhatsApp, Signal, Telegram)

​Alleen-lezenmodus (via sandbox en tools)

​Veilige basisconfiguratie (kopiëren/plakken)

​Sandboxing (aanbevolen)

​Vangrail voor subagentdelegatie

​Risico’s van browserbesturing

​Browser-SSRF-beleid (standaard strikt)

​Toegangsprofielen per agent (multi-agent)

​Voorbeeld: volledige toegang (geen sandbox)

​Voorbeeld: alleen-lezentools + alleen-lezenwerkruimte

​Voorbeeld: geen bestandssysteem-/shelltoegang (providermessaging toegestaan)

​Incidentrespons

​Indammen

​Roteren (ga uit van compromittering als geheimen zijn gelekt)

​Auditen

​Verzamelen voor een rapport

​Geheimmenscanning

​Beveiligingsproblemen melden

Eerst de scope: beveiligingsmodel voor persoonlijke assistenten

Snelle controle: `openclaw security audit`

Implementatie en hostvertrouwen

Gedeelde Slack-werkruimte: reëel risico

Bedrijfsgedeelde agent: acceptabel patroon

Vertrouwensconcept voor Gateway en Node

Matrix voor vertrouwensgrenzen

Geen kwetsbaarheden volgens ontwerp

Verharde basislijn in 60 seconden

Snelle regel voor gedeelde inboxen

Model voor contextzichtbaarheid

Wat de audit controleert (hoog niveau)

Kaart voor opslag van inloggegevens

Checklist voor security-audit

Glossarium voor security-audit

Control UI via HTTP

Samenvatting van onveilige of gevaarlijke vlaggen

Reverse-proxyconfiguratie

HSTS- en origin-notities

Lokale sessielogs staan op schijf

Node-uitvoering (system.run)

Dynamische Skills (watcher / externe Nodes)

Het dreigingsmodel

Kernconcept: toegangscontrole vóór intelligentie

Opdrachtautorisatiemodel

Risico van control-plane-tools

Plugins

DM-toegangsmodel: koppeling, allowlist, open, uitgeschakeld

DM-sessie-isolatie (multi-user-modus)

Veilige DM-modus (aanbevolen)

Allowlists voor DM’s en groepen

Prompt-injectie (wat het is, waarom het belangrijk is)

Sanitisatie van special-tokens in externe inhoud

Bypassvlaggen voor onveilige externe inhoud

Promptinjectie vereist geen openbare DM’s

Self-hosted LLM-backends

Modelsterkte (beveiligingsopmerking)

Reasoning en uitgebreide uitvoer in groepen

Voorbeelden voor configuratiehardening

Bestandsrechten

Netwerkblootstelling (bind, poort, firewall)

Docker-poortpublicatie met UFW

mDNS/Bonjour-discovery

Vergrendel de Gateway WebSocket (lokale auth)

Tailscale Serve-identiteitsheaders

Browserbesturing via nodehost (aanbevolen)

Geheimen op schijf

Workspace-`.env`-bestanden

Logs en transcripten (redactie en retentie)

DM’s: standaard koppeling

Groepen: overal vermelding vereisen

Afzonderlijke nummers (WhatsApp, Signal, Telegram)

Alleen-lezenmodus (via sandbox en tools)

Veilige basisconfiguratie (kopiëren/plakken)

Sandboxing (aanbevolen)

Vangrail voor subagentdelegatie

Risico’s van browserbesturing

Browser-SSRF-beleid (standaard strikt)

Toegangsprofielen per agent (multi-agent)

Voorbeeld: volledige toegang (geen sandbox)

Voorbeeld: alleen-lezentools + alleen-lezenwerkruimte

Voorbeeld: geen bestandssysteem-/shelltoegang (providermessaging toegestaan)

Incidentrespons

Indammen

Roteren (ga uit van compromittering als geheimen zijn gelekt)

Auditen

Verzamelen voor een rapport

Geheimmenscanning

Beveiligingsproblemen melden