Gateway
Segurança
Primeiro, o escopo: modelo de segurança de assistente pessoal
A orientação de segurança do OpenClaw pressupõe uma implantação de assistente pessoal: um limite de operador confiável, potencialmente muitos agentes.
- Postura de segurança compatível: um usuário/limite de confiança por gateway (prefira um usuário de SO/host/VPS por limite).
- Não é um limite de segurança compatível: um gateway/agente compartilhado usado por usuários mutuamente não confiáveis ou adversariais.
- Se o isolamento de usuários adversariais for necessário, divida por limite de confiança (gateway + credenciais separados e, idealmente, usuários/hosts de SO separados).
- Se vários usuários não confiáveis puderem enviar mensagens para um agente com ferramentas habilitadas, trate-os como se compartilhassem a mesma autoridade delegada de ferramentas desse agente.
Esta página explica o endurecimento dentro desse modelo. Ela não reivindica isolamento multi-inquilino hostil em um gateway compartilhado.
Antes de alterar acesso remoto, política de DM, proxy reverso ou exposição pública, use o runbook de exposição do Gateway como checklist de pré-voo e rollback.
Verificação rápida: openclaw security audit
Veja também: Verificação formal (modelos de segurança)
Execute isto regularmente (especialmente após alterar configuração ou expor superfícies de rede):
openclaw security auditopenclaw security audit --deepopenclaw security audit --fixopenclaw security audit --jsonsecurity audit --fix permanece intencionalmente restrito: ele altera políticas comuns
de grupos abertos para listas de permissões, restaura logging.redactSensitive: "tools", reforça
permissões de estado/configuração/arquivos incluídos e usa redefinições de ACL do Windows em vez de
chmod POSIX quando executado no Windows.
Ele sinaliza armadilhas comuns (exposição de autenticação do Gateway, exposição de controle do navegador, listas de permissões elevadas, permissões do sistema de arquivos, aprovações de exec permissivas e exposição de ferramentas de canais abertos).
O OpenClaw é tanto um produto quanto um experimento: você está conectando comportamento de modelos de fronteira a superfícies reais de mensagens e ferramentas reais. Não existe configuração "perfeitamente segura". O objetivo é ser deliberado sobre:
- quem pode falar com o seu bot
- onde o bot tem permissão para agir
- o que o bot pode tocar
Comece com o menor acesso que ainda funcione, depois amplie conforme ganhar confiança.
Bloqueio de dependências do pacote publicado
Checkouts do código-fonte do OpenClaw usam pnpm-lock.yaml. O pacote npm openclaw
publicado e os pacotes de Plugin npm pertencentes ao OpenClaw incluem npm-shrinkwrap.json,
o lockfile de dependências publicável do npm, para que as instalações de pacotes usem o grafo
de dependências transitivas revisado da versão, em vez de resolver um grafo novo
no momento da instalação.
Shrinkwrap é um limite de endurecimento da cadeia de suprimentos e reprodutibilidade de release, não uma sandbox. Para o modelo em linguagem simples, comandos de mantenedor e verificações de inspeção de pacote, consulte npm shrinkwrap.
Confiança em implantação e host
O OpenClaw pressupõe que o host e o limite de configuração são confiáveis:
- Se alguém puder modificar o estado/configuração do host do Gateway (
~/.openclaw, incluindoopenclaw.json), trate essa pessoa como um operador confiável. - Executar um Gateway para vários operadores mutuamente não confiáveis/adversariais não é uma configuração recomendada.
- Para equipes com confiança mista, divida limites de confiança com gateways separados (ou, no mínimo, usuários/hosts de SO separados).
- Padrão recomendado: um usuário por máquina/host (ou VPS), um gateway para esse usuário e um ou mais agentes nesse gateway.
- Dentro de uma instância de Gateway, o acesso autenticado de operador é uma função de plano de controle confiável, não uma função de tenant por usuário.
- Identificadores de sessão (
sessionKey, IDs de sessão, rótulos) são seletores de roteamento, não tokens de autorização. - Se várias pessoas puderem enviar mensagens para um agente com ferramentas habilitadas, cada uma delas poderá conduzir esse mesmo conjunto de permissões. O isolamento de sessão/memória por usuário ajuda na privacidade, mas não transforma um agente compartilhado em autorização de host por usuário.
Operações seguras de arquivos
O OpenClaw usa @openclaw/fs-safe para acesso a arquivos limitado por raiz, escritas atômicas, extração de arquivos compactados, workspaces temporários e helpers de arquivos secretos. O OpenClaw deixa o helper opcional POSIX Python do fs-safe desativado por padrão; defina OPENCLAW_FS_SAFE_PYTHON_MODE=auto ou require somente quando você quiser o endurecimento extra de mutação relativa a fd e puder oferecer suporte a um runtime Python.
Detalhes: Operações seguras de arquivos.
Workspace Slack compartilhado: risco real
Se "todos no Slack podem enviar mensagens para o bot", o risco central é a autoridade delegada de ferramentas:
- qualquer remetente permitido pode induzir chamadas de ferramentas (
exec, navegador, ferramentas de rede/arquivo) dentro da política do agente; - injeção de prompt/conteúdo de um remetente pode causar ações que afetem estado, dispositivos ou saídas compartilhadas;
- se um agente compartilhado tiver credenciais/arquivos sensíveis, qualquer remetente permitido poderá potencialmente conduzir exfiltração por uso de ferramentas.
Use agentes/gateways separados com ferramentas mínimas para fluxos de trabalho de equipe; mantenha agentes com dados pessoais privados.
Agente compartilhado pela empresa: padrão aceitável
Isto é aceitável quando todos que usam esse agente estão no mesmo limite de confiança (por exemplo, uma equipe de uma empresa) e o agente tem escopo estritamente comercial.
- execute-o em uma máquina/VM/container dedicado;
- use um usuário de SO dedicado + navegador/perfil/contas dedicados para esse runtime;
- não conecte esse runtime a contas pessoais Apple/Google nem a perfis pessoais de gerenciador de senhas/navegador.
Se você misturar identidades pessoais e corporativas no mesmo runtime, a separação deixa de existir e o risco de exposição de dados pessoais aumenta.
Conceito de confiança do Gateway e do Node
Trate Gateway e Node como um único domínio de confiança do operador, com funções diferentes:
- Gateway é o plano de controle e a superfície de política (
gateway.auth, política de ferramentas, roteamento). - Node é a superfície de execução remota pareada a esse Gateway (comandos, ações de dispositivo, capacidades locais do host).
- Um chamador autenticado no Gateway é confiável no escopo do Gateway. Após o pareamento, ações de Node são ações de operador confiáveis nesse Node.
- Níveis de escopo de operador e verificações no momento da aprovação estão resumidos em Escopos de operador.
- Clientes backend de loopback direto autenticados com o token/senha compartilhado do gateway podem fazer RPCs internas do plano de controle sem apresentar uma identidade de dispositivo do usuário. Isto não é um bypass de pareamento remoto ou de navegador: clientes de rede, clientes Node, clientes com token de dispositivo e identidades explícitas de dispositivo ainda passam por pareamento e aplicação de upgrade de escopo.
sessionKeyé seleção de roteamento/contexto, não autenticação por usuário.- Aprovações de exec (
allowlist+ask) são proteções para intenção do operador, não isolamento multi-inquilino hostil. - O padrão de produto do OpenClaw para configurações confiáveis de operador único é que exec no host em
gateway/nodeseja permitido sem prompts de aprovação (security="full",ask="off"a menos que você endureça). Esse padrão é UX intencional, não uma vulnerabilidade por si só. - Aprovações de exec vinculam o contexto exato da solicitação e operandos de arquivos locais diretos de melhor esforço; elas não modelam semanticamente cada caminho de carregador de runtime/interpretador. Use sandboxing e isolamento de host para limites fortes.
Se você precisar de isolamento de usuário hostil, divida limites de confiança por usuário/host de SO e execute gateways separados.
Matriz de limites de confiança
Use isto como modelo rápido ao fazer triagem de risco:
| Limite ou controle | O que significa | Interpretação equivocada comum |
|---|---|---|
gateway.auth (token/password/trusted-proxy/device auth) |
Autentica chamadores nas APIs do gateway | "Precisa de assinaturas por mensagem em cada frame para ser seguro" |
sessionKey |
Chave de roteamento para seleção de contexto/sessão | "Chave de sessão é um limite de autenticação de usuário" |
| Proteções de prompt/conteúdo | Reduzem risco de abuso do modelo | "Injeção de prompt sozinha prova bypass de autenticação" |
canvas.eval / evaluate do navegador |
Capacidade intencional do operador quando habilitada | "Qualquer primitivo JS eval é automaticamente uma vulnerabilidade neste modelo de confiança" |
Shell ! do TUI local |
Execução local explícita acionada pelo operador | "Comando de conveniência de shell local é injeção remota" |
| Pareamento de Node e comandos de Node | Execução remota em nível de operador em dispositivos pareados | "Controle remoto de dispositivo deve ser tratado como acesso de usuário não confiável por padrão" |
gateway.nodes.pairing.autoApproveCidrs |
Política opt-in de inscrição de Node em rede confiável | "Uma lista de permissões desativada por padrão é uma vulnerabilidade automática de pareamento" |
Não são vulnerabilidades por design
Descobertas comuns que estão fora do escopo
Esses padrões são relatados com frequência e normalmente são fechados sem ação, a menos que um bypass real de limite seja demonstrado:
- Cadeias somente de injeção de prompt sem bypass de política, autenticação ou sandbox.
- Alegações que pressupõem operação multi-inquilino hostil em um host ou configuração compartilhada.
- Alegações que classificam acesso normal de operador por caminhos de leitura (por exemplo
sessions.list/sessions.preview/chat.history) como IDOR em uma configuração de gateway compartilhado. - Descobertas de implantação somente em localhost (por exemplo, HSTS em um gateway somente loopback).
- Descobertas de assinatura de webhook inbound do Discord para caminhos inbound que não existem neste repositório.
- Relatórios que tratam metadados de pareamento de Node como uma segunda camada oculta de
aprovação por comando para
system.run, quando o limite real de execução ainda é a política global de comando de Node do gateway mais as próprias aprovações de exec do Node. - Relatórios que tratam
gateway.nodes.pairing.autoApproveCidrsconfigurado como uma vulnerabilidade por si só. Esta configuração é desativada por padrão, exige entradas explícitas de CIDR/IP, aplica-se somente ao primeiro pareamentorole: nodesem escopos solicitados e não aprova automaticamente operador/navegador/Control UI, WebChat, upgrades de função, upgrades de escopo, alterações de metadados, alterações de chave pública ou caminhos de cabeçalho trusted-proxy de loopback no mesmo host, a menos que a autenticação trusted-proxy de loopback tenha sido habilitada explicitamente. - Descobertas de "autorização por usuário ausente" que tratam
sessionKeycomo um token de autenticação.
Linha de base endurecida em 60 segundos
Use esta linha de base primeiro, depois reabilite seletivamente ferramentas por agente confiável:
{ gateway: { mode: "local", bind: "loopback", auth: { mode: "token", token: "replace-with-long-random-token" }, }, session: { dmScope: "per-channel-peer", }, tools: { profile: "messaging", deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"], fs: { workspaceOnly: true }, exec: { security: "deny", ask: "always" }, elevated: { enabled: false }, }, channels: { whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } }, },}Isto mantém o Gateway somente local, isola DMs e desabilita ferramentas de plano de controle/runtime por padrão.
Regra rápida para caixa de entrada compartilhada
Se mais de uma pessoa puder enviar DM para o seu bot:
- Defina
session.dmScope: "per-channel-peer"(ou"per-account-channel-peer"para canais com várias contas). - Mantenha
dmPolicy: "pairing"ou listas de permissões estritas. - Nunca combine DMs compartilhadas com acesso amplo a ferramentas.
- Isso reforça caixas de entrada cooperativas/compartilhadas, mas não foi projetado como isolamento contra cotenentes hostis quando os usuários compartilham acesso de escrita ao host/configuração.
Modelo de visibilidade de contexto
O OpenClaw separa dois conceitos:
- Autorização de disparo: quem pode acionar o agente (
dmPolicy,groupPolicy, listas de permissões, gates de menção). - Visibilidade de contexto: qual contexto suplementar é injetado na entrada do modelo (corpo da resposta, texto citado, histórico da thread, metadados encaminhados).
As listas de permissões controlam disparos e autorização de comandos. A configuração contextVisibility controla como o contexto suplementar (respostas citadas, raízes de thread, histórico obtido) é filtrado:
contextVisibility: "all"(padrão) mantém o contexto suplementar como recebido.contextVisibility: "allowlist"filtra o contexto suplementar para remetentes permitidos pelas verificações ativas da lista de permissões.contextVisibility: "allowlist_quote"se comporta comoallowlist, mas ainda mantém uma resposta citada explícita.
Defina contextVisibility por canal ou por sala/conversa. Consulte Chats em grupo para detalhes de configuração.
Orientação de triagem consultiva:
- Alegações que apenas mostram que "o modelo pode ver texto citado ou histórico de remetentes fora da lista de permissões" são achados de reforço endereçáveis com
contextVisibility, não desvios de autenticação ou de limite de sandbox por si só. - Para terem impacto de segurança, os relatórios ainda precisam demonstrar um desvio de limite de confiança (autenticação, política, sandbox, aprovação ou outro limite documentado).
O que a auditoria verifica (alto nível)
- Acesso de entrada (políticas de DM, políticas de grupo, listas de permissões): estranhos podem acionar o bot?
- Raio de impacto de ferramentas (ferramentas elevadas + salas abertas): injeção de prompt poderia virar ações de shell/arquivo/rede?
- Desvio do sistema de arquivos em exec: ferramentas que alteram o sistema de arquivos são negadas enquanto
exec/processpermanecem disponíveis sem restrições de sistema de arquivos da sandbox? - Desvio de aprovação em exec (
security=full,autoAllowSkills, listas de permissões de interpretador semstrictInlineEval): as proteções de execução no host ainda fazem o que você acha que fazem?security="full"é um aviso amplo de postura, não prova de bug. É o padrão escolhido para configurações confiáveis de assistente pessoal; torne-o mais restrito somente quando seu modelo de ameaça precisar de proteções de aprovação ou lista de permissões.
- Exposição de rede (bind/autenticação do Gateway, Tailscale Serve/Funnel, tokens de autenticação fracos/curtos).
- Exposição de controle do navegador (nós remotos, portas de relay, endpoints CDP remotos).
- Higiene do disco local (permissões, symlinks, includes de configuração, caminhos de "pasta sincronizada").
- Plugins (Plugins carregam sem uma lista de permissões explícita).
- Desvio de política/configuração incorreta (configurações de docker da sandbox configuradas, mas modo sandbox desativado; padrões ineficazes de
gateway.nodes.denyCommandsporque a correspondência é apenas pelo nome exato do comando (por exemplo,system.run) e não inspeciona texto de shell; entradas perigosas degateway.nodes.allowCommands;tools.profile="minimal"global sobrescrito por perfis por agente; ferramentas pertencentes a Plugins acessíveis sob política permissiva de ferramentas). - Desvio de expectativa de runtime (por exemplo, presumir que exec implícito ainda significa
sandboxquandotools.exec.hostagora usaautocomo padrão, ou definir explicitamentetools.exec.host="sandbox"enquanto o modo sandbox está desativado). - Higiene de modelo (avisa quando modelos configurados parecem legados; não é um bloqueio rígido).
Se você executar --deep, o OpenClaw também tenta uma sondagem live de melhor esforço do Gateway.
Mapa de armazenamento de credenciais
Use isto ao auditar acesso ou decidir o que fazer backup:
- WhatsApp:
~/.openclaw/credentials/whatsapp/<accountId>/creds.json - Token de bot do Telegram: config/env ou
channels.telegram.tokenFile(apenas arquivo regular; symlinks rejeitados) - Token de bot do Discord: config/env ou SecretRef (provedores env/file/exec)
- Tokens do Slack: config/env (
channels.slack.*) - Listas de permissões de pareamento:
~/.openclaw/credentials/<channel>-allowFrom.json(conta padrão)~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json(contas não padrão)
- Perfis de autenticação de modelo:
~/.openclaw/agents/<agentId>/agent/auth-profiles.json - Estado de runtime do Codex (padrão):
~/.openclaw/agents/<agentId>/agent/codex-home/ - Estado de runtime compartilhado do Codex (opt-in):
$CODEX_HOMEou~/.codexquandoplugins.entries.codex.config.appServer.homeScopeé"user". Este modo usa a conta, configuração, Plugins e armazenamento de threads nativos do Codex; habilite-o somente para um Gateway local controlado pelo proprietário. Consulte Harness do Codex. - Payload de segredos baseado em arquivo (opcional):
~/.openclaw/secrets.json - Importação OAuth legada:
~/.openclaw/credentials/oauth.json
Checklist de auditoria de segurança
Quando a auditoria imprimir achados, trate isto como uma ordem de prioridade:
- Qualquer coisa "aberta" + ferramentas habilitadas: bloqueie DMs/grupos primeiro (pareamento/listas de permissões), depois restrinja a política de ferramentas/sandboxing.
- Exposição de rede pública (bind de LAN, Funnel, autenticação ausente): corrija imediatamente.
- Exposição remota de controle do navegador: trate como acesso de operador (somente tailnet, pareie nós deliberadamente, evite exposição pública).
- Permissões: garanta que estado/configuração/credenciais/autenticação não sejam legíveis por grupo/mundo.
- Plugins: carregue apenas o que você confia explicitamente.
- Escolha de modelo: prefira modelos modernos e endurecidos para instruções para qualquer bot com ferramentas.
Glossário de auditoria de segurança
Cada achado de auditoria é identificado por um checkId estruturado (por exemplo
gateway.bind_no_auth ou tools.exec.security_full_configured). Classes comuns
de gravidade crítica:
fs.*- permissões do sistema de arquivos em estado, configuração, credenciais, perfis de autenticação.gateway.*- modo de bind, autenticação, Tailscale, Control UI, configuração de proxy confiável.hooks.*,browser.*,sandbox.*,tools.exec.*- reforço por superfície.plugins.*,skills.*- cadeia de suprimentos de Plugin/skill e achados de varredura.security.exposure.*- verificações transversais em que a política de acesso encontra o raio de impacto de ferramentas.
Consulte o catálogo completo com níveis de gravidade, chaves de correção e suporte a correção automática em Verificações de auditoria de segurança.
Control UI sobre HTTP
A Control UI precisa de um contexto seguro (HTTPS ou localhost) para gerar identidade
de dispositivo. gateway.controlUi.allowInsecureAuth é um alternador de compatibilidade local:
- Em localhost, ele permite autenticação da Control UI sem identidade de dispositivo quando a página é carregada por HTTP não seguro.
- Ele não contorna verificações de pareamento.
- Ele não relaxa os requisitos de identidade de dispositivo remota (não localhost).
Prefira HTTPS (Tailscale Serve) ou abra a UI em 127.0.0.1.
Somente para cenários de emergência, gateway.controlUi.dangerouslyDisableDeviceAuth
desativa totalmente as verificações de identidade de dispositivo. Isto é um rebaixamento severo de segurança;
mantenha desativado, a menos que você esteja depurando ativamente e possa reverter rapidamente.
Separado dessas flags perigosas, gateway.auth.mode: "trusted-proxy" bem-sucedido
pode admitir sessões de Control UI de operador sem identidade de dispositivo. Esse é um
comportamento intencional do modo de autenticação, não um atalho de allowInsecureAuth, e ainda
não se estende a sessões de Control UI com papel de nó.
openclaw security audit avisa quando esta configuração está habilitada.
Resumo de flags inseguras ou perigosas
openclaw security audit levanta config.insecure_or_dangerous_flags quando
switches de depuração inseguros/perigosos conhecidos estão habilitados. Mantenha-os não definidos em
produção. Cada flag habilitada é relatada como seu próprio achado. Se supressões de auditoria
estiverem configuradas, security.audit.suppressions.active permanece na saída de auditoria
ativa mesmo quando achados correspondentes passam para suppressedFindings.
Flags rastreadas pela auditoria hoje
gateway.controlUi.allowInsecureAuth=truegateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=truegateway.controlUi.dangerouslyDisableDeviceAuth=truesecurity.audit.suppressions configured (<count>)hooks.gmail.allowUnsafeExternalContent=truehooks.mappings[<index>].allowUnsafeExternalContent=truetools.exec.applyPatch.workspaceOnly=falseplugins.entries.acpx.config.permissionMode=approve-all
Todas as chaves `dangerous*` / `dangerously*` no schema de configuração
Control UI e navegador:
gateway.controlUi.dangerouslyAllowHostHeaderOriginFallbackgateway.controlUi.dangerouslyDisableDeviceAuthbrowser.ssrfPolicy.dangerouslyAllowPrivateNetwork
Correspondência por nome de canal (canais empacotados e de Plugin; também disponível por
accounts.<accountId> quando aplicável):
channels.discord.dangerouslyAllowNameMatchingchannels.slack.dangerouslyAllowNameMatchingchannels.googlechat.dangerouslyAllowNameMatchingchannels.msteams.dangerouslyAllowNameMatchingchannels.synology-chat.dangerouslyAllowNameMatching(canal de Plugin)channels.synology-chat.dangerouslyAllowInheritedWebhookPath(canal de Plugin)channels.zalouser.dangerouslyAllowNameMatching(canal de Plugin)channels.irc.dangerouslyAllowNameMatching(canal de Plugin)channels.mattermost.dangerouslyAllowNameMatching(canal de Plugin)
Exposição de rede:
channels.telegram.network.dangerouslyAllowPrivateNetwork(também por conta)
Sandbox Docker (padrões + por agente):
agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargetsagents.defaults.sandbox.docker.dangerouslyAllowExternalBindSourcesagents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin
Configuração de proxy reverso
Se você executar o Gateway atrás de um proxy reverso (nginx, Caddy, Traefik etc.), configure
gateway.trustedProxies para tratamento adequado do IP de cliente encaminhado.
Quando o Gateway detecta cabeçalhos de proxy de um endereço que não está em trustedProxies, ele não tratará conexões como clientes locais. Se a autenticação do gateway estiver desativada, essas conexões serão rejeitadas. Isso impede bypass de autenticação em que conexões proxied caso contrário pareceriam vir de localhost e receber confiança automática.
gateway.trustedProxies também alimenta gateway.auth.mode: "trusted-proxy", mas esse modo de autenticação é mais rigoroso:
- autenticação trusted-proxy falha fechada em proxies com origem em loopback por padrão
- proxies reversos de loopback no mesmo host podem usar
gateway.trustedProxiespara detecção de cliente local e tratamento de IP encaminhado - proxies reversos de loopback no mesmo host podem satisfazer
gateway.auth.mode: "trusted-proxy"somente quandogateway.auth.trustedProxy.allowLoopback = true; caso contrário, use autenticação por token/senha
gateway: trustedProxies: - "10.0.0.1" # reverse proxy IP # Optional. Default false. # Only enable if your proxy cannot provide X-Forwarded-For. allowRealIpFallback: false auth: mode: password password: ${OPENCLAW_GATEWAY_PASSWORD}Quando trustedProxies está configurado, o Gateway usa X-Forwarded-For para determinar o IP do cliente. X-Real-IP é ignorado por padrão, a menos que gateway.allowRealIpFallback: true seja definido explicitamente.
Cabeçalhos de proxy confiável não tornam o pareamento de dispositivos de nó automaticamente confiável.
gateway.nodes.pairing.autoApproveCidrs é uma política de operador separada, desativada por padrão.
Mesmo quando habilitados, caminhos de cabeçalho de trusted-proxy com origem em loopback
são excluídos da aprovação automática de nós porque chamadores locais podem falsificar esses
cabeçalhos, inclusive quando a autenticação trusted-proxy de loopback está explicitamente habilitada.
Bom comportamento de proxy reverso (sobrescrever cabeçalhos de encaminhamento recebidos):
proxy_set_header X-Forwarded-For $remote_addr;proxy_set_header X-Real-IP $remote_addr;Mau comportamento de proxy reverso (anexar/preservar cabeçalhos de encaminhamento não confiáveis):
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;Observações de HSTS e origem
- O gateway do OpenClaw é local/loopback primeiro. Se você encerrar TLS em um proxy reverso, defina HSTS ali no domínio HTTPS voltado para o proxy.
- Se o próprio gateway encerrar HTTPS, você pode definir
gateway.http.securityHeaders.strictTransportSecuritypara emitir o cabeçalho HSTS nas respostas do OpenClaw. - A orientação detalhada de implantação está em Autenticação de Proxy Confiável.
- Para implantações não loopback da Control UI,
gateway.controlUi.allowedOriginsé obrigatório por padrão. gateway.controlUi.allowedOrigins: ["*"]é uma política explícita de permitir todas as origens de navegador, não um padrão reforçado. Evite isso fora de testes locais rigidamente controlados.- Falhas de autenticação de origem de navegador em loopback ainda têm limite de taxa mesmo quando a
isenção geral de loopback está habilitada, mas a chave de bloqueio tem escopo por
valor
Originnormalizado em vez de um único bucket localhost compartilhado. gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=truehabilita o modo de fallback de origem por cabeçalho Host; trate isso como uma política perigosa selecionada pelo operador.- Trate DNS rebinding e comportamento de cabeçalho host de proxy como preocupações de reforço de implantação; mantenha
trustedProxiesrestrito e evite expor o gateway diretamente à internet pública.
Logs de sessão locais ficam no disco
O OpenClaw armazena transcrições de sessão no disco em ~/.openclaw/agents/<agentId>/sessions/*.jsonl.
Isso é necessário para continuidade da sessão e (opcionalmente) indexação de memória da sessão, mas também significa que
qualquer processo/usuário com acesso ao sistema de arquivos pode ler esses logs. Trate o acesso ao disco como o limite de confiança
e restrinja as permissões em ~/.openclaw (veja a seção de auditoria abaixo). Se você precisar de
isolamento mais forte entre agentes, execute-os em usuários separados do sistema operacional ou em hosts separados.
Execução em Node (system.run)
Se um nó macOS estiver pareado, o Gateway pode invocar system.run nesse nó. Isso é execução remota de código no Mac:
- Exige pareamento do nó (aprovação + token).
- O pareamento de nós do Gateway não é uma superfície de aprovação por comando. Ele estabelece identidade/confiança do nó e emissão de token.
- O Gateway aplica uma política global ampla de comandos de nó via
gateway.nodes.allowCommands/denyCommands. - Controlado no Mac via Settings → Exec approvals (segurança + perguntar + lista de permissões).
- A política
system.runpor nó é o arquivo próprio de aprovações de execução do nó (exec.approvals.node.*), que pode ser mais restrito ou mais permissivo do que a política global de IDs de comando do gateway. - Um nó executando com
security="full"eask="off"está seguindo o modelo padrão de operador confiável. Trate isso como comportamento esperado, a menos que sua implantação exija explicitamente uma postura de aprovação ou lista de permissões mais rígida. - O modo de aprovação vincula o contexto exato da solicitação e, quando possível, um operando concreto de script/arquivo local. Se o OpenClaw não conseguir identificar exatamente um arquivo local direto para um comando de interpretador/runtime, a execução baseada em aprovação será negada em vez de prometer cobertura semântica completa.
- Para
host=node, execuções baseadas em aprovação também armazenam umsystemRunPlanpreparado canônico; encaminhamentos aprovados posteriores reutilizam esse plano armazenado, e a validação do gateway rejeita edições do chamador no contexto de comando/cwd/sessão depois que a solicitação de aprovação foi criada. - Se você não quiser execução remota, defina a segurança como deny e remova o pareamento do nó desse Mac.
Essa distinção importa para triagem:
- Um nó pareado que se reconecta anunciando uma lista de comandos diferente não é, por si só, uma vulnerabilidade se a política global do Gateway e as aprovações locais de execução do nó ainda impõem o limite real de execução.
- Relatórios que tratam metadados de pareamento de nó como uma segunda camada oculta de aprovação por comando geralmente são confusão de política/UX, não uma violação de limite de segurança.
Skills dinâmicas (observador / nós remotos)
O OpenClaw pode atualizar a lista de Skills no meio da sessão:
- Observador de Skills: alterações em
SKILL.mdpodem atualizar o snapshot de Skills no próximo turno do agente. - Nós remotos: conectar um nó macOS pode tornar Skills exclusivas do macOS elegíveis (com base em sondagem de binários).
Trate pastas de Skills como código confiável e restrinja quem pode modificá-las.
O modelo de ameaça
Seu assistente de IA pode:
- Executar comandos shell arbitrários
- Ler/gravar arquivos
- Acessar serviços de rede
- Enviar mensagens para qualquer pessoa (se você der acesso ao WhatsApp)
Pessoas que enviam mensagens para você podem:
- Tentar enganar sua IA para fazer coisas ruins
- Usar engenharia social para acessar seus dados
- Sondar detalhes de infraestrutura
Conceito central: controle de acesso antes da inteligência
A maioria das falhas aqui não são exploits sofisticados - são "alguém enviou mensagem para o bot e o bot fez o que pediram."
A postura do OpenClaw:
- Identidade primeiro: decida quem pode falar com o bot (pareamento por DM / listas de permissões / "open" explícito).
- Escopo depois: decida onde o bot tem permissão para agir (listas de permissões de grupos + exigência de menção, ferramentas, sandboxing, permissões de dispositivo).
- Modelo por último: assuma que o modelo pode ser manipulado; projete para que a manipulação tenha raio de impacto limitado.
Modelo de autorização de comandos
Comandos de barra e diretivas só são respeitados para remetentes autorizados. A autorização é derivada de
listas de permissões/pareamento do canal mais commands.useAccessGroups (veja Configuração
e Comandos de barra). Se uma lista de permissões de canal estiver vazia ou incluir "*",
os comandos ficam efetivamente abertos para esse canal.
/exec é uma conveniência apenas de sessão para operadores autorizados. Ele não grava configuração nem
altera outras sessões.
Risco das ferramentas do plano de controle
Duas ferramentas integradas podem fazer alterações persistentes no plano de controle:
gatewaypode inspecionar a configuração comconfig.schema.lookup/config.get, e pode fazer alterações persistentes comconfig.apply,config.patcheupdate.run.cronpode criar tarefas agendadas que continuam executando depois que o chat/tarefa original termina.
A ferramenta runtime gateway voltada para o agente ainda se recusa a reescrever
tools.exec.ask ou tools.exec.security; aliases legados tools.bash.* são
normalizados para os mesmos caminhos protegidos de execução antes da gravação.
Edições gateway config.apply e gateway config.patch conduzidas por agente são
fail-closed por padrão: apenas um conjunto restrito de ajustes de runtime de baixo risco,
exigência de menção e caminhos de resposta visível são ajustáveis pelo agente. Padrões globais de modelo
e sobreposições de prompt permanecem controlados pelo operador. Novas árvores de configuração sensíveis ficam,
portanto, protegidas, a menos que sejam deliberadamente adicionadas à lista de permissões.
Para qualquer agente/superfície que lide com conteúdo não confiável, negue estes por padrão:
{ tools: { deny: ["gateway", "cron", "sessions_spawn", "sessions_send"], },}commands.restart=false bloqueia apenas ações de reinicialização. Ele não desabilita ações de configuração/atualização do gateway.
Plugins
Plugins executam no mesmo processo que o Gateway. Trate-os como código confiável:
- Instale plugins apenas de fontes em que você confia.
- Prefira listas de permissões explícitas
plugins.allow. - Revise a configuração do plugin antes de habilitar.
- Reinicie o Gateway após alterações em plugins.
- Se você instalar ou atualizar plugins (
openclaw plugins install <package>,openclaw plugins update <id>), trate isso como executar código não confiável:- O caminho de instalação é o diretório por plugin sob a raiz ativa de instalação de plugins.
- O OpenClaw não executa bloqueio local integrado de código perigoso durante instalação/atualização. Use
security.installPolicypara decisões locais de permitir/bloquear pertencentes ao operador eopenclaw security audit --deeppara varredura diagnóstica. - Instalações de plugins por npm e git executam convergência de dependências do gerenciador de pacotes apenas durante o fluxo explícito de instalação/atualização. Caminhos locais e arquivos compactados são tratados como pacotes de plugin autocontidos; o OpenClaw os copia/referencia sem executar
npm install. - Prefira versões fixadas e exatas (
@scope/pkg@1.2.3) e inspecione o código descompactado no disco antes de habilitar. --dangerously-force-unsafe-installestá obsoleto e não altera mais o comportamento de instalação/atualização de plugins.- Configure
security.installPolicyquando operadores precisarem de um comando local confiável para tomar decisões de permitir/bloquear específicas do host para instalações de Skills e plugins. Essa política é executada depois que o material de origem é preparado, mas antes que a instalação continue, aplica-se também a Skills do ClawHub e não é contornada por flags inseguras obsoletas.
Detalhes: Plugins
Modelo de acesso por DM: pareamento, lista de permissões, aberto, desabilitado
Todos os canais atuais com suporte a DM aceitam uma política de DM (dmPolicy ou *.dm.policy) que controla DMs recebidas antes de a mensagem ser processada:
pairing(padrão): remetentes desconhecidos recebem um código curto de pareamento e o bot ignora a mensagem deles até a aprovação. Os códigos expiram após 1 hora; DMs repetidas não reenviarão um código até que uma nova solicitação seja criada. Solicitações pendentes são limitadas a 3 por canal por padrão.allowlist: remetentes desconhecidos são bloqueados (sem handshake de pareamento).open: permite que qualquer pessoa envie DM (público). Exige que a lista de permissões do canal inclua"*"(adesão explícita).disabled: ignora completamente DMs recebidas.
Aprove via CLI:
openclaw pairing list <channel>openclaw pairing approve <channel> <code>Detalhes + arquivos no disco: Pareamento
Isolamento de sessão de DM (modo multiusuário)
Por padrão, o OpenClaw roteia todas as DMs para a sessão principal para que seu assistente tenha continuidade entre dispositivos e canais. Se várias pessoas puderem enviar DM para o bot (DMs abertas ou uma lista de permissões com várias pessoas), considere isolar sessões de DM:
{ session: { dmScope: "per-channel-peer" },}Isso evita vazamento de contexto entre usuários enquanto mantém chats em grupo isolados.
Este é um limite de contexto de mensagens, não um limite de administrador do host. Se usuários forem mutuamente adversariais e compartilharem o mesmo host/configuração do Gateway, execute gateways separados por limite de confiança.
Modo DM seguro (recomendado)
Trate o trecho acima como modo DM seguro:
- Padrão:
session.dmScope: "main"(todas as DMs compartilham uma sessão para continuidade). - Padrão de onboarding local da CLI: grava
session.dmScope: "per-channel-peer"quando indefinido (mantém valores explícitos existentes). - Modo DM seguro:
session.dmScope: "per-channel-peer"(cada par canal+remetente recebe um contexto de DM isolado). - Isolamento de pares entre canais:
session.dmScope: "per-peer"(cada remetente recebe uma sessão em todos os canais do mesmo tipo).
Se você executa várias contas no mesmo canal, use per-account-channel-peer em vez disso. Se a mesma pessoa entrar em contato com você em vários canais, use session.identityLinks para colapsar essas sessões de DM em uma identidade canônica. Veja Gerenciamento de Sessão e Configuração.
Listas de permissões para DMs e grupos
O OpenClaw tem duas camadas separadas de "quem pode me acionar?":
- Lista de permissões de DMs (
allowFrom/channels.discord.allowFrom/channels.slack.allowFrom; legado:channels.discord.dm.allowFrom,channels.slack.dm.allowFrom): quem tem permissão para falar com o bot em mensagens diretas.- Quando
dmPolicy="pairing", as aprovações são gravadas no armazenamento de lista de permissões de pareamento com escopo de conta em~/.openclaw/credentials/(<channel>-allowFrom.jsonpara a conta padrão,<channel>-<accountId>-allowFrom.jsonpara contas não padrão), mescladas com as listas de permissões da configuração.
- Quando
- Lista de permissões de grupos (específica do canal): de quais grupos/canais/guildas o bot aceitará mensagens.
- Padrões comuns:
channels.whatsapp.groups,channels.telegram.groups,channels.imessage.groups: padrões por grupo comorequireMention; quando definido, também atua como uma lista de permissões de grupos (inclua"*"para manter o comportamento de permitir todos).groupPolicy="allowlist"+groupAllowFrom: restringe quem pode acionar o bot dentro de uma sessão de grupo (WhatsApp/Telegram/Signal/iMessage/Microsoft Teams).channels.discord.guilds/channels.slack.channels: listas de permissões por superfície + padrões de menção.
- As verificações de grupo são executadas nesta ordem:
groupPolicy/listas de permissões de grupos primeiro, ativação por menção/resposta em segundo. - Responder a uma mensagem do bot (menção implícita) não contorna listas de permissões de remetente como
groupAllowFrom. - Observação de segurança: trate
dmPolicy="open"egroupPolicy="open"como configurações de último recurso. Elas devem ser usadas raramente; prefira pareamento + listas de permissões, a menos que você confie plenamente em todos os membros da sala.
- Padrões comuns:
Detalhes: Configuração e Grupos
Injeção de prompt (o que é, por que importa)
Injeção de prompt é quando um invasor cria uma mensagem que manipula o modelo para fazer algo inseguro ("ignore suas instruções", "despeje seu sistema de arquivos", "siga este link e execute comandos" etc.).
Mesmo com prompts de sistema fortes, injeção de prompt não está resolvida. Barreiras de proteção no prompt de sistema são apenas orientação flexível; a aplicação rígida vem de política de ferramentas, aprovações de execução, sandboxing e listas de permissões de canais (e operadores podem desativar isso por design). O que ajuda na prática:
- Mantenha DMs de entrada bloqueadas (pareamento/listas de permissões).
- Prefira exigir menção em grupos; evite bots "sempre ativos" em salas públicas.
- Trate links, anexos e instruções coladas como hostis por padrão.
- Execute ferramentas sensíveis em um sandbox; mantenha segredos fora do sistema de arquivos acessível pelo agente.
- Observação: sandboxing é opcional. Se o modo sandbox estiver desligado,
host=autoimplícito resolve para o host do Gateway.host=sandboxexplícito ainda falha fechado porque nenhum runtime de sandbox está disponível. Definahost=gatewayse você quiser que esse comportamento fique explícito na configuração. - Limite ferramentas de alto risco (
exec,browser,web_fetch,web_search) a agentes confiáveis ou listas de permissões explícitas. - Se você colocar interpretadores em lista de permissões (
python,node,ruby,perl,php,lua,osascript), habilitetools.exec.strictInlineEvalpara que formas de avaliação inline ainda precisem de aprovação explícita. - A análise de aprovação de shell também rejeita formas de expansão de parâmetro POSIX (
$VAR,$?,$$,$1,$@,${…}) dentro de heredocs sem aspas, de modo que um corpo de heredoc em lista de permissões não possa fazer expansão de shell passar pela revisão da lista de permissões como texto simples. Coloque o terminador do heredoc entre aspas (por exemplo,<<'EOF') para optar por semântica de corpo literal; heredocs sem aspas que expandiriam variáveis são rejeitados. - A escolha do modelo importa: modelos mais antigos/menores/legados são significativamente menos robustos contra injeção de prompt e uso indevido de ferramentas. Para agentes com ferramentas habilitadas, use o modelo mais forte de geração mais recente, reforçado para seguir instruções, que estiver disponível.
Sinais de alerta a tratar como não confiáveis:
- "Leia este arquivo/URL e faça exatamente o que ele diz."
- "Ignore seu prompt de sistema ou regras de segurança."
- "Revele suas instruções ocultas ou saídas de ferramentas."
- "Cole o conteúdo completo de ~/.openclaw ou dos seus logs."
Sanitização de tokens especiais em conteúdo externo
O OpenClaw remove literais comuns de tokens especiais de modelos de chat LLM auto-hospedados do conteúdo externo encapsulado e dos metadados antes que eles cheguem ao modelo. As famílias de marcadores cobertas incluem tokens de função/turno Qwen/ChatML, Llama, Gemma, Mistral, Phi e GPT-OSS.
Por quê:
- Backends compatíveis com OpenAI que ficam à frente de modelos auto-hospedados às vezes preservam tokens especiais que aparecem no texto do usuário, em vez de mascará-los. Um invasor que consiga escrever em conteúdo externo de entrada (uma página buscada, o corpo de um email, uma saída de ferramenta de conteúdo de arquivo) poderia, caso contrário, injetar um limite sintético de função
assistantousysteme escapar das barreiras de proteção do conteúdo encapsulado. - A sanitização acontece na camada de encapsulamento de conteúdo externo, então se aplica uniformemente a ferramentas de busca/leitura e a conteúdo de canal de entrada, em vez de ser por provedor.
- Respostas de modelo de saída já têm um sanitizador separado que remove
<tool_call>,<function_calls>,<system-reminder>,<previous_response>e estruturas internas semelhantes do runtime vazadas das respostas visíveis ao usuário no limite final de entrega do canal. O sanitizador de conteúdo externo é a contraparte de entrada.
Isso não substitui os outros endurecimentos desta página: dmPolicy, listas de permissões, aprovações de execução, sandboxing e contextVisibility ainda fazem o trabalho principal. Ele fecha uma evasão específica na camada do tokenizador contra pilhas auto-hospedadas que encaminham texto do usuário com tokens especiais intactos.
Flags de evasão insegura de conteúdo externo
O OpenClaw inclui flags explícitas de evasão que desativam o encapsulamento de segurança de conteúdo externo:
hooks.mappings[].allowUnsafeExternalContenthooks.gmail.allowUnsafeExternalContent- Campo de payload Cron
allowUnsafeExternalContent
Orientação:
- Mantenha-as não definidas/falsas em produção.
- Habilite apenas temporariamente para depuração com escopo bem restrito.
- Se habilitadas, isole esse agente (sandbox + ferramentas mínimas + namespace de sessão dedicado).
Observação de risco de hooks:
- Payloads de hook são conteúdo não confiável, mesmo quando a entrega vem de sistemas que você controla (conteúdo de email/documentos/web pode carregar injeção de prompt).
- Camadas de modelo fracas aumentam esse risco. Para automação acionada por hook, prefira camadas de modelos modernas e fortes e mantenha a política de ferramentas restrita (
tools.profile: "messaging"ou mais rígida), além de sandboxing quando possível.
Injeção de prompt não exige DMs públicas
Mesmo que só você possa enviar mensagem ao bot, a injeção de prompt ainda pode acontecer por meio de qualquer conteúdo não confiável que o bot leia (resultados de busca/busca de conteúdo na web, páginas de navegador, emails, documentos, anexos, logs/código colados). Em outras palavras: o remetente não é a única superfície de ameaça; o conteúdo em si pode carregar instruções adversariais.
Quando ferramentas estão habilitadas, o risco típico é exfiltrar contexto ou acionar chamadas de ferramentas. Reduza o raio de impacto ao:
- Usar um agente leitor somente leitura ou sem ferramentas para resumir conteúdo não confiável, depois passar o resumo ao seu agente principal.
- Manter
web_search/web_fetch/browserdesligados para agentes com ferramentas habilitadas, a menos que sejam necessários. - Para entradas de URL OpenResponses (
input_file/input_image), definagateway.http.endpoints.responses.files.urlAllowlistegateway.http.endpoints.responses.images.urlAllowlistde forma restrita, e mantenhamaxUrlPartsbaixo. Listas de permissões vazias são tratadas como não definidas; usefiles.allowUrl: false/images.allowUrl: falsese quiser desativar totalmente a busca de URLs. - Para entradas de arquivo OpenResponses, o texto decodificado de
input_fileainda é injetado como conteúdo externo não confiável. Não presuma que o texto do arquivo é confiável só porque o Gateway o decodificou localmente. O bloco injetado ainda carrega marcadores de limite explícitos<<<EXTERNAL_UNTRUSTED_CONTENT ...>>>mais metadadosSource: External, embora esse caminho omita o banner mais longoSECURITY NOTICE:. - O mesmo encapsulamento baseado em marcadores é aplicado quando a compreensão de mídia extrai texto de documentos anexados antes de anexar esse texto ao prompt de mídia.
- Habilitar sandboxing e listas de permissões rígidas de ferramentas para qualquer agente que toque entrada não confiável.
- Manter segredos fora de prompts; passe-os por env/config no host do Gateway em vez disso.
Backends LLM auto-hospedados
Backends auto-hospedados compatíveis com OpenAI, como vLLM, SGLang, TGI, LM Studio,
ou pilhas personalizadas de tokenizador Hugging Face podem diferir de provedores hospedados em como
tokens especiais de modelo de chat são tratados. Se um backend tokenizar strings literais
como <|im_start|>, <|start_header_id|> ou <start_of_turn> como
tokens estruturais de modelo de chat dentro de conteúdo do usuário, texto não confiável pode tentar
forjar limites de função na camada do tokenizador.
O OpenClaw remove literais comuns de tokens especiais de famílias de modelos do conteúdo externo encapsulado antes de despachá-lo para o modelo. Mantenha o encapsulamento de conteúdo externo habilitado e prefira configurações de backend que dividam ou escapem tokens especiais em conteúdo fornecido pelo usuário quando disponíveis. Provedores hospedados como OpenAI e Anthropic já aplicam sua própria sanitização no lado da requisição.
Força do modelo (observação de segurança)
A resistência à injeção de prompt não é uniforme entre camadas de modelos. Modelos menores/mais baratos geralmente são mais suscetíveis a uso indevido de ferramentas e sequestro de instruções, especialmente sob prompts adversariais.
Recomendações:
- Use o modelo de geração mais recente e da melhor camada para qualquer bot que possa executar ferramentas ou tocar arquivos/redes.
- Não use camadas mais antigas/mais fracas/menores para agentes com ferramentas habilitadas ou caixas de entrada não confiáveis; o risco de injeção de prompt é alto demais.
- Se você precisar usar um modelo menor, reduza o raio de impacto (ferramentas somente leitura, sandboxing forte, acesso mínimo ao sistema de arquivos, listas de permissões rígidas).
- Ao executar modelos pequenos, habilite sandboxing para todas as sessões e desative web_search/web_fetch/browser, a menos que as entradas sejam rigidamente controladas.
- Para assistentes pessoais apenas de chat com entrada confiável e sem ferramentas, modelos menores geralmente funcionam bem.
Raciocínio e saída verbosa em grupos
/reasoning, /verbose e /trace podem expor raciocínio interno, saída de ferramentas
ou diagnósticos de Plugin que
não eram destinados a um canal público. Em configurações de grupo, trate-os como apenas depuração
e mantenha-os desligados, a menos que você precise deles explicitamente.
Orientação:
- Mantenha
/reasoning,/verbosee/tracedesabilitados em salas públicas. - Se você habilitá-los, faça isso apenas em DMs confiáveis ou salas rigidamente controladas.
- Lembre-se: saídas verbosas e de trace podem incluir argumentos de ferramentas, URLs, diagnósticos de Plugin e dados que o modelo viu.
Exemplos de endurecimento de configuração
Permissões de arquivo
Mantenha configuração + estado privados no host do Gateway:
~/.openclaw/openclaw.json:600(somente leitura/gravação pelo usuário)~/.openclaw:700(somente usuário)
openclaw doctor pode avisar e oferecer reforçar essas permissões.
Exposição de rede (bind, porta, firewall)
O Gateway multiplexa WebSocket + HTTP em uma única porta:
- Padrão:
18789 - Configuração/flags/env:
gateway.port,--port,OPENCLAW_GATEWAY_PORT
Esta superfície HTTP inclui a Control UI e o host do canvas:
- Control UI (ativos SPA) (caminho base padrão
/) - Host do canvas:
/__openclaw__/canvas/e/__openclaw__/a2ui/(HTML/JS arbitrário; trate como conteúdo não confiável)
Se você carregar conteúdo de canvas em um navegador normal, trate-o como qualquer outra página web não confiável:
- Não exponha o host do canvas a redes/usuários não confiáveis.
- Não faça o conteúdo de canvas compartilhar a mesma origem de superfícies web privilegiadas, a menos que você entenda totalmente as implicações.
O modo bind controla onde o Gateway escuta:
gateway.bind: "loopback"(padrão): somente clientes locais podem se conectar.- Binds que não são loopback (
"lan","tailnet","custom") ampliam a superfície de ataque. Use-os apenas com autenticação do gateway (token/senha compartilhados ou um proxy confiável configurado corretamente) e um firewall real.
Regras práticas:
- Prefira Tailscale Serve a associações LAN (o Serve mantém o Gateway em loopback, e o Tailscale lida com o acesso).
- Se você precisar associar à LAN, restrinja a porta no firewall a uma allowlist rigorosa de IPs de origem; não faça port-forward dela de forma ampla.
- Nunca exponha o Gateway sem autenticação em
0.0.0.0.
Publicação de portas Docker com UFW
Se você executar o OpenClaw com Docker em um VPS, lembre-se de que portas de contêiner publicadas
(-p HOST:CONTAINER ou ports: do Compose) são roteadas pelas cadeias de encaminhamento
do Docker, não apenas pelas regras INPUT do host.
Para manter o tráfego Docker alinhado com sua política de firewall, aplique regras em
DOCKER-USER (essa cadeia é avaliada antes das próprias regras de aceitação do Docker).
Em muitas distros modernas, iptables/ip6tables usam o frontend iptables-nft
e ainda aplicam essas regras ao backend nftables.
Exemplo mínimo de allowlist (IPv4):
# /etc/ufw/after.rules (append as its own *filter section)*filter:DOCKER-USER - [0:0]-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN-A DOCKER-USER -s 127.0.0.0/8 -j RETURN-A DOCKER-USER -s 10.0.0.0/8 -j RETURN-A DOCKER-USER -s 172.16.0.0/12 -j RETURN-A DOCKER-USER -s 192.168.0.0/16 -j RETURN-A DOCKER-USER -s 100.64.0.0/10 -j RETURN-A DOCKER-USER -p tcp --dport 80 -j RETURN-A DOCKER-USER -p tcp --dport 443 -j RETURN-A DOCKER-USER -m conntrack --ctstate NEW -j DROP-A DOCKER-USER -j RETURNCOMMITIPv6 tem tabelas separadas. Adicione uma política correspondente em /etc/ufw/after6.rules se
o IPv6 do Docker estiver habilitado.
Evite fixar nomes de interface como eth0 em trechos de documentação. Nomes de interface
variam entre imagens VPS (ens3, enp* etc.) e incompatibilidades podem acidentalmente
ignorar sua regra de negação.
Validação rápida após recarregar:
ufw reloadiptables -S DOCKER-USERip6tables -S DOCKER-USERnmap -sT -p 1-65535 <public-ip> --openAs portas externas esperadas devem ser apenas aquelas que você expõe intencionalmente (na maioria das configurações: SSH + suas portas de proxy reverso).
Descoberta mDNS/Bonjour
Quando o Plugin bonjour incluído está habilitado, o Gateway anuncia sua presença via mDNS (_openclaw-gw._tcp na porta 5353) para descoberta de dispositivos locais. No modo completo, isso inclui registros TXT que podem expor detalhes operacionais:
cliPath: caminho completo no sistema de arquivos para o binário da CLI (revela o nome de usuário e o local de instalação)sshPort: anuncia disponibilidade de SSH no hostdisplayName,lanHost: informações de hostname
Consideração de segurança operacional: Anunciar detalhes de infraestrutura facilita o reconhecimento para qualquer pessoa na rede local. Mesmo informações "inofensivas", como caminhos do sistema de arquivos e disponibilidade de SSH, ajudam invasores a mapear seu ambiente.
Recomendações:
-
Mantenha o Bonjour desabilitado, a menos que a descoberta LAN seja necessária. O Bonjour inicia automaticamente em hosts macOS e é opt-in em outros lugares; URLs diretas do Gateway, Tailnet, SSH ou DNS-SD de área ampla evitam multicast local.
-
Modo mínimo (padrão quando o Bonjour está habilitado, recomendado para gateways expostos): omita campos sensíveis dos anúncios mDNS:
json5 { discovery: { mdns: { mode: "minimal" }, },} -
Desabilite o modo mDNS se você quiser manter o Plugin habilitado, mas suprimir a descoberta de dispositivos locais:
json5 { discovery: { mdns: { mode: "off" }, },} -
Modo completo (opt-in): inclua
cliPath+sshPortnos registros TXT:json5 { discovery: { mdns: { mode: "full" }, },} -
Variável de ambiente (alternativa): defina
OPENCLAW_DISABLE_BONJOUR=1para desabilitar mDNS sem alterações de configuração.
Quando o Bonjour está habilitado em modo mínimo, o Gateway anuncia o suficiente para descoberta de dispositivos (role, gatewayPort, transport), mas omite cliPath e sshPort. Apps que precisam de informações do caminho da CLI podem buscá-las pela conexão WebSocket autenticada.
Bloqueie o WebSocket do Gateway (autenticação local)
A autenticação do Gateway é obrigatória por padrão. Se nenhum caminho de autenticação válido do gateway estiver configurado, o Gateway recusa conexões WebSocket (falha fechada).
O onboarding gera um token por padrão (mesmo para loopback), então clientes locais precisam se autenticar.
Defina um token para que todos os clientes WS precisem se autenticar:
{ gateway: { auth: { mode: "token", token: "your-token" }, },}O Doctor pode gerar um para você: openclaw doctor --generate-gateway-token.
Opcional: fixe o TLS remoto com gateway.remote.tlsFingerprint ao usar wss://.
ws:// em texto claro é aceito para loopback, literais de IP privado, .local e
URLs de gateway Tailnet *.ts.net. Para outros nomes DNS privados confiáveis, defina
OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1 no processo do cliente como medida de emergência.
Isso é intencionalmente apenas ambiente de processo, não uma chave de configuração
openclaw.json.
O pareamento móvel e as rotas de gateway Android manuais ou escaneadas são mais rigorosos:
texto claro é aceito para loopback, mas LAN privada, link-local, .local e
hostnames sem ponto precisam usar TLS, a menos que você opte explicitamente pelo caminho confiável
de texto claro de rede privada.
Pareamento de dispositivo local:
- O pareamento de dispositivos é aprovado automaticamente para conexões diretas de local loopback a fim de manter clientes no mesmo host fluidos.
- O OpenClaw também tem um caminho restrito de autoconexão local de backend/contêiner para fluxos auxiliares confiáveis com segredo compartilhado.
- Conexões por Tailnet e LAN, incluindo associações tailnet no mesmo host, são tratadas como remotas para pareamento e ainda precisam de aprovação.
- Evidência de cabeçalho encaminhado em uma solicitação de loopback desqualifica a localidade de loopback. A aprovação automática de upgrade de metadados é restrita. Consulte Pareamento do Gateway para ambas as regras.
Modos de autenticação:
gateway.auth.mode: "token": token de portador compartilhado (recomendado para a maioria das configurações).gateway.auth.mode: "password": autenticação por senha (prefira definir via env:OPENCLAW_GATEWAY_PASSWORD).gateway.auth.mode: "trusted-proxy": confia em um proxy reverso com reconhecimento de identidade para autenticar usuários e passar identidade por cabeçalhos (consulte Autenticação de Proxy Confiável).
Checklist de rotação (token/senha):
- Gere/defina um novo segredo (
gateway.auth.tokenouOPENCLAW_GATEWAY_PASSWORD). - Reinicie o Gateway (ou reinicie o app macOS se ele supervisiona o Gateway).
- Atualize quaisquer clientes remotos (
gateway.remote.token/.passwordem máquinas que chamam o Gateway). - Verifique se você não consegue mais se conectar com as credenciais antigas.
Cabeçalhos de identidade do Tailscale Serve
Quando gateway.auth.allowTailscale é true (padrão para Serve), o OpenClaw
aceita cabeçalhos de identidade do Tailscale Serve (tailscale-user-login) para autenticação da
UI de Controle/WebSocket. O OpenClaw verifica a identidade resolvendo o endereço
x-forwarded-for por meio do daemon local do Tailscale (tailscale whois)
e fazendo a correspondência com o cabeçalho. Isso só é acionado para solicitações que atingem loopback
e incluem x-forwarded-for, x-forwarded-proto e x-forwarded-host conforme
injetados pelo Tailscale.
Para esse caminho assíncrono de verificação de identidade, tentativas com falha para o mesmo {scope, ip}
são serializadas antes que o limitador registre a falha. Retentativas incorretas simultâneas
de um cliente Serve podem, portanto, bloquear a segunda tentativa imediatamente
em vez de passarem em corrida como duas incompatibilidades simples.
Endpoints da API HTTP (por exemplo, /v1/*, /tools/invoke e /api/channels/*)
não usam autenticação por cabeçalho de identidade do Tailscale. Eles ainda seguem o modo de autenticação HTTP
configurado do gateway.
Observação importante de limite:
- A autenticação de portador HTTP do Gateway é efetivamente acesso de operador tudo ou nada.
- Trate credenciais que podem chamar
/v1/chat/completions,/v1/responses, rotas de Plugin como/api/v1/admin/rpcou/api/channels/*como segredos de operador com acesso total para esse gateway. - Na superfície HTTP compatível com OpenAI, a autenticação por portador com segredo compartilhado restaura os escopos completos de operador padrão (
operator.admin,operator.approvals,operator.pairing,operator.read,operator.talk.secrets,operator.write) e a semântica de proprietário para turnos de agente; valores mais restritos dex-openclaw-scopesnão reduzem esse caminho de segredo compartilhado. - A semântica de escopo por solicitação em HTTP só se aplica quando a solicitação vem de um modo com identidade, como autenticação por proxy confiável, ou de uma entrada privada explicitamente sem autenticação.
- Nesses modos com identidade, omitir
x-openclaw-scopesrecorre ao conjunto normal de escopos padrão de operador; envie o cabeçalho explicitamente quando quiser um conjunto de escopos mais restrito. Cabeçalhos compatíveis com OpenAI em nível de proprietário, comox-openclaw-model, exigemoperator.adminquando os escopos são reduzidos. /tools/invokee endpoints HTTP de histórico de sessão seguem a mesma regra de segredo compartilhado: autenticação por portador com token/senha também é tratada como acesso total de operador ali, enquanto modos com identidade ainda respeitam os escopos declarados.- Não compartilhe essas credenciais com chamadores não confiáveis; prefira gateways separados por limite de confiança.
Pressuposto de confiança: a autenticação Serve sem token pressupõe que o host do gateway é confiável.
Não trate isso como proteção contra processos hostis no mesmo host. Se código local não confiável
puder ser executado no host do gateway, desabilite gateway.auth.allowTailscale
e exija autenticação explícita por segredo compartilhado com gateway.auth.mode: "token" ou
"password".
Regra de segurança: não encaminhe esses cabeçalhos a partir do seu próprio proxy reverso. Se
você encerrar TLS ou usar proxy na frente do gateway, desabilite
gateway.auth.allowTailscale e use autenticação por segredo compartilhado (gateway.auth.mode: "token" ou "password") ou Autenticação de Proxy Confiável
em vez disso.
Proxies confiáveis:
- Se você encerrar TLS na frente do Gateway, defina
gateway.trustedProxiespara os IPs do seu proxy. - O OpenClaw confiará em
x-forwarded-for(oux-real-ip) desses IPs para determinar o IP do cliente em verificações de pareamento local e verificações de autenticação/local HTTP. - Garanta que seu proxy sobrescreva
x-forwarded-fore bloqueie acesso direto à porta do Gateway.
Consulte Tailscale e Visão geral da Web.
Controle do navegador via host Node (recomendado)
Se seu Gateway é remoto, mas o navegador roda em outra máquina, execute um host node na máquina do navegador e deixe o Gateway fazer proxy das ações do navegador (consulte Ferramenta de navegador). Trate o pareamento de node como acesso administrativo.
Padrão recomendado:
- Mantenha o Gateway e o host node na mesma tailnet (Tailscale).
- Pareie o node intencionalmente; desabilite o roteamento de proxy do navegador se você não precisar dele.
Evite:
- Expor portas de relay/controle pela LAN ou Internet pública.
- Tailscale Funnel para endpoints de controle do navegador (exposição pública).
Segredos em disco
Presuma que qualquer coisa sob ~/.openclaw/ (ou $OPENCLAW_STATE_DIR/) pode conter segredos ou dados privados:
openclaw.json: a configuração pode incluir tokens (gateway, gateway remoto), configurações de provedor e listas de permissões.credentials/**: credenciais de canal (exemplo: credenciais do WhatsApp), listas de permissões de pareamento, importações OAuth legadas.agents/<agentId>/agent/auth-profiles.json: chaves de API, perfis de token, tokens OAuth ekeyRef/tokenRefopcionais.agents/<agentId>/agent/codex-home/**: conta do servidor de aplicativo Codex por agente, configuração, Skills, Plugins, estado nativo de thread e diagnósticos (o padrão).$CODEX_HOME/**ou~/.codex/**: quando o Plugin Codex usa explicitamenteappServer.homeScope: "user", o Gateway pode ler e atualizar a conta, a configuração, os plugins e as threads nativos do Codex. Trate isso como acesso privilegiado do proprietário; o modo é somente local-stdio e o gerenciamento nativo de threads é exclusivo do proprietário.secrets.json(opcional): payload de segredo baseado em arquivo usado por provedores SecretReffile(secrets.providers).agents/<agentId>/agent/auth.json: arquivo de compatibilidade legado. Entradas estáticasapi_keysão limpas quando descobertas.agents/<agentId>/sessions/**: transcrições de sessão (*.jsonl) + metadados de roteamento (sessions.json) que podem conter mensagens privadas e saída de ferramentas.- pacotes de Plugin incluídos: plugins instalados (mais seus
node_modules/). sandboxes/**: workspaces de sandbox de ferramenta; podem acumular cópias de arquivos que você lê/escreve dentro do sandbox.
Dicas de reforço:
- Mantenha permissões restritas (
700em diretórios,600em arquivos). - Use criptografia de disco inteiro no host do gateway.
- Prefira uma conta de usuário do SO dedicada para o Gateway se o host for compartilhado.
Arquivos .env do workspace
O OpenClaw carrega arquivos .env locais do workspace para agentes e ferramentas, mas nunca permite que esses arquivos substituam silenciosamente os controles de runtime do gateway.
- Variáveis de ambiente de credenciais de provedor são bloqueadas em arquivos
.envde workspace não confiáveis. Exemplos incluemGEMINI_API_KEY,GOOGLE_API_KEY,XAI_API_KEY,MISTRAL_API_KEY,GROQ_API_KEY,DEEPSEEK_API_KEY,PERPLEXITY_API_KEY,BRAVE_API_KEY,TAVILY_API_KEY,EXA_API_KEY,FIRECRAWL_API_KEYe chaves de autenticação de provedor declaradas por plugins confiáveis instalados. Coloque credenciais de provedor no ambiente do processo Gateway, em~/.openclaw/.env($OPENCLAW_STATE_DIR/.env), no blocoenvde configuração ou na importação opcional de shell de login. - Qualquer chave que comece com
OPENCLAW_*é bloqueada em arquivos.envde workspace não confiáveis. - Configurações de endpoint de canal para Matrix, Mattermost, IRC e Synology Chat também são bloqueadas contra substituições de
.envdo workspace, para que workspaces clonados não possam redirecionar o tráfego de conectores incluídos por meio de configuração de endpoint local. Chaves de env de endpoint (comoMATRIX_HOMESERVER,MATTERMOST_URL,IRC_HOST,SYNOLOGY_CHAT_INCOMING_URL) devem vir do ambiente do processo gateway ou deenv.shellEnv, não de um.envcarregado pelo workspace. - O bloqueio é fail-closed: uma nova variável de controle de runtime adicionada em uma versão futura não pode ser herdada de um
.envversionado ou fornecido por invasor; a chave é ignorada e o gateway mantém seu próprio valor. - Variáveis de ambiente confiáveis do processo/SO, dotenv global de runtime,
envde configuração e importação de shell de login habilitada ainda se aplicam - isso apenas restringe o carregamento de arquivos.envdo workspace.
Por quê: arquivos .env do workspace frequentemente ficam próximos ao código do agente, são commitados por acidente ou são escritos por ferramentas. Bloquear credenciais de provedor impede que um workspace clonado substitua contas de provedor controladas por invasor. Bloquear todo o prefixo OPENCLAW_* significa que adicionar uma nova flag OPENCLAW_* posteriormente nunca poderá regredir para herança silenciosa do estado do workspace.
Logs e transcrições (redação e retenção)
Logs e transcrições podem vazar informações sensíveis mesmo quando os controles de acesso estão corretos:
- Logs do Gateway podem incluir resumos de ferramentas, erros e URLs.
- Transcrições de sessão podem incluir segredos colados, conteúdo de arquivos, saída de comandos e links.
Recomendações:
- Mantenha a redação de logs e transcrições ativada (
logging.redactSensitive: "tools"; padrão). - Adicione padrões personalizados para seu ambiente via
logging.redactPatterns(tokens, nomes de host, URLs internas). - Ao compartilhar diagnósticos, prefira
openclaw status --all(colável, segredos redigidos) em vez de logs brutos. - Remova transcrições de sessão e arquivos de log antigos se você não precisar de retenção longa.
Detalhes: Logging
DMs: pareamento por padrão
{ channels: { whatsapp: { dmPolicy: "pairing" } },}Grupos: exigir menção em todos os lugares
{ "channels": { "whatsapp": { "groups": { "*": { "requireMention": true } } } }, "agents": { "list": [ { "id": "main", "groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] } } ] }}Em chats de grupo, responda apenas quando mencionado explicitamente.
Números separados (WhatsApp, Signal, Telegram)
Para canais baseados em número de telefone, considere executar sua IA em um número de telefone separado do seu pessoal:
- Número pessoal: suas conversas permanecem privadas
- Número do bot: a IA lida com estas, com limites apropriados
Modo somente leitura (via sandbox e ferramentas)
Você pode criar um perfil somente leitura combinando:
agents.defaults.sandbox.workspaceAccess: "ro"(ou"none"para nenhum acesso ao workspace)- listas de permissão/negação de ferramentas que bloqueiam
write,edit,apply_patch,exec,processetc.
Opções adicionais de reforço:
tools.exec.applyPatch.workspaceOnly: true(padrão): garante queapply_patchnão possa escrever/excluir fora do diretório do workspace mesmo quando o sandboxing estiver desativado. Defina comofalseapenas se você quiser intencionalmente queapply_patchtoque arquivos fora do workspace.tools.fs.workspaceOnly: true(opcional): restringe caminhos deread/write/edit/apply_patche caminhos de carregamento automático de imagens de prompt nativo ao diretório do workspace (útil se você permite caminhos absolutos hoje e quer uma única barreira de proteção).- Mantenha raízes do sistema de arquivos estreitas: evite raízes amplas, como seu diretório inicial, para workspaces de agentes/sandboxes. Raízes amplas podem expor arquivos locais sensíveis (por exemplo, estado/configuração em
~/.openclaw) a ferramentas de sistema de arquivos.
Linha de base segura (copiar/colar)
Uma configuração de "padrão seguro" que mantém o Gateway privado, exige pareamento de DM e evita bots de grupo sempre ativos:
{ gateway: { mode: "local", bind: "loopback", port: 18789, auth: { mode: "token", token: "your-long-random-token" }, }, channels: { whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } }, }, },}Se você também quiser execução de ferramentas "mais segura por padrão", adicione um sandbox + negue ferramentas perigosas para qualquer agente não proprietário (exemplo abaixo em "Perfis de acesso por agente").
Linha de base integrada para turnos de agentes conduzidos por chat: remetentes não proprietários não podem usar as ferramentas cron ou gateway.
Sandboxing (recomendado)
Documento dedicado: Sandboxing
Duas abordagens complementares:
- Executar o Gateway completo no Docker (limite de contêiner): Docker
- Sandbox de ferramentas (
agents.defaults.sandbox, gateway host + ferramentas isoladas por sandbox; Docker é o backend padrão): Sandboxing
Considere também o acesso ao workspace do agente dentro do sandbox:
agents.defaults.sandbox.workspaceAccess: "none"(padrão) mantém o workspace do agente fora dos limites; ferramentas rodam contra um workspace de sandbox em~/.openclaw/sandboxesagents.defaults.sandbox.workspaceAccess: "ro"monta o workspace do agente como somente leitura em/agent(desabilitawrite/edit/apply_patch)agents.defaults.sandbox.workspaceAccess: "rw"monta o workspace do agente como leitura/escrita em/workspacesandbox.docker.bindsextras são validados contra caminhos de origem normalizados e canonicalizados. Truques de symlink pai e aliases canônicos de home ainda falham de forma fechada se resolverem para raízes bloqueadas como/etc,/var/runou diretórios de credenciais sob a home do SO.
Barreira de proteção para delegação de subagente
Se você permitir ferramentas de sessão, trate execuções delegadas de subagentes como outra decisão de limite:
- Negue
sessions_spawna menos que o agente realmente precise de delegação. - Mantenha
agents.defaults.subagents.allowAgentse quaisquer substituições por agente emagents.list[].subagents.allowAgentsrestritas a agentes de destino sabidamente seguros. - Para qualquer workflow que deva permanecer em sandbox, chame
sessions_spawncomsandbox: "require"(o padrão éinherit). sandbox: "require"falha rapidamente quando o runtime filho de destino não está em sandbox.
Riscos de controle do navegador
Habilitar o controle do navegador dá ao modelo a capacidade de dirigir um navegador real. Se esse perfil de navegador já contém sessões autenticadas, o modelo pode acessar essas contas e dados. Trate perfis de navegador como estado sensível:
- Prefira um perfil dedicado para o agente (o perfil
openclawpadrão). - Evite apontar o agente para seu perfil pessoal de uso diário.
- Mantenha o controle de navegador do host desabilitado para agentes em sandbox, a menos que você confie neles.
- A API de controle de navegador local loopback independente só honra autenticação por segredo compartilhado (autenticação bearer por token do gateway ou senha do gateway). Ela não consome cabeçalhos de identidade de proxy confiável ou Tailscale Serve.
- Trate downloads do navegador como entrada não confiável; prefira um diretório de downloads isolado.
- Desabilite sincronização do navegador/gerenciadores de senhas no perfil do agente se possível (reduz o raio de impacto).
- Para gateways remotos, assuma que "controle do navegador" equivale a "acesso de operador" ao que esse perfil puder alcançar.
- Mantenha os hosts Gateway e node somente tailnet; evite expor portas de controle do navegador à LAN ou à Internet pública.
- Desabilite roteamento de proxy do navegador quando você não precisar dele (
gateway.nodes.browser.mode="off"). - O modo de sessão existente do Chrome MCP não é "mais seguro"; ele pode agir como você em tudo que esse perfil do Chrome do host puder alcançar.
Política de SSRF do navegador (estrita por padrão)
A política de navegação do navegador do OpenClaw é estrita por padrão: destinos privados/internos permanecem bloqueados, a menos que você opte explicitamente por permitir.
- Padrão:
browser.ssrfPolicy.dangerouslyAllowPrivateNetworknão está definido, então a navegação do navegador mantém destinos privados/internos/de uso especial bloqueados. - Alias legado:
browser.ssrfPolicy.allowPrivateNetworkainda é aceito por compatibilidade. - Modo opt-in: defina
browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: truepara permitir destinos privados/internos/de uso especial. - No modo estrito, use
hostnameAllowlist(padrões como*.example.com) eallowedHostnames(exceções exatas de host, incluindo nomes bloqueados comolocalhost) para exceções explícitas. - A navegação é verificada antes da solicitação e reverificada com melhor esforço na URL final
http(s)após a navegação para reduzir pivôs baseados em redirecionamento.
Exemplo de política estrita:
{ browser: { ssrfPolicy: { dangerouslyAllowPrivateNetwork: false, hostnameAllowlist: ["*.example.com", "example.com"], allowedHostnames: ["localhost"], }, },}Perfis de acesso por agente (multiagente)
Com roteamento multiagente, cada agente pode ter sua própria política de sandbox + ferramentas: use isso para conceder acesso total, somente leitura ou sem acesso por agente. Consulte Multi-Agent Sandbox & Tools para detalhes completos e regras de precedência.
Casos de uso comuns:
- Agente pessoal: acesso total, sem sandbox
- Agente de família/trabalho: em sandbox + ferramentas somente leitura
- Agente público: em sandbox + sem ferramentas de sistema de arquivos/shell
Exemplo: acesso total (sem sandbox)
{ agents: { list: [ { id: "personal", workspace: "~/.openclaw/workspace-personal", sandbox: { mode: "off" }, }, ], },}Exemplo: ferramentas somente leitura + espaço de trabalho somente leitura
{ agents: { list: [ { id: "family", workspace: "~/.openclaw/workspace-family", sandbox: { mode: "all", scope: "agent", workspaceAccess: "ro", }, tools: { allow: ["read"], deny: ["write", "edit", "apply_patch", "exec", "process", "browser"], }, }, ], },}Exemplo: sem acesso ao sistema de arquivos/shell (mensagens do provedor permitidas)
{ agents: { list: [ { id: "public", workspace: "~/.openclaw/workspace-public", sandbox: { mode: "all", scope: "agent", workspaceAccess: "none", }, // Session tools can reveal sensitive data from transcripts. By default OpenClaw limits these tools // to the current session + spawned subagent sessions, but you can clamp further if needed. // See `tools.sessions.visibility` in the configuration reference. tools: { sessions: { visibility: "tree" }, // self | tree | agent | all allow: [ "sessions_list", "sessions_history", "sessions_send", "sessions_spawn", "session_status", "whatsapp", "telegram", "slack", "discord", ], deny: [ "read", "write", "edit", "apply_patch", "exec", "process", "browser", "canvas", "nodes", "cron", "gateway", "image", ], }, }, ], },}Resposta a incidentes
Se sua IA fizer algo ruim:
Conter
- Pare-a: pare o app do macOS (se ele supervisiona o Gateway) ou encerre seu processo
openclaw gateway. - Feche a exposição: defina
gateway.bind: "loopback"(ou desative o Tailscale Funnel/Serve) até entender o que aconteceu. - Congele o acesso: altere mensagens diretas/grupos de risco para
dmPolicy: "disabled"/ exija menções e remova entradas"*"que permitem tudo, caso você as tenha.
Rotacionar (presuma comprometimento se segredos vazaram)
- Rotacione a autenticação do Gateway (
gateway.auth.token/OPENCLAW_GATEWAY_PASSWORD) e reinicie. - Rotacione os segredos de clientes remotos (
gateway.remote.token/.password) em qualquer máquina que possa chamar o Gateway. - Rotacione as credenciais de provedor/API (credenciais do WhatsApp, tokens do Slack/Discord, chaves de modelo/API em
auth-profiles.jsone valores de payload de segredos criptografados quando usados).
Auditoria
- Verifique os logs do Gateway:
/tmp/openclaw/openclaw-YYYY-MM-DD.log(oulogging.file). - Revise a(s) transcrição(ões) relevante(s):
~/.openclaw/agents/<agentId>/sessions/*.jsonl. - Revise alterações recentes de configuração (qualquer coisa que possa ter ampliado o acesso:
gateway.bind,gateway.auth, políticas de DM/grupo,tools.elevated, alterações de plugin). - Execute novamente
openclaw security audit --deepe confirme que as descobertas críticas foram resolvidas.
Coletar para um relatório
- Carimbo de data/hora, SO do host do Gateway + versão do OpenClaw
- A(s) transcrição(ões) da sessão + um trecho curto do final do log (após redigir)
- O que o invasor enviou + o que o agente fez
- Se o Gateway foi exposto além do loopback (LAN/Tailscale Funnel/Serve)
Varredura de segredos
A CI executa o hook detect-private-key do pre-commit no repositório. Se ele
falhar, remova ou rotacione o material de chave comprometido e então reproduza localmente:
pre-commit run --all-files detect-private-keyRelatar problemas de segurança
Encontrou uma vulnerabilidade no OpenClaw? Relate com responsabilidade:
- Email: security@openclaw.ai
- Não publique publicamente até que seja corrigida
- Daremos crédito a você (a menos que prefira anonimato)