Pular para o conteúdo principal

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

Modelo de confiança de assistente pessoal. Esta orientação pressupõe um limite de operador confiável por Gateway (modelo de assistente pessoal de usuário único). O OpenClaw não é um limite de segurança multi-tenant hostil para múltiplos usuários adversariais compartilhando um agente ou Gateway. Se você precisa de operação com confiança mista ou usuários adversariais, separe os limites de confiança (Gateway + credenciais separados, idealmente usuários do SO ou hosts separados).

Escopo primeiro: modelo de segurança de assistente pessoal

A orientação de segurança do OpenClaw pressupõe uma implantação de assistente pessoal: um limite de operador confiável, potencialmente muitos agentes.
  • Postura de segurança compatível: um usuário/limite de confiança por Gateway (prefira um usuário do SO/host/VPS por limite).
  • Não é um limite de segurança compatível: um Gateway/agente compartilhado usado por usuários mutuamente não confiáveis ou adversariais.
  • Se for necessário isolamento de usuários adversariais, separe por limite de confiança (Gateway + credenciais separados e, idealmente, usuários/hosts do SO separados).
  • Se vários usuários não confiáveis puderem enviar mensagens para um agente com ferramentas habilitadas, trate-os como compartilhando a mesma autoridade de ferramenta delegada para esse agente.
Esta página explica o fortalecimento dentro desse modelo. Ela não afirma fornecer isolamento multi-tenant hostil em um Gateway compartilhado.

Verificação rápida: openclaw security audit

Veja também: Verificação formal (modelos de segurança) Execute isto regularmente (especialmente depois de alterar a configuração ou expor superfícies de rede): 
openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --json
security audit --fix permanece intencionalmente restrito: ele troca políticas comuns de grupo aberto para listas de permissão, restaura logging.redactSensitive: "tools", torna mais rígidas as permissões de estado/configuração/arquivos incluídos e usa redefinições de ACL do Windows em vez de POSIX chmod ao executar no Windows. Ele sinaliza problemas comuns (exposição de autenticação do Gateway, exposição de controle do navegador, listas de permissão elevadas, permissões de sistema de arquivos, aprovações de execução permissivas e exposição de ferramentas em canais abertos). O OpenClaw é tanto um produto quanto um experimento: você está conectando comportamento de modelos de fronteira a superfícies reais de mensagens e ferramentas reais. Não existe configuração “perfeitamente segura”. O objetivo é ser deliberado sobre:
  • quem pode falar com seu bot
  • onde o bot tem permissão para agir
  • no que o bot pode tocar
Comece com o menor acesso que ainda funcione, depois amplie conforme ganhar confiança.

Implantação e confiança no host

O OpenClaw pressupõe que o limite de host e configuração é confiável:
  • Se alguém puder modificar o estado/configuração do host do Gateway (~/.openclaw, incluindo openclaw.json), trate essa pessoa como um operador confiável.
  • Executar um Gateway para vários operadores mutuamente não confiáveis/adversariais não é uma configuração recomendada.
  • Para equipes com confiança mista, separe os limites de confiança com gateways separados (ou, no mínimo, usuários/hosts do SO separados).
  • Padrão recomendado: um usuário por máquina/host (ou VPS), um Gateway para esse usuário e um ou mais agentes nesse Gateway.
  • Dentro de uma instância de Gateway, o acesso autenticado de operador é uma função confiável do plano de controle, não uma função de tenant por usuário.
  • Identificadores de sessão (sessionKey, IDs de sessão, rótulos) são seletores de roteamento, não tokens de autorização.
  • Se várias pessoas puderem enviar mensagens para um agente com ferramentas habilitadas, cada uma delas poderá direcionar esse mesmo conjunto de permissões. O isolamento de sessão/memória por usuário ajuda na privacidade, mas não converte um agente compartilhado em autorização de host por usuário.

Operações de arquivo seguras

O OpenClaw usa @openclaw/fs-safe para acesso a arquivos limitado por raiz, escritas atômicas, extração de arquivos compactados, workspaces temporários e auxiliares para arquivos secretos. Por padrão, o OpenClaw deixa o auxiliar Python POSIX opcional do fs-safe desativado; defina OPENCLAW_FS_SAFE_PYTHON_MODE=auto ou require somente quando quiser o reforço extra de mutação relativa a fd e puder oferecer suporte a um runtime Python. Detalhes: Operações de arquivo seguras.

Workspace Slack compartilhado: risco real

Se “todos no Slack podem enviar mensagens para o bot”, o risco central é a autoridade de ferramenta delegada:
  • qualquer remetente permitido pode induzir chamadas de ferramenta (exec, navegador, ferramentas de rede/arquivo) dentro da política do agente;
  • injeção de prompt/conteúdo de um remetente pode causar ações que afetam estado, dispositivos ou saídas compartilhados;
  • se um agente compartilhado tiver credenciais/arquivos sensíveis, qualquer remetente permitido poderá potencialmente conduzir exfiltração por meio do uso de ferramentas.
Use agentes/gateways separados com ferramentas mínimas para fluxos de trabalho de equipe; mantenha privados os agentes com dados pessoais.

Agente compartilhado pela empresa: padrão aceitável

Isto é aceitável quando todos que usam esse agente estão no mesmo limite de confiança (por exemplo, uma equipe da empresa) e o agente tem escopo estritamente empresarial.
  • execute-o em uma máquina/VM/contêiner dedicado;
  • use um usuário do SO dedicado + navegador/perfil/contas dedicados para esse runtime;
  • não conecte esse runtime a contas pessoais da Apple/Google nem a perfis pessoais de gerenciador de senhas/navegador.
Se você misturar identidades pessoais e corporativas no mesmo runtime, você elimina a separação e aumenta o risco de exposição de dados pessoais.

Conceito de confiança de Gateway e Node

Trate Gateway e Node como um único domínio de confiança do operador, com funções diferentes:
  • Gateway é o plano de controle e a superfície de política (gateway.auth, política de ferramentas, roteamento).
  • Node é a superfície de execução remota pareada a esse Gateway (comandos, ações de dispositivo, capacidades locais do host).
  • Um chamador autenticado no Gateway é confiável no escopo do Gateway. Após o pareamento, ações de Node são ações confiáveis de operador nesse Node.
  • Níveis de escopo do operador e verificações no momento da aprovação estão resumidos em Escopos de operador.
  • Clientes diretos de backend em loopback autenticados com o token/senha compartilhado do Gateway podem fazer RPCs internos do plano de controle sem apresentar uma identidade de dispositivo de usuário. Isso não é uma forma de contornar o pareamento remoto ou do navegador: clientes de rede, clientes de Node, clientes com token de dispositivo e identidades explícitas de dispositivo ainda passam por pareamento e aplicação de upgrade de escopo.
  • sessionKey é seleção de roteamento/contexto, não autenticação por usuário.
  • Aprovações de execução (lista de permissão + pergunta) são proteções para a intenção do operador, não isolamento multi-tenant hostil.
  • O padrão de produto do OpenClaw para configurações confiáveis de operador único é que a execução no host em gateway/node seja permitida sem prompts de aprovação (security="full", ask="off", a menos que você a restrinja). Esse padrão é uma UX intencional, não uma vulnerabilidade por si só.
  • Aprovações de execução vinculam o contexto exato da solicitação e operandos de arquivo local diretos em melhor esforço; elas não modelam semanticamente todos os caminhos de runtime/interpretador/carregador. Use sandboxing e isolamento de host para limites fortes.
Se precisar de isolamento contra usuários hostis, separe os limites de confiança por usuário/host do SO e execute gateways separados.

Matriz de limites de confiança

Use isto como modelo rápido ao fazer triagem de risco:
Limite ou controleO que significaLeitura incorreta comum
gateway.auth (token/senha/proxy confiável/autenticação de dispositivo)Autentica chamadores nas APIs do Gateway”Precisa de assinaturas por mensagem em cada frame para ser seguro”
sessionKeyChave de roteamento para seleção de contexto/sessão”A chave de sessão é um limite de autenticação de usuário”
Proteções de prompt/conteúdoReduzem o risco de abuso do modelo”Injeção de prompt por si só prova bypass de autenticação”
canvas.eval / avaliação do navegadorCapacidade intencional do operador quando habilitada”Qualquer primitiva de avaliação JS é automaticamente uma vulnerabilidade neste modelo de confiança”
Shell ! local da TUIExecução local explicitamente acionada pelo operador”Comando de conveniência de shell local é injeção remota”
Pareamento de Node e comandos de NodeExecução remota em nível de operador em dispositivos pareados”Controle remoto de dispositivo deve ser tratado como acesso de usuário não confiável por padrão”
gateway.nodes.pairing.autoApproveCidrsPolítica opcional de inscrição de Node em rede confiável”Uma lista de permissão desativada por padrão é uma vulnerabilidade automática de pareamento”

Não são vulnerabilidades por design

Esses padrões são relatados com frequência e geralmente são fechados sem ação, a menos que um bypass real de limite seja demonstrado:
  • Cadeias apenas de injeção de prompt sem bypass de política, autenticação ou sandbox.
  • Alegações que pressupõem operação multi-tenant hostil em um host ou configuração compartilhados.
  • Alegações que classificam o acesso normal de leitura do operador (por exemplo sessions.list / sessions.preview / chat.history) como IDOR em uma configuração de Gateway compartilhado.
  • Descobertas de implantação somente em localhost (por exemplo, HSTS em um Gateway somente em loopback).
  • Descobertas de assinatura de Webhook de entrada do Discord para caminhos de entrada que não existem neste repositório.
  • Relatórios que tratam metadados de pareamento de Node como uma segunda camada oculta de aprovação por comando para system.run, quando o limite real de execução continua sendo a política global de comandos de Node do Gateway mais as próprias aprovações de execução do Node.
  • Relatórios que tratam gateway.nodes.pairing.autoApproveCidrs configurado como uma vulnerabilidade por si só. Essa configuração é desativada por padrão, exige entradas explícitas de CIDR/IP, aplica-se somente ao primeiro pareamento com role: node sem escopos solicitados, e não aprova automaticamente operador/navegador/Control UI, WebChat, upgrades de função, upgrades de escopo, alterações de metadados, alterações de chave pública ou caminhos de cabeçalho trusted-proxy em loopback no mesmo host, a menos que a autenticação trusted-proxy em loopback tenha sido explicitamente habilitada.
  • Descobertas de “autorização por usuário ausente” que tratam sessionKey como um token de autenticação.

Baseline reforçada em 60 segundos

Use esta baseline primeiro e depois reabilite seletivamente ferramentas por agente confiável: 
{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "replace-with-long-random-token" },
  },
  session: {
    dmScope: "per-channel-peer",
  },
  tools: {
    profile: "messaging",
    deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
    fs: { workspaceOnly: true },
    exec: { security: "deny", ask: "always" },
    elevated: { enabled: false },
  },
  channels: {
    whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } },
  },
}
Isso mantém o Gateway somente local, isola DMs e desativa ferramentas de plano de controle/runtime por padrão.

Regra rápida para caixa de entrada compartilhada

Se mais de uma pessoa puder enviar DM para seu bot:
  • Defina session.dmScope: "per-channel-peer" (ou "per-account-channel-peer" para canais multi-conta).
  • Mantenha dmPolicy: "pairing" ou listas de permissão rígidas.
  • Nunca combine DMs compartilhadas com acesso amplo a ferramentas.
  • Isso fortalece caixas de entrada cooperativas/compartilhadas, mas não foi projetado como isolamento hostil entre co-tenants quando usuários compartilham acesso de escrita ao host/configuração.

Modelo de visibilidade de contexto

O OpenClaw separa dois conceitos:
  • Autorização de acionamento: quem pode acionar o agente (dmPolicy, groupPolicy, listas de permissão, gates de menção).
  • Visibilidade de contexto: qual contexto suplementar é injetado na entrada do modelo (corpo da resposta, texto citado, histórico da thread, metadados encaminhados).
Listas de permissão controlam acionamentos e autorização de comandos. A configuração contextVisibility controla como o contexto suplementar (respostas citadas, raízes de thread, histórico buscado) é filtrado:
  • contextVisibility: "all" (padrão) mantém o contexto suplementar como recebido.
  • contextVisibility: "allowlist" filtra o contexto suplementar para remetentes permitidos pelas verificações da lista de permissões ativa.
  • contextVisibility: "allowlist_quote" se comporta como allowlist, mas ainda mantém uma resposta explicitamente citada.
Defina contextVisibility por canal ou por sala/conversa. Consulte Chats em grupo para detalhes de configuração. Orientação para triagem de avisos:
  • Alegações que mostram apenas que “o modelo consegue ver texto citado ou histórico de remetentes fora da lista de permissões” são achados de reforço que podem ser tratados com contextVisibility, não desvios de autenticação ou de limites de sandbox por si só.
  • Para ter impacto de segurança, os relatórios ainda precisam demonstrar um desvio de limite de confiança (autenticação, política, sandbox, aprovação ou outro limite documentado).

O que a auditoria verifica (visão geral)

  • Acesso de entrada (políticas de DM, políticas de grupo, listas de permissões): estranhos conseguem acionar o bot?
  • Raio de impacto das ferramentas (ferramentas elevadas + salas abertas): uma injeção de prompt poderia se transformar em ações de shell/arquivo/rede?
  • Desvio do sistema de arquivos em exec: ferramentas que alteram o sistema de arquivos são negadas enquanto exec/process permanecem disponíveis sem restrições de sistema de arquivos do sandbox?
  • Desvio de aprovação em exec (security=full, autoAllowSkills, listas de permissões de interpretadores sem strictInlineEval): as proteções de execução no host ainda estão fazendo o que você acha que estão?
    • security="full" é um aviso amplo de postura, não prova de um bug. É o padrão escolhido para configurações confiáveis de assistente pessoal; restrinja-o apenas quando seu modelo de ameaças precisar de proteções de aprovação ou lista de permissões.
  • Exposição de rede (bind/autenticação do Gateway, Tailscale Serve/Funnel, tokens de autenticação fracos/curtos).
  • Exposição de controle do navegador (nós remotos, portas de relay, endpoints CDP remotos).
  • Higiene do disco local (permissões, symlinks, inclusões de configuração, caminhos de “pasta sincronizada”).
  • Plugins (plugins carregam sem uma lista de permissões explícita).
  • Desvio/má configuração de política (configurações de sandbox Docker definidas, mas modo sandbox desligado; padrões ineficazes de gateway.nodes.denyCommands porque a correspondência é apenas pelo nome exato do comando (por exemplo, system.run) e não inspeciona o texto do shell; entradas perigosas em gateway.nodes.allowCommands; tools.profile="minimal" global sobrescrito por perfis por agente; ferramentas pertencentes a plugins acessíveis sob política permissiva de ferramentas).
  • Desvio de expectativa de runtime (por exemplo, assumir que exec implícito ainda significa sandbox quando tools.exec.host agora usa auto por padrão, ou definir explicitamente tools.exec.host="sandbox" enquanto o modo sandbox está desligado).
  • Higiene de modelo (avisa quando modelos configurados parecem legados; não é um bloqueio rígido).
Se você executar --deep, o OpenClaw também tenta uma sondagem ativa de Gateway com melhor esforço.

Mapa de armazenamento de credenciais

Use isto ao auditar acesso ou decidir o que fazer backup:
  • WhatsApp: ~/.openclaw/credentials/whatsapp/<accountId>/creds.json
  • Token de bot do Telegram: config/env ou channels.telegram.tokenFile (somente arquivo regular; symlinks rejeitados)
  • Token de bot do Discord: config/env ou SecretRef (provedores env/file/exec)
  • Tokens do Slack: config/env (channels.slack.*)
  • Listas de permissões de pareamento:
    • ~/.openclaw/credentials/<channel>-allowFrom.json (conta padrão)
    • ~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json (contas não padrão)
  • Perfis de autenticação de modelo: ~/.openclaw/agents/<agentId>/agent/auth-profiles.json
  • Estado de runtime do Codex: ~/.openclaw/agents/<agentId>/agent/codex-home/
  • Payload de segredos em arquivo (opcional): ~/.openclaw/secrets.json
  • Importação OAuth legada: ~/.openclaw/credentials/oauth.json

Checklist de auditoria de segurança

Quando a auditoria imprimir achados, trate isto como ordem de prioridade:
  1. Qualquer coisa “aberta” + ferramentas habilitadas: restrinja DMs/grupos primeiro (pareamento/listas de permissões), depois restrinja a política de ferramentas/sandboxing.
  2. Exposição de rede pública (bind na LAN, Funnel, autenticação ausente): corrija imediatamente.
  3. Exposição remota de controle do navegador: trate como acesso de operador (somente tailnet, pareie nós deliberadamente, evite exposição pública).
  4. Permissões: garanta que estado/configuração/credenciais/autenticação não possam ser lidos por grupo/todos.
  5. Plugins: carregue apenas o que você confia explicitamente.
  6. Escolha de modelo: prefira modelos modernos e reforçados contra instruções para qualquer bot com ferramentas.

Glossário da auditoria de segurança

Cada achado de auditoria é identificado por um checkId estruturado (por exemplo, gateway.bind_no_auth ou tools.exec.security_full_configured). Classes comuns de severidade crítica:
  • fs.* - permissões de sistema de arquivos em estado, configuração, credenciais, perfis de autenticação.
  • gateway.* - modo de bind, autenticação, Tailscale, Control UI, configuração de proxy confiável.
  • hooks.*, browser.*, sandbox.*, tools.exec.* - reforço por superfície.
  • plugins.*, skills.* - cadeia de suprimento de plugin/skill e achados de varredura.
  • security.exposure.* - verificações transversais onde política de acesso encontra raio de impacto de ferramentas.
Veja o catálogo completo com níveis de severidade, chaves de correção e suporte a correção automática em Verificações de auditoria de segurança.

Control UI sobre HTTP

A Control UI precisa de um contexto seguro (HTTPS ou localhost) para gerar a identidade do dispositivo. gateway.controlUi.allowInsecureAuth é um alternador de compatibilidade local:
  • Em localhost, ele permite autenticação da Control UI sem identidade de dispositivo quando a página é carregada por HTTP não seguro.
  • Ele não contorna verificações de pareamento.
  • Ele não relaxa requisitos de identidade de dispositivo remoto (não localhost).
Prefira HTTPS (Tailscale Serve) ou abra a UI em 127.0.0.1. Apenas para cenários de emergência, gateway.controlUi.dangerouslyDisableDeviceAuth desabilita totalmente as verificações de identidade de dispositivo. Isso é um rebaixamento severo de segurança; mantenha-o desligado, a menos que você esteja depurando ativamente e consiga reverter rapidamente. Separado dessas flags perigosas, gateway.auth.mode: "trusted-proxy" bem-sucedido pode admitir sessões de Control UI de operador sem identidade de dispositivo. Esse é um comportamento intencional do modo de autenticação, não um atalho de allowInsecureAuth, e ainda não se estende a sessões de Control UI com função de nó. openclaw security audit avisa quando essa configuração está habilitada.

Resumo de flags inseguras ou perigosas

openclaw security audit emite config.insecure_or_dangerous_flags quando switches de depuração sabidamente inseguros/perigosos estão habilitados. Mantenha-os não definidos em produção.
  • gateway.controlUi.allowInsecureAuth=true
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true
  • gateway.controlUi.dangerouslyDisableDeviceAuth=true
  • hooks.gmail.allowUnsafeExternalContent=true
  • hooks.mappings[<index>].allowUnsafeExternalContent=true
  • tools.exec.applyPatch.workspaceOnly=false
  • plugins.entries.acpx.config.permissionMode=approve-all
Control UI e navegador:
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
  • gateway.controlUi.dangerouslyDisableDeviceAuth
  • browser.ssrfPolicy.dangerouslyAllowPrivateNetwork
Correspondência de nomes de canais (canais incluídos e de plugin; também disponível por accounts.<accountId> quando aplicável):
  • channels.discord.dangerouslyAllowNameMatching
  • channels.slack.dangerouslyAllowNameMatching
  • channels.googlechat.dangerouslyAllowNameMatching
  • channels.msteams.dangerouslyAllowNameMatching
  • channels.synology-chat.dangerouslyAllowNameMatching (canal de plugin)
  • channels.synology-chat.dangerouslyAllowInheritedWebhookPath (canal de plugin)
  • channels.zalouser.dangerouslyAllowNameMatching (canal de plugin)
  • channels.irc.dangerouslyAllowNameMatching (canal de plugin)
  • channels.mattermost.dangerouslyAllowNameMatching (canal de plugin)
Exposição de rede:
  • channels.telegram.network.dangerouslyAllowPrivateNetwork (também por conta)
Sandbox Docker (padrões + por agente):
  • agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargets
  • agents.defaults.sandbox.docker.dangerouslyAllowExternalBindSources
  • agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin

Configuração de proxy reverso

Se você executar o Gateway atrás de um proxy reverso (nginx, Caddy, Traefik etc.), configure gateway.trustedProxies para o tratamento correto do IP do cliente encaminhado. Quando o Gateway detecta cabeçalhos de proxy de um endereço que não está em trustedProxies, ele não tratará conexões como clientes locais. Se a autenticação do Gateway estiver desabilitada, essas conexões serão rejeitadas. Isso evita desvio de autenticação em que conexões por proxy, de outra forma, pareceriam vir de localhost e receber confiança automática. gateway.trustedProxies também alimenta gateway.auth.mode: "trusted-proxy", mas esse modo de autenticação é mais restrito:
  • a autenticação trusted-proxy falha fechada em proxies de origem loopback por padrão
  • proxies reversos loopback no mesmo host podem usar gateway.trustedProxies para detecção de cliente local e tratamento de IP encaminhado
  • proxies reversos loopback no mesmo host só podem satisfazer gateway.auth.mode: "trusted-proxy" quando gateway.auth.trustedProxy.allowLoopback = true; caso contrário, use autenticação por token/senha
gateway:
  trustedProxies:
    - "10.0.0.1" # reverse proxy IP
  # Optional. Default false.
  # Only enable if your proxy cannot provide X-Forwarded-For.
  allowRealIpFallback: false
  auth:
    mode: password
    password: ${OPENCLAW_GATEWAY_PASSWORD}
Quando trustedProxies está configurado, o Gateway usa X-Forwarded-For para determinar o IP do cliente. X-Real-IP é ignorado por padrão, a menos que gateway.allowRealIpFallback: true seja definido explicitamente. Cabeçalhos de proxy confiável não tornam automaticamente confiável o pareamento de dispositivos de nós. gateway.nodes.pairing.autoApproveCidrs é uma política de operador separada, desabilitada por padrão. Mesmo quando habilitada, caminhos de cabeçalho de trusted-proxy com origem em loopback são excluídos da aprovação automática de nós porque chamadores locais podem falsificar esses cabeçalhos, inclusive quando a autenticação trusted-proxy de loopback está explicitamente habilitada. Bom comportamento de proxy reverso (sobrescrever cabeçalhos de encaminhamento recebidos): 
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;
Mau comportamento de proxy reverso (anexar/preservar cabeçalhos de encaminhamento não confiáveis): 
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

HSTS e notas de origem

  • O gateway do OpenClaw é local/loopback primeiro. Se você terminar TLS em um proxy reverso, defina HSTS no domínio HTTPS voltado ao proxy ali.
  • Se o próprio gateway terminar HTTPS, você pode definir gateway.http.securityHeaders.strictTransportSecurity para emitir o cabeçalho HSTS nas respostas do OpenClaw.
  • A orientação detalhada de implantação está em Autenticação de proxy confiável.
  • Para implantações de Control UI fora de loopback, gateway.controlUi.allowedOrigins é obrigatório por padrão.
  • gateway.controlUi.allowedOrigins: ["*"] é uma política explícita de permitir todas as origens de navegador, não um padrão reforçado. Evite-a fora de testes locais rigidamente controlados.
  • Falhas de autenticação de origem de navegador em loopback ainda têm limite de taxa mesmo quando a isenção geral de loopback está habilitada, mas a chave de bloqueio é escopada por valor normalizado de Origin em vez de um único bucket localhost compartilhado.
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true habilita o modo de fallback de origem por cabeçalho Host; trate-o como uma política perigosa selecionada pelo operador.
  • Trate rebinding de DNS e comportamento de cabeçalho de host de proxy como preocupações de reforço de implantação; mantenha trustedProxies estrito e evite expor o gateway diretamente à internet pública.

Logs de sessão local ficam no disco

OpenClaw armazena transcrições de sessões no disco em ~/.openclaw/agents/<agentId>/sessions/*.jsonl. Isso é necessário para a continuidade da sessão e (opcionalmente) para a indexação da memória da sessão, mas também significa que qualquer processo/usuário com acesso ao sistema de arquivos pode ler esses logs. Trate o acesso ao disco como o limite de confiança e restrinja as permissões em ~/.openclaw (consulte a seção de auditoria abaixo). Se você precisar de isolamento mais forte entre agentes, execute-os em usuários separados do sistema operacional ou em hosts separados.

Execução do Node (system.run)

Se um Node macOS estiver pareado, o Gateway poderá invocar system.run nesse Node. Isso é execução remota de código no Mac:
  • Exige pareamento do Node (aprovação + token).
  • O pareamento de Node do Gateway não é uma superfície de aprovação por comando. Ele estabelece a identidade/confiança do Node e a emissão de tokens.
  • O Gateway aplica uma política global ampla de comandos de Node via gateway.nodes.allowCommands / denyCommands.
  • Controlado no Mac via Settings → Exec approvals (segurança + perguntar + lista de permissões).
  • A política system.run por Node é o próprio arquivo de aprovações de execução do Node (exec.approvals.node.*), que pode ser mais restrito ou mais permissivo que a política global de IDs de comando do Gateway.
  • Um Node executando com security="full" e ask="off" está seguindo o modelo padrão de operador confiável. Trate isso como comportamento esperado, a menos que sua implantação exija explicitamente uma postura mais rígida de aprovação ou lista de permissões.
  • O modo de aprovação vincula o contexto exato da solicitação e, quando possível, um único operando concreto de script/arquivo local. Se o OpenClaw não conseguir identificar exatamente um arquivo local direto para um comando de interpretador/runtime, a execução respaldada por aprovação será negada em vez de prometer cobertura semântica completa.
  • Para host=node, execuções respaldadas por aprovação também armazenam um systemRunPlan preparado canônico; encaminhamentos aprovados posteriores reutilizam esse plano armazenado, e a validação do gateway rejeita edições do chamador no contexto de comando/cwd/sessão depois que a solicitação de aprovação foi criada.
  • Se você não quiser execução remota, defina a segurança como deny e remova o pareamento de Node desse Mac.
Essa distinção importa para triagem:
  • Um Node pareado que se reconecta anunciando uma lista de comandos diferente não é, por si só, uma vulnerabilidade se a política global do Gateway e as aprovações locais de execução do Node ainda impõem o limite real de execução.
  • Relatos que tratam metadados de pareamento de Node como uma segunda camada oculta de aprovação por comando geralmente são confusão de política/UX, não uma evasão de limite de segurança.

Skills dinâmicas (observador / Nodes remotos)

O OpenClaw pode atualizar a lista de Skills no meio da sessão:
  • Observador de Skills: alterações em SKILL.md podem atualizar o instantâneo de Skills no próximo turno do agente.
  • Nodes remotos: conectar um Node macOS pode tornar Skills exclusivas do macOS elegíveis (com base em sondagem de binários).
Trate pastas de Skills como código confiável e restrinja quem pode modificá-las.

O modelo de ameaça

Seu assistente de IA pode:
  • Executar comandos shell arbitrários
  • Ler/gravar arquivos
  • Acessar serviços de rede
  • Enviar mensagens para qualquer pessoa (se você der a ele acesso ao WhatsApp)
Pessoas que enviam mensagens para você podem:
  • Tentar enganar sua IA para fazer coisas ruins
  • Usar engenharia social para obter acesso aos seus dados
  • Investigar detalhes de infraestrutura

Conceito central: controle de acesso antes de inteligência

A maioria das falhas aqui não são explorações sofisticadas - são “alguém enviou mensagem para o bot e o bot fez o que foi pedido.” Postura do OpenClaw:
  • Identidade primeiro: decida quem pode falar com o bot (pareamento por DM / listas de permissões / “open” explícito).
  • Escopo depois: decida onde o bot tem permissão para agir (listas de permissões de grupos + exigência de menção, ferramentas, sandboxing, permissões de dispositivo).
  • Modelo por último: presuma que o modelo pode ser manipulado; projete para que a manipulação tenha raio de impacto limitado.

Modelo de autorização de comandos

Comandos de barra e diretivas só são aceitos para remetentes autorizados. A autorização é derivada de listas de permissões/pareamento do canal mais commands.useAccessGroups (consulte Configuração e Comandos de barra). Se uma lista de permissões de canal estiver vazia ou incluir "*", os comandos estarão efetivamente abertos para esse canal. /exec é uma conveniência somente de sessão para operadores autorizados. Ele não grava configuração nem altera outras sessões.

Risco das ferramentas de plano de controle

Duas ferramentas integradas podem fazer alterações persistentes no plano de controle:
  • gateway pode inspecionar a configuração com config.schema.lookup / config.get, e pode fazer alterações persistentes com config.apply, config.patch e update.run.
  • cron pode criar tarefas agendadas que continuam em execução depois que o chat/tarefa original termina.
A ferramenta runtime gateway exclusiva do proprietário ainda se recusa a reescrever tools.exec.ask ou tools.exec.security; aliases legados tools.bash.* são normalizados para os mesmos caminhos de execução protegidos antes da gravação. Edições de gateway config.apply e gateway config.patch conduzidas por agente falham fechadas por padrão: apenas um conjunto restrito de caminhos de prompt, modelo e exigência de menção é ajustável pelo agente. Novas árvores de configuração sensíveis, portanto, ficam protegidas a menos que sejam deliberadamente adicionadas à lista de permissões. Para qualquer agente/superfície que manipule conteúdo não confiável, negue estes por padrão: 
{
  tools: {
    deny: ["gateway", "cron", "sessions_spawn", "sessions_send"],
  },
}
commands.restart=false bloqueia apenas ações de reinicialização. Ele não desativa ações de configuração/atualização de gateway.

Plugins

Plugins executam no mesmo processo que o Gateway. Trate-os como código confiável:
  • Instale apenas plugins de fontes em que você confia.
  • Prefira listas de permissões explícitas em plugins.allow.
  • Revise a configuração do Plugin antes de habilitar.
  • Reinicie o Gateway após alterações de Plugin.
  • Se você instalar ou atualizar Plugins (openclaw plugins install <package>, openclaw plugins update <id>), trate isso como executar código não confiável:
    • O caminho de instalação é o diretório por Plugin sob a raiz ativa de instalação de Plugin.
    • O OpenClaw executa uma varredura integrada de código perigoso antes de instalar/atualizar. Descobertas critical bloqueiam por padrão.
    • Instalações de Plugins por npm e git executam convergência de dependências do gerenciador de pacotes somente durante o fluxo explícito de instalação/atualização. Caminhos locais e arquivos compactados são tratados como pacotes de Plugin autocontidos; o OpenClaw os copia/referencia sem executar npm install.
    • Prefira versões fixadas e exatas (@scope/pkg@1.2.3) e inspecione o código descompactado no disco antes de habilitar.
    • --dangerously-force-unsafe-install é apenas um mecanismo de emergência para falsos positivos da varredura integrada em fluxos de instalação/atualização de Plugin. Ele não ignora bloqueios de política do hook before_install do Plugin e não ignora falhas de varredura.
    • Instalações de dependências de Skills respaldadas pelo Gateway seguem a mesma divisão perigoso/suspeito: descobertas integradas critical bloqueiam, a menos que o chamador defina explicitamente dangerouslyForceUnsafeInstall, enquanto descobertas suspeitas ainda apenas avisam. openclaw skills install continua sendo o fluxo separado de download/instalação de Skills do ClawHub.
Detalhes: Plugins

Modelo de acesso por DM: pareamento, lista de permissões, aberto, desativado

Todos os canais atuais compatíveis com DM dão suporte a uma política de DM (dmPolicy ou *.dm.policy) que controla DMs recebidas antes que a mensagem seja processada:
  • pairing (padrão): remetentes desconhecidos recebem um código curto de pareamento e o bot ignora a mensagem deles até ser aprovado. Códigos expiram após 1 hora; DMs repetidas não reenviarão um código até que uma nova solicitação seja criada. Solicitações pendentes são limitadas a 3 por canal por padrão.
  • allowlist: remetentes desconhecidos são bloqueados (sem handshake de pareamento).
  • open: permite que qualquer pessoa envie DM (público). Exige que a lista de permissões do canal inclua "*" (adesão explícita).
  • disabled: ignora completamente DMs recebidas.
Aprove via CLI: 
openclaw pairing list <channel>
openclaw pairing approve <channel> <code>
Detalhes + arquivos no disco: Pareamento

Isolamento de sessão de DM (modo multiusuário)

Por padrão, o OpenClaw roteia todas as DMs para a sessão principal para que seu assistente tenha continuidade entre dispositivos e canais. Se várias pessoas puderem enviar DM para o bot (DMs abertas ou uma lista de permissões com várias pessoas), considere isolar sessões de DM: 
{
  session: { dmScope: "per-channel-peer" },
}
Isso impede vazamento de contexto entre usuários enquanto mantém chats em grupo isolados. Este é um limite de contexto de mensagens, não um limite de administrador de host. Se os usuários forem mutuamente adversariais e compartilharem o mesmo host/configuração de Gateway, execute Gateways separados por limite de confiança.

Modo de DM seguro (recomendado)

Trate o trecho acima como modo de DM seguro:
  • Padrão: session.dmScope: "main" (todas as DMs compartilham uma sessão para continuidade).
  • Padrão de onboarding por CLI local: grava session.dmScope: "per-channel-peer" quando não definido (mantém valores explícitos existentes).
  • Modo de DM seguro: session.dmScope: "per-channel-peer" (cada par canal+remetente recebe um contexto de DM isolado).
  • Isolamento de par entre canais: session.dmScope: "per-peer" (cada remetente recebe uma sessão em todos os canais do mesmo tipo).
Se você executar várias contas no mesmo canal, use per-account-channel-peer em vez disso. Se a mesma pessoa entrar em contato com você em vários canais, use session.identityLinks para agrupar essas sessões de DM em uma identidade canônica. Consulte Gerenciamento de sessões e Configuração.

Listas de permissões para DMs e grupos

O OpenClaw tem duas camadas separadas de “quem pode me acionar?”:
  • Lista de permissões de DM (allowFrom / channels.discord.allowFrom / channels.slack.allowFrom; legado: channels.discord.dm.allowFrom, channels.slack.dm.allowFrom): quem tem permissão para falar com o bot em mensagens diretas.
    • Quando dmPolicy="pairing", aprovações são gravadas no armazenamento de lista de permissões de pareamento com escopo de conta em ~/.openclaw/credentials/ (<channel>-allowFrom.json para a conta padrão, <channel>-<accountId>-allowFrom.json para contas não padrão), mescladas com listas de permissões da configuração.
  • Lista de permissões de grupo (específica do canal): de quais grupos/canais/guildas o bot aceitará mensagens.
    • Padrões comuns:
      • channels.whatsapp.groups, channels.telegram.groups, channels.imessage.groups: padrões por grupo como requireMention; quando definido, isso também atua como uma lista de permissões de grupo (inclua "*" para manter o comportamento de permitir tudo).
      • groupPolicy="allowlist" + groupAllowFrom: restringe quem pode acionar o bot dentro de uma sessão de grupo (WhatsApp/Telegram/Signal/iMessage/Microsoft Teams).
      • channels.discord.guilds / channels.slack.channels: listas de permissões por superfície + padrões de menção.
    • Verificações de grupo são executadas nesta ordem: groupPolicy/listas de permissões de grupo primeiro, ativação por menção/resposta em segundo.
    • Responder a uma mensagem do bot (menção implícita) não ignora listas de permissões de remetente como groupAllowFrom.
    • Nota de segurança: trate dmPolicy="open" e groupPolicy="open" como configurações de último recurso. Elas devem ser usadas raramente; prefira pareamento + listas de permissões, a menos que você confie plenamente em todos os membros da sala.
Detalhes: Configuração e Grupos

Injeção de prompt (o que é, por que importa)

Injeção de prompt é quando um invasor cria uma mensagem que manipula o modelo para fazer algo inseguro (“ignore suas instruções”, “despeje seu sistema de arquivos”, “siga este link e execute comandos” etc.). Mesmo com prompts de sistema fortes, injeção de prompt não está resolvida. Proteções de prompt de sistema são apenas orientações flexíveis; a imposição rígida vem da política de ferramentas, aprovações de execução, sandboxing e listas de permissões de canais (e operadores podem desativá-las intencionalmente). O que ajuda na prática:
  • Mantenha DMs recebidas bloqueadas (emparelhamento/listas de permissão).
  • Prefira controle por menções em grupos; evite bots “sempre ativos” em salas públicas.
  • Trate links, anexos e instruções coladas como hostis por padrão.
  • Execute ferramentas sensíveis em um sandbox; mantenha segredos fora do sistema de arquivos acessível pelo agente.
  • Observação: o sandboxing é opcional. Se o modo sandbox estiver desativado, host=auto implícito resolve para o host do gateway. host=sandbox explícito ainda falha fechado porque nenhum runtime de sandbox está disponível. Defina host=gateway se quiser que esse comportamento fique explícito na configuração.
  • Limite ferramentas de alto risco (exec, browser, web_fetch, web_search) a agentes confiáveis ou listas de permissão explícitas.
  • Se você colocar interpretadores na lista de permissão (python, node, ruby, perl, php, lua, osascript), habilite tools.exec.strictInlineEval para que formas de eval inline ainda precisem de aprovação explícita.
  • A análise de aprovação de shell também rejeita formas de expansão de parâmetros POSIX ($VAR, $?, $$, $1, $@, ${…}) dentro de heredocs sem aspas, então um corpo de heredoc na lista de permissão não pode fazer a expansão de shell passar pela revisão da lista de permissão como texto simples. Coloque o terminador do heredoc entre aspas (por exemplo, <<'EOF') para optar por semântica de corpo literal; heredocs sem aspas que teriam variáveis expandidas são rejeitados.
  • A escolha do modelo importa: modelos antigos/menores/legados são significativamente menos robustos contra injeção de prompt e uso indevido de ferramentas. Para agentes com ferramentas habilitadas, use o modelo de geração mais recente, mais forte e reforçado para instruções disponível.
Sinais de alerta a tratar como não confiáveis:
  • “Leia este arquivo/URL e faça exatamente o que ele diz.”
  • “Ignore seu prompt de sistema ou suas regras de segurança.”
  • “Revele suas instruções ocultas ou saídas de ferramentas.”
  • “Cole o conteúdo completo de ~/.openclaw ou dos seus logs.”

Sanitização de tokens especiais em conteúdo externo

O OpenClaw remove literais comuns de tokens especiais de modelos de chat de LLM auto-hospedados do conteúdo externo encapsulado e dos metadados antes que eles cheguem ao modelo. As famílias de marcadores cobertas incluem tokens de função/turno Qwen/ChatML, Llama, Gemma, Mistral, Phi e GPT-OSS. Por quê:
  • Backends compatíveis com OpenAI que ficam na frente de modelos auto-hospedados às vezes preservam tokens especiais que aparecem em texto do usuário, em vez de mascará-los. Um invasor que consiga gravar em conteúdo externo recebido (uma página buscada, o corpo de um email, a saída de uma ferramenta de conteúdo de arquivo) poderia, de outra forma, injetar um limite sintético de função assistant ou system e escapar das proteções de conteúdo encapsulado.
  • A sanitização acontece na camada de encapsulamento de conteúdo externo, então se aplica de forma uniforme a ferramentas de busca/leitura e ao conteúdo recebido de canais, em vez de ser por provedor.
  • Respostas de saída do modelo já têm um sanitizador separado que remove <tool_call>, <function_calls>, <system-reminder>, <previous_response> vazados e estruturas internas semelhantes do runtime das respostas visíveis ao usuário no limite final de entrega do canal. O sanitizador de conteúdo externo é a contraparte de entrada.
Isso não substitui as outras proteções desta página - dmPolicy, listas de permissão, aprovações de exec, sandboxing e contextVisibility ainda fazem o trabalho principal. Ele fecha uma passagem específica na camada do tokenizer contra pilhas auto-hospedadas que encaminham texto do usuário com tokens especiais intactos.

Sinalizadores inseguros de bypass de conteúdo externo

O OpenClaw inclui sinalizadores explícitos de bypass que desabilitam o encapsulamento de segurança de conteúdo externo:
  • hooks.mappings[].allowUnsafeExternalContent
  • hooks.gmail.allowUnsafeExternalContent
  • Campo de payload Cron allowUnsafeExternalContent
Orientação:
  • Mantenha-os indefinidos/falsos em produção.
  • Habilite apenas temporariamente para depuração com escopo bem restrito.
  • Se habilitado, isole esse agente (sandbox + ferramentas mínimas + namespace de sessão dedicado).
Observação de risco sobre hooks:
  • Payloads de hooks são conteúdo não confiável, mesmo quando a entrega vem de sistemas que você controla (conteúdo de email/docs/web pode carregar injeção de prompt).
  • Camadas de modelo fracas aumentam esse risco. Para automação acionada por hooks, prefira camadas de modelos modernos fortes e mantenha a política de ferramentas rígida (tools.profile: "messaging" ou mais restritiva), além de sandboxing quando possível.

Injeção de prompt não exige DMs públicas

Mesmo que só você possa enviar mensagens ao bot, a injeção de prompt ainda pode acontecer por meio de qualquer conteúdo não confiável que o bot leia (resultados de web search/fetch, páginas do browser, emails, docs, anexos, logs/código colados). Em outras palavras: o remetente não é a única superfície de ameaça; o conteúdo em si pode carregar instruções adversariais. Quando ferramentas estão habilitadas, o risco típico é exfiltrar contexto ou disparar chamadas de ferramentas. Reduza o raio de impacto ao:
  • Usar um agente leitor somente leitura ou sem ferramentas para resumir conteúdo não confiável, depois passar o resumo ao seu agente principal.
  • Manter web_search / web_fetch / browser desligados para agentes com ferramentas habilitadas, a menos que sejam necessários.
  • Para entradas de URL do OpenResponses (input_file / input_image), defina gateway.http.endpoints.responses.files.urlAllowlist e gateway.http.endpoints.responses.images.urlAllowlist rigorosas, e mantenha maxUrlParts baixo. Listas de permissão vazias são tratadas como indefinidas; use files.allowUrl: false / images.allowUrl: false se quiser desabilitar completamente a busca de URLs.
  • Para entradas de arquivo do OpenResponses, o texto decodificado de input_file ainda é injetado como conteúdo externo não confiável. Não confie no texto do arquivo só porque o Gateway o decodificou localmente. O bloco injetado ainda carrega marcadores de limite <<<EXTERNAL_UNTRUSTED_CONTENT ...>>> explícitos mais metadados Source: External, embora esse caminho omita o banner mais longo SECURITY NOTICE:.
  • O mesmo encapsulamento baseado em marcadores é aplicado quando a compreensão de mídia extrai texto de documentos anexados antes de anexar esse texto ao prompt de mídia.
  • Habilitar sandboxing e listas de permissão estritas de ferramentas para qualquer agente que toque em entrada não confiável.
  • Manter segredos fora dos prompts; passe-os via env/config no host do gateway.

Backends de LLM auto-hospedados

Backends auto-hospedados compatíveis com OpenAI, como vLLM, SGLang, TGI, LM Studio, ou pilhas de tokenizers personalizadas do Hugging Face podem diferir de provedores hospedados em como tokens especiais de modelos de chat são tratados. Se um backend tokeniza strings literais como <|im_start|>, <|start_header_id|> ou <start_of_turn> como tokens estruturais de modelo de chat dentro do conteúdo do usuário, texto não confiável pode tentar forjar limites de função na camada do tokenizer. O OpenClaw remove literais comuns de tokens especiais de famílias de modelos do conteúdo externo encapsulado antes de despachá-lo para o modelo. Mantenha o encapsulamento de conteúdo externo habilitado e prefira configurações de backend que dividam ou escapem tokens especiais em conteúdo fornecido pelo usuário quando disponíveis. Provedores hospedados, como OpenAI e Anthropic, já aplicam sua própria sanitização do lado da solicitação.

Força do modelo (observação de segurança)

A resistência à injeção de prompt não é uniforme entre camadas de modelos. Modelos menores/mais baratos geralmente são mais suscetíveis a uso indevido de ferramentas e sequestro de instruções, especialmente sob prompts adversariais.
Para agentes com ferramentas habilitadas ou agentes que leem conteúdo não confiável, o risco de injeção de prompt com modelos antigos/menores costuma ser alto demais. Não execute essas cargas de trabalho em camadas de modelo fracas.
Recomendações:
  • Use o modelo de última geração e melhor camada para qualquer bot que possa executar ferramentas ou tocar arquivos/redes.
  • Não use camadas antigas/mais fracas/menores para agentes com ferramentas habilitadas ou caixas de entrada não confiáveis; o risco de injeção de prompt é alto demais.
  • Se você precisar usar um modelo menor, reduza o raio de impacto (ferramentas somente leitura, sandboxing forte, acesso mínimo ao sistema de arquivos, listas de permissão estritas).
  • Ao executar modelos pequenos, habilite sandboxing para todas as sessões e desabilite web_search/web_fetch/browser, a menos que as entradas sejam rigidamente controladas.
  • Para assistentes pessoais apenas de chat, com entrada confiável e sem ferramentas, modelos menores normalmente são aceitáveis.

Raciocínio e saída detalhada em grupos

/reasoning, /verbose e /trace podem expor raciocínio interno, saída de ferramentas ou diagnósticos de plugins que não foram destinados a um canal público. Em contextos de grupo, trate-os como apenas depuração e mantenha-os desligados, a menos que você precise deles explicitamente. Orientação:
  • Mantenha /reasoning, /verbose e /trace desabilitados em salas públicas.
  • Se você os habilitar, faça isso apenas em DMs confiáveis ou salas rigidamente controladas.
  • Lembre-se: saída verbose e trace pode incluir argumentos de ferramentas, URLs, diagnósticos de plugins e dados que o modelo viu.

Exemplos de fortalecimento de configuração

Permissões de arquivo

Mantenha config + estado privados no host do gateway:
  • ~/.openclaw/openclaw.json: 600 (somente leitura/gravação pelo usuário)
  • ~/.openclaw: 700 (somente usuário)
openclaw doctor pode avisar e oferecer restringir essas permissões.

Exposição de rede (bind, porta, firewall)

O Gateway multiplexa WebSocket + HTTP em uma única porta:
  • Padrão: 18789
  • Config/flags/env: gateway.port, --port, OPENCLAW_GATEWAY_PORT
Essa superfície HTTP inclui a UI de Controle e o host de canvas:
  • UI de Controle (ativos SPA) (caminho base padrão /)
  • Host de canvas: /__openclaw__/canvas/ e /__openclaw__/a2ui/ (HTML/JS arbitrário; trate como conteúdo não confiável)
Se você carregar conteúdo de canvas em um navegador normal, trate-o como qualquer outra página web não confiável:
  • Não exponha o host de canvas a redes/usuários não confiáveis.
  • Não faça conteúdo de canvas compartilhar a mesma origem que superfícies web privilegiadas, a menos que você entenda totalmente as implicações.
O modo bind controla onde o Gateway escuta:
  • gateway.bind: "loopback" (padrão): somente clientes locais podem se conectar.
  • Binds que não são loopback ("lan", "tailnet", "custom") expandem a superfície de ataque. Use-os apenas com autenticação do gateway (token/senha compartilhados ou um proxy confiável corretamente configurado) e um firewall real.
Regras práticas:
  • Prefira Tailscale Serve a binds de LAN (o Serve mantém o Gateway em loopback, e o Tailscale cuida do acesso).
  • Se você precisar fazer bind à LAN, aplique firewall à porta para uma lista de permissão restrita de IPs de origem; não faça encaminhamento de porta amplo.
  • Nunca exponha o Gateway sem autenticação em 0.0.0.0.

Publicação de portas Docker com UFW

Se você executa o OpenClaw com Docker em um VPS, lembre-se de que portas de contêiner publicadas (-p HOST:CONTAINER ou ports: do Compose) são roteadas pelas cadeias de encaminhamento do Docker, não apenas pelas regras INPUT do host. Para manter o tráfego Docker alinhado com sua política de firewall, imponha regras em DOCKER-USER (essa cadeia é avaliada antes das regras de aceitação do próprio Docker). Em muitas distros modernas, iptables/ip6tables usam o frontend iptables-nft e ainda aplicam essas regras ao backend nftables. Exemplo mínimo de lista de permissão (IPv4): 
# /etc/ufw/after.rules (append as its own *filter section)
*filter
:DOCKER-USER - [0:0]
-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
-A DOCKER-USER -s 127.0.0.0/8 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 192.168.0.0/16 -j RETURN
-A DOCKER-USER -s 100.64.0.0/10 -j RETURN
-A DOCKER-USER -p tcp --dport 80 -j RETURN
-A DOCKER-USER -p tcp --dport 443 -j RETURN
-A DOCKER-USER -m conntrack --ctstate NEW -j DROP
-A DOCKER-USER -j RETURN
COMMIT
IPv6 tem tabelas separadas. Adicione uma política correspondente em /etc/ufw/after6.rules se o IPv6 do Docker estiver habilitado. Evite codificar nomes de interfaces como eth0 em snippets de documentação. Nomes de interfaces variam entre imagens de VPS (ens3, enp* etc.) e incompatibilidades podem acidentalmente pular sua regra de negação. Validação rápida após recarregar: 
ufw reload
iptables -S DOCKER-USER
ip6tables -S DOCKER-USER
nmap -sT -p 1-65535 <public-ip> --open
As portas externas esperadas devem ser apenas as que você expõe intencionalmente (para a maioria das configurações: SSH + as portas do seu proxy reverso).

Descoberta mDNS/Bonjour

Quando o plugin bonjour incluído está habilitado, o Gateway transmite sua presença via mDNS (_openclaw-gw._tcp na porta 5353) para descoberta de dispositivos locais. No modo completo, isso inclui registros TXT que podem expor detalhes operacionais:
  • cliPath: caminho completo do sistema de arquivos para o binário da CLI (revela o nome de usuário e o local de instalação)
  • sshPort: anuncia a disponibilidade de SSH no host
  • displayName, lanHost: informações de hostname
Consideração de segurança operacional: Transmitir detalhes de infraestrutura facilita o reconhecimento para qualquer pessoa na rede local. Mesmo informações “inofensivas”, como caminhos do sistema de arquivos e disponibilidade de SSH, ajudam invasores a mapear seu ambiente. Recomendações:
  1. Mantenha o Bonjour desativado, a menos que a descoberta em LAN seja necessária. O Bonjour inicia automaticamente em hosts macOS e é opcional em outros lugares; URLs diretas do Gateway, Tailnet, SSH ou DNS-SD de área ampla evitam multicast local.
  2. Modo mínimo (padrão quando o Bonjour está ativado, recomendado para gateways expostos): omite campos sensíveis das transmissões mDNS: 
    {
  discovery: {
    mdns: { mode: "minimal" },
  },
}
  3. Desative o modo mDNS se quiser manter o plugin ativado, mas suprimir a descoberta de dispositivos locais: 
    {
  discovery: {
    mdns: { mode: "off" },
  },
}
  4. Modo completo (opcional): inclui cliPath + sshPort nos registros TXT: 
    {
  discovery: {
    mdns: { mode: "full" },
  },
}
  5. Variável de ambiente (alternativa): defina OPENCLAW_DISABLE_BONJOUR=1 para desativar mDNS sem alterações de configuração.
Quando o Bonjour está ativado no modo mínimo, o Gateway transmite o suficiente para a descoberta de dispositivos (role, gatewayPort, transport), mas omite cliPath e sshPort. Apps que precisam de informações do caminho da CLI podem buscá-las pela conexão WebSocket autenticada.

Bloqueie o WebSocket do Gateway (autenticação local)

A autenticação do Gateway é obrigatória por padrão. Se nenhum caminho válido de autenticação do gateway estiver configurado, o Gateway recusa conexões WebSocket (falha em modo fechado). O onboarding gera um token por padrão (mesmo para loopback) para que clientes locais precisem autenticar. Defina um token para que todos os clientes WS precisem autenticar: 
{
  gateway: {
    auth: { mode: "token", token: "your-token" },
  },
}
O Doctor pode gerar um para você: openclaw doctor --generate-gateway-token.
gateway.remote.token e gateway.remote.password são fontes de credenciais do cliente. Eles não protegem o acesso WS local por si só. Caminhos de chamada locais podem usar gateway.remote.* como fallback somente quando gateway.auth.* não está definido. Se gateway.auth.token ou gateway.auth.password for configurado explicitamente via SecretRef e não for resolvido, a resolução falha em modo fechado (sem mascaramento por fallback remoto).
Opcional: fixe o TLS remoto com gateway.remote.tlsFingerprint ao usar wss://. Texto claro ws:// é apenas para loopback por padrão. Para caminhos de rede privada confiáveis, defina OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1 no processo cliente como medida emergencial. Isso é intencionalmente apenas ambiente de processo, não uma chave de configuração openclaw.json. O pareamento móvel e as rotas de gateway Android manuais ou escaneadas são mais rigorosos: texto claro é aceito para loopback, mas LAN privada, link-local, .local e hostnames sem ponto devem usar TLS, a menos que você opte explicitamente pelo caminho confiável de texto claro em rede privada. Pareamento de dispositivo local:
  • O pareamento de dispositivo é aprovado automaticamente para conexões diretas de local loopback para manter clientes no mesmo host fluidos.
  • O OpenClaw também tem um caminho restrito de autoconexão local de backend/contêiner para fluxos auxiliares confiáveis com segredo compartilhado.
  • Conexões por tailnet e LAN, incluindo binds de tailnet no mesmo host, são tratadas como remotas para pareamento e ainda precisam de aprovação.
  • Evidência de cabeçalho encaminhado em uma solicitação de loopback desqualifica a localidade de loopback. A aprovação automática por upgrade de metadados tem escopo restrito. Veja Pareamento do Gateway para as duas regras.
Modos de autenticação:
  • gateway.auth.mode: "token": token bearer compartilhado (recomendado para a maioria das configurações).
  • gateway.auth.mode: "password": autenticação por senha (prefira definir via env: OPENCLAW_GATEWAY_PASSWORD).
  • gateway.auth.mode: "trusted-proxy": confia em um proxy reverso ciente de identidade para autenticar usuários e passar a identidade via cabeçalhos (veja Autenticação por proxy confiável).
Checklist de rotação (token/senha):
  1. Gere/defina um novo segredo (gateway.auth.token ou OPENCLAW_GATEWAY_PASSWORD).
  2. Reinicie o Gateway (ou reinicie o app macOS se ele supervisiona o Gateway).
  3. Atualize quaisquer clientes remotos (gateway.remote.token / .password em máquinas que chamam o Gateway).
  4. Verifique se você não consegue mais conectar com as credenciais antigas.

Cabeçalhos de identidade do Tailscale Serve

Quando gateway.auth.allowTailscale é true (padrão para Serve), o OpenClaw aceita cabeçalhos de identidade do Tailscale Serve (tailscale-user-login) para autenticação da Control UI/WebSocket. O OpenClaw verifica a identidade resolvendo o endereço x-forwarded-for pelo daemon local do Tailscale (tailscale whois) e comparando-o com o cabeçalho. Isso só é acionado para solicitações que chegam ao loopback e incluem x-forwarded-for, x-forwarded-proto e x-forwarded-host conforme injetados pelo Tailscale. Para esse caminho assíncrono de verificação de identidade, tentativas com falha para o mesmo {scope, ip} são serializadas antes que o limitador registre a falha. Portanto, novas tentativas ruins concorrentes de um cliente Serve podem bloquear a segunda tentativa imediatamente em vez de competir como duas incompatibilidades simples. Endpoints da API HTTP (por exemplo, /v1/*, /tools/invoke e /api/channels/*) não usam autenticação por cabeçalho de identidade do Tailscale. Eles ainda seguem o modo de autenticação HTTP configurado do gateway. Observação importante de limite:
  • A autenticação HTTP bearer do Gateway é efetivamente acesso de operador tudo-ou-nada.
  • Trate credenciais que podem chamar /v1/chat/completions, /v1/responses ou /api/channels/* como segredos de operador com acesso total para esse gateway.
  • Na superfície HTTP compatível com OpenAI, a autenticação bearer por segredo compartilhado restaura os escopos completos padrão de operador (operator.admin, operator.approvals, operator.pairing, operator.read, operator.talk.secrets, operator.write) e a semântica de proprietário para turnos do agente; valores mais restritos de x-openclaw-scopes não reduzem esse caminho de segredo compartilhado.
  • Semânticas de escopo por solicitação em HTTP só se aplicam quando a solicitação vem de um modo com identidade, como autenticação por proxy confiável ou gateway.auth.mode="none" em uma entrada privada.
  • Nesses modos com identidade, omitir x-openclaw-scopes volta para o conjunto normal de escopos padrão de operador; envie o cabeçalho explicitamente quando quiser um conjunto de escopos mais restrito.
  • /tools/invoke segue a mesma regra de segredo compartilhado: autenticação bearer por token/senha também é tratada ali como acesso total de operador, enquanto modos com identidade ainda respeitam escopos declarados.
  • Não compartilhe essas credenciais com chamadores não confiáveis; prefira gateways separados por limite de confiança.
Pressuposto de confiança: a autenticação Serve sem token pressupõe que o host do gateway é confiável. Não trate isso como proteção contra processos hostis no mesmo host. Se código local não confiável puder executar no host do gateway, desative gateway.auth.allowTailscale e exija autenticação explícita por segredo compartilhado com gateway.auth.mode: "token" ou "password". Regra de segurança: não encaminhe esses cabeçalhos do seu próprio proxy reverso. Se você terminar TLS ou usar proxy na frente do gateway, desative gateway.auth.allowTailscale e use autenticação por segredo compartilhado (gateway.auth.mode: "token" ou "password") ou Autenticação por proxy confiável em vez disso. Proxies confiáveis:
  • Se você terminar TLS na frente do Gateway, defina gateway.trustedProxies para os IPs do seu proxy.
  • O OpenClaw confiará em x-forwarded-for (ou x-real-ip) desses IPs para determinar o IP do cliente para verificações de pareamento local e verificações de autenticação HTTP/local.
  • Garanta que seu proxy sobrescreva x-forwarded-for e bloqueie acesso direto à porta do Gateway.
Veja Tailscale e Visão geral da Web.

Controle do navegador via host de nó (recomendado)

Se seu Gateway é remoto, mas o navegador roda em outra máquina, execute um host de nó na máquina do navegador e deixe o Gateway intermediar ações do navegador (veja Ferramenta de navegador). Trate o pareamento de nó como acesso administrativo. Padrão recomendado:
  • Mantenha o Gateway e o host de nó na mesma tailnet (Tailscale).
  • Pareie o nó intencionalmente; desative o roteamento de proxy do navegador se não precisar dele.
Evite:
  • Expor portas de relay/controle por LAN ou Internet pública.
  • Tailscale Funnel para endpoints de controle do navegador (exposição pública).

Segredos em disco

Presuma que qualquer coisa em ~/.openclaw/ (ou $OPENCLAW_STATE_DIR/) possa conter segredos ou dados privados:
  • openclaw.json: a configuração pode incluir tokens (gateway, gateway remoto), configurações de provedor e allowlists.
  • credentials/**: credenciais de canal (exemplo: credenciais do WhatsApp), allowlists de pareamento, importações OAuth legadas.
  • agents/<agentId>/agent/auth-profiles.json: chaves de API, perfis de token, tokens OAuth e keyRef/tokenRef opcionais.
  • agents/<agentId>/agent/codex-home/**: conta do servidor de app Codex por agente, configuração, Skills, plugins, estado nativo da thread e diagnósticos.
  • secrets.json (opcional): payload de segredo baseado em arquivo usado por provedores SecretRef file (secrets.providers).
  • agents/<agentId>/agent/auth.json: arquivo de compatibilidade legado. Entradas estáticas api_key são removidas quando descobertas.
  • agents/<agentId>/sessions/**: transcrições de sessão (*.jsonl) + metadados de roteamento (sessions.json) que podem conter mensagens privadas e saída de ferramentas.
  • pacotes de plugin empacotados: plugins instalados (mais seus node_modules/).
  • sandboxes/**: workspaces de sandbox de ferramentas; podem acumular cópias de arquivos que você lê/escreve dentro do sandbox.
Dicas de proteção:
  • Mantenha permissões restritas (700 em diretórios, 600 em arquivos).
  • Use criptografia de disco inteiro no host do gateway.
  • Prefira uma conta de usuário dedicada do SO para o Gateway se o host for compartilhado.

Arquivos .env do workspace

O OpenClaw carrega arquivos .env locais do workspace para agentes e ferramentas, mas nunca permite que esses arquivos sobrescrevam silenciosamente controles de runtime do gateway.
  • Qualquer chave que começa com OPENCLAW_* é bloqueada em arquivos .env de workspace não confiáveis.
  • Configurações de endpoint de canal para Matrix, Mattermost, IRC e Synology Chat também são bloqueadas de substituições por .env do workspace, para que workspaces clonados não possam redirecionar tráfego de conectores empacotados por configuração de endpoint local. Chaves env de endpoint (como MATRIX_HOMESERVER, MATTERMOST_URL, IRC_HOST, SYNOLOGY_CHAT_INCOMING_URL) devem vir do ambiente de processo do gateway ou de env.shellEnv, não de um .env carregado do workspace.
  • O bloqueio falha em modo fechado: uma nova variável de controle de runtime adicionada em uma versão futura não pode ser herdada de um .env versionado ou fornecido por invasor; a chave é ignorada e o gateway mantém seu próprio valor.
  • Variáveis de ambiente confiáveis do processo/SO (o shell próprio do gateway, unidade launchd/systemd, pacote do app) ainda se aplicam - isso apenas restringe o carregamento de arquivos .env.
Por quê: arquivos .env do workspace frequentemente ficam ao lado do código do agente, são commitados por acidente ou são escritos por ferramentas. Bloquear todo o prefixo OPENCLAW_* significa que adicionar uma nova flag OPENCLAW_* depois nunca pode regredir para herança silenciosa do estado do workspace.

Logs e transcrições (redação e retenção)

Logs e transcrições podem vazar informações sensíveis mesmo quando os controles de acesso estão corretos:
  • Logs do Gateway podem incluir resumos de ferramentas, erros e URLs.
  • Transcrições de sessão podem incluir segredos colados, conteúdo de arquivos, saída de comandos e links.
Recomendações:
  • Mantenha a redação de logs e transcrições ativada (logging.redactSensitive: "tools"; padrão).
  • Adicione padrões personalizados para seu ambiente via logging.redactPatterns (tokens, hostnames, URLs internas).
  • Ao compartilhar diagnósticos, prefira openclaw status --all (colável, segredos redigidos) em vez de logs brutos.
  • Remova transcrições de sessão e arquivos de log antigos se não precisar de retenção longa.
Detalhes: Logging

DMs: pareamento por padrão

{
  channels: { whatsapp: { dmPolicy: "pairing" } },
}

Grupos: exigir menção em todos os lugares

{
  "channels": {
    "whatsapp": {
      "groups": {
        "*": { "requireMention": true }
      }
    }
  },
  "agents": {
    "list": [
      {
        "id": "main",
        "groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] }
      }
    ]
  }
}
Em conversas em grupo, responda apenas quando for mencionado explicitamente.

Números separados (WhatsApp, Signal, Telegram)

Para canais baseados em número de telefone, considere executar sua IA em um número de telefone separado do seu número pessoal:
  • Número pessoal: suas conversas permanecem privadas
  • Número do bot: a IA cuida dessas conversas, com limites apropriados

Modo somente leitura (via sandbox e ferramentas)

Você pode criar um perfil somente leitura combinando:
  • agents.defaults.sandbox.workspaceAccess: "ro" (ou "none" para nenhum acesso ao workspace)
  • listas de permissão/negação de ferramentas que bloqueiam write, edit, apply_patch, exec, process etc.
Opções adicionais de reforço:
  • tools.exec.applyPatch.workspaceOnly: true (padrão): garante que apply_patch não possa gravar/excluir fora do diretório do workspace, mesmo quando o sandbox estiver desativado. Defina como false somente se você quiser intencionalmente que apply_patch toque em arquivos fora do workspace.
  • tools.fs.workspaceOnly: true (opcional): restringe caminhos de read/write/edit/apply_patch e caminhos de carregamento automático de imagens do prompt nativo ao diretório do workspace (útil se você permite caminhos absolutos hoje e quer uma única proteção).
  • Mantenha as raízes do sistema de arquivos restritas: evite raízes amplas, como seu diretório inicial, para workspaces de agentes/sandbox. Raízes amplas podem expor arquivos locais sensíveis (por exemplo, estado/configuração em ~/.openclaw) às ferramentas de sistema de arquivos.

Linha de base segura (copiar/colar)

Uma configuração de “padrão seguro” que mantém o Gateway privado, exige pareamento por DM e evita bots de grupo sempre ativos: 
{
  gateway: {
    mode: "local",
    bind: "loopback",
    port: 18789,
    auth: { mode: "token", token: "your-long-random-token" },
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } },
    },
  },
}
Se você também quiser execução de ferramentas “mais segura por padrão”, adicione um sandbox + negue ferramentas perigosas para qualquer agente que não seja proprietário (exemplo abaixo em “Perfis de acesso por agente”). Linha de base integrada para turnos de agente acionados por chat: remetentes que não são proprietários não podem usar as ferramentas cron ou gateway.

Sandboxing (recomendado)

Documento dedicado: Sandboxing Duas abordagens complementares:
  • Execute o Gateway completo no Docker (limite de contêiner): Docker
  • Sandbox de ferramentas (agents.defaults.sandbox, host gateway + ferramentas isoladas por sandbox; Docker é o backend padrão): Sandboxing
Para impedir acesso entre agentes, mantenha agents.defaults.sandbox.scope como "agent" (padrão) ou "session" para isolamento mais rigoroso por sessão. scope: "shared" usa um único contêiner ou workspace.
Considere também o acesso do agente ao workspace dentro do sandbox:
  • agents.defaults.sandbox.workspaceAccess: "none" (padrão) mantém o workspace do agente fora de alcance; as ferramentas são executadas em um workspace de sandbox em ~/.openclaw/sandboxes
  • agents.defaults.sandbox.workspaceAccess: "ro" monta o workspace do agente como somente leitura em /agent (desativa write/edit/apply_patch)
  • agents.defaults.sandbox.workspaceAccess: "rw" monta o workspace do agente com leitura/gravação em /workspace
  • sandbox.docker.binds extras são validados em relação a caminhos de origem normalizados e canonicalizados. Truques com symlink pai e aliases canônicos de diretório inicial ainda falham fechados se resolverem para raízes bloqueadas, como /etc, /var/run ou diretórios de credenciais sob o diretório inicial do SO.
tools.elevated é a válvula de escape da linha de base global que executa exec fora do sandbox. O host efetivo é gateway por padrão, ou node quando o destino de exec está configurado como node. Mantenha tools.elevated.allowFrom restrito e não o habilite para desconhecidos. Você pode restringir ainda mais o modo elevado por agente via agents.list[].tools.elevated. Consulte Modo elevado.

Proteção para delegação de subagentes

Se você permite ferramentas de sessão, trate execuções delegadas de subagentes como outra decisão de limite:
  • Negue sessions_spawn a menos que o agente realmente precise de delegação.
  • Mantenha agents.defaults.subagents.allowAgents e quaisquer sobrescritas por agente de agents.list[].subagents.allowAgents restritas a agentes de destino reconhecidamente seguros.
  • Para qualquer fluxo de trabalho que deva permanecer em sandbox, chame sessions_spawn com sandbox: "require" (o padrão é inherit).
  • sandbox: "require" falha rapidamente quando o runtime filho de destino não está em sandbox.

Riscos do controle do navegador

Habilitar o controle do navegador dá ao modelo a capacidade de controlar um navegador real. Se esse perfil de navegador já contém sessões autenticadas, o modelo pode acessar essas contas e dados. Trate perfis de navegador como estado sensível:
  • Prefira um perfil dedicado para o agente (o perfil openclaw padrão).
  • Evite apontar o agente para seu perfil pessoal de uso diário.
  • Mantenha o controle de navegador do host desativado para agentes em sandbox, a menos que você confie neles.
  • A API autônoma de controle de navegador por local loopback só respeita autenticação por segredo compartilhado (autenticação bearer por token do gateway ou senha do gateway). Ela não consome cabeçalhos de identidade de proxy confiável ou Tailscale Serve.
  • Trate downloads do navegador como entrada não confiável; prefira um diretório de downloads isolado.
  • Desative sincronização do navegador/gerenciadores de senha no perfil do agente, se possível (reduz o raio de impacto).
  • Para gateways remotos, assuma que “controle do navegador” equivale a “acesso de operador” a tudo que esse perfil puder alcançar.
  • Mantenha o Gateway e hosts node apenas na tailnet; evite expor portas de controle de navegador à LAN ou à Internet pública.
  • Desative o roteamento por proxy do navegador quando não precisar dele (gateway.nodes.browser.mode="off").
  • O modo de sessão existente do Chrome MCP não é “mais seguro”; ele pode agir como você em tudo que esse perfil do Chrome no host puder alcançar.

Política de SSRF do navegador (rigorosa por padrão)

A política de navegação do navegador do OpenClaw é rigorosa por padrão: destinos privados/internos permanecem bloqueados, a menos que você opte explicitamente por permiti-los.
  • Padrão: browser.ssrfPolicy.dangerouslyAllowPrivateNetwork não é definido, portanto a navegação do navegador mantém destinos privados/internos/de uso especial bloqueados.
  • Alias legado: browser.ssrfPolicy.allowPrivateNetwork ainda é aceito para compatibilidade.
  • Modo opt-in: defina browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: true para permitir destinos privados/internos/de uso especial.
  • No modo rigoroso, use hostnameAllowlist (padrões como *.example.com) e allowedHostnames (exceções exatas de host, incluindo nomes bloqueados como localhost) para exceções explícitas.
  • A navegação é verificada antes da solicitação e novamente verificada, em melhor esforço, na URL http(s) final após a navegação para reduzir pivôs baseados em redirecionamento.
Exemplo de política rigorosa: 
{
  browser: {
    ssrfPolicy: {
      dangerouslyAllowPrivateNetwork: false,
      hostnameAllowlist: ["*.example.com", "example.com"],
      allowedHostnames: ["localhost"],
    },
  },
}

Perfis de acesso por agente (multiagente)

Com roteamento multiagente, cada agente pode ter sua própria política de sandbox + ferramentas: use isso para dar acesso total, somente leitura ou sem acesso por agente. Consulte Sandbox e ferramentas multiagente para detalhes completos e regras de precedência. Casos de uso comuns:
  • Agente pessoal: acesso total, sem sandbox
  • Agente de família/trabalho: em sandbox + ferramentas somente leitura
  • Agente público: em sandbox + sem ferramentas de sistema de arquivos/shell

Exemplo: acesso total (sem sandbox)

{
  agents: {
    list: [
      {
        id: "personal",
        workspace: "~/.openclaw/workspace-personal",
        sandbox: { mode: "off" },
      },
    ],
  },
}

Exemplo: ferramentas somente leitura + workspace somente leitura

{
  agents: {
    list: [
      {
        id: "family",
        workspace: "~/.openclaw/workspace-family",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "ro",
        },
        tools: {
          allow: ["read"],
          deny: ["write", "edit", "apply_patch", "exec", "process", "browser"],
        },
      },
    ],
  },
}

Exemplo: sem acesso ao sistema de arquivos/shell (mensagens do provedor permitidas)

{
  agents: {
    list: [
      {
        id: "public",
        workspace: "~/.openclaw/workspace-public",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "none",
        },
        // Session tools can reveal sensitive data from transcripts. By default OpenClaw limits these tools
        // to the current session + spawned subagent sessions, but you can clamp further if needed.
        // See `tools.sessions.visibility` in the configuration reference.
        tools: {
          sessions: { visibility: "tree" }, // self | tree | agent | all
          allow: [
            "sessions_list",
            "sessions_history",
            "sessions_send",
            "sessions_spawn",
            "session_status",
            "whatsapp",
            "telegram",
            "slack",
            "discord",
          ],
          deny: [
            "read",
            "write",
            "edit",
            "apply_patch",
            "exec",
            "process",
            "browser",
            "canvas",
            "nodes",
            "cron",
            "gateway",
            "image",
          ],
        },
      },
    ],
  },
}

Resposta a incidentes

Se sua IA fizer algo ruim:

Conter

  1. Pare-a: pare o aplicativo macOS (se ele supervisiona o Gateway) ou encerre seu processo openclaw gateway.
  2. Feche a exposição: defina gateway.bind: "loopback" (ou desative Tailscale Funnel/Serve) até entender o que aconteceu.
  3. Congele o acesso: altere DMs/grupos arriscados para dmPolicy: "disabled" / exija menções e remova entradas "*" de permitir tudo, se você as tinha.

Rotacionar (assuma comprometimento se segredos vazaram)

  1. Rotacione a autenticação do Gateway (gateway.auth.token / OPENCLAW_GATEWAY_PASSWORD) e reinicie.
  2. Rotacione segredos de clientes remotos (gateway.remote.token / .password) em qualquer máquina que possa chamar o Gateway.
  3. Rotacione credenciais de provedores/API (credenciais do WhatsApp, tokens do Slack/Discord, chaves de modelo/API em auth-profiles.json e valores de payload de segredos criptografados quando usados).

Auditar

  1. Verifique os logs do Gateway: /tmp/openclaw/openclaw-YYYY-MM-DD.log (ou logging.file).
  2. Revise a(s) transcrição(ões) relevante(s): ~/.openclaw/agents/<agentId>/sessions/*.jsonl.
  3. Revise alterações recentes de configuração (qualquer coisa que possa ter ampliado o acesso: gateway.bind, gateway.auth, políticas de DM/grupo, tools.elevated, alterações de Plugin).
  4. Execute novamente openclaw security audit --deep e confirme que os achados críticos foram resolvidos.

Coletar para um relatório

  • Timestamp, SO do host do gateway + versão do OpenClaw
  • A(s) transcrição(ões) da sessão + um trecho curto do final do log (após redigir)
  • O que o invasor enviou + o que o agente fez
  • Se o Gateway foi exposto além do loopback (LAN/Tailscale Funnel/Serve)

Varredura de segredos

A CI executa o hook de pre-commit detect-private-key no repositório. Se ele falhar, remova ou rotacione o material de chave commitado e então reproduza localmente: 
pre-commit run --all-files detect-private-key

Relatar problemas de segurança

Encontrou uma vulnerabilidade no OpenClaw? Relate com responsabilidade:
  1. Email: security@openclaw.ai
  2. Não publique publicamente até que seja corrigida
  3. Daremos crédito a você (a menos que prefira anonimato)