Segurança

Modelo de confiança de assistente pessoal: esta orientação pressupõe um limite de operador confiável por gateway (modelo de usuário único/assistente pessoal). O OpenClaw não é um limite de segurança multi-inquilino hostil para vários usuários adversariais compartilhando um agente/gateway. Se você precisa de operação com confiança mista ou usuários adversariais, separe os limites de confiança (gateway + credenciais separados, idealmente usuários/hosts do SO separados).

Escopo primeiro: modelo de segurança de assistente pessoal

A orientação de segurança do OpenClaw pressupõe uma implantação de assistente pessoal: um limite de operador confiável, potencialmente muitos agentes.

Postura de segurança suportada: um usuário/limite de confiança por gateway (prefira um usuário do SO/host/VPS por limite).
Não é um limite de segurança suportado: um gateway/agente compartilhado usado por usuários mutuamente não confiáveis ou adversariais.
Se for necessário isolamento entre usuários adversariais, separe por limite de confiança (gateway + credenciais separados e, idealmente, usuários/hosts do SO separados).
Se vários usuários não confiáveis puderem enviar mensagens para um agente com ferramentas ativadas, trate isso como compartilhamento da mesma autoridade delegada de ferramentas para esse agente.

Esta página explica o endurecimento dentro desse modelo. Ela não afirma isolamento multi-inquilino hostil em um único gateway compartilhado.

Verificação rápida: `openclaw security audit`

Veja também: Verificação formal (modelos de segurança) Execute isso regularmente, especialmente após alterar a configuração ou expor superfícies de rede:

openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --json

security audit --fix permanece intencionalmente restrito: ele muda políticas comuns de grupos abertos para allowlists, restaura logging.redactSensitive: "tools", restringe permissões de estado/configuração/arquivos incluídos e usa redefinições de ACL do Windows em vez de chmod POSIX quando executado no Windows. Ele sinaliza armadilhas comuns (exposição de autenticação do Gateway, exposição de controle do navegador, allowlists elevadas, permissões do sistema de arquivos, aprovações de exec permissivas e exposição de ferramentas em canais abertos). O OpenClaw é tanto um produto quanto um experimento: você está conectando comportamento de modelos de fronteira a superfícies reais de mensagens e ferramentas reais. Não existe uma configuração “perfeitamente segura”. O objetivo é ser deliberado sobre:

quem pode falar com seu bot
onde o bot pode atuar
no que o bot pode tocar

Comece com o menor acesso que ainda funcione e amplie-o à medida que ganhar confiança.

Implantação e confiança no host

O OpenClaw pressupõe que o host e o limite de configuração sejam confiáveis:

Se alguém puder modificar o estado/configuração do host do Gateway (~/.openclaw, incluindo openclaw.json), trate essa pessoa como um operador confiável.
Executar um único Gateway para vários operadores mutuamente não confiáveis/adversariais não é uma configuração recomendada.
Para equipes com confiança mista, separe os limites de confiança com gateways separados (ou, no mínimo, usuários/hosts do SO separados).
Padrão recomendado: um usuário por máquina/host (ou VPS), um gateway para esse usuário e um ou mais agentes nesse gateway.
Dentro de uma instância do Gateway, o acesso autenticado de operador é um papel confiável do plano de controle, não um papel de inquilino por usuário.
Identificadores de sessão (sessionKey, IDs de sessão, rótulos) são seletores de roteamento, não tokens de autorização.
Se várias pessoas puderem enviar mensagens para um agente com ferramentas ativadas, cada uma delas poderá direcionar esse mesmo conjunto de permissões. O isolamento de sessão/memória por usuário ajuda na privacidade, mas não transforma um agente compartilhado em autorização de host por usuário.

Workspace Slack compartilhado: risco real

Se “todo mundo no Slack pode mandar mensagem para o bot”, o risco central é a autoridade delegada de ferramentas:

qualquer remetente permitido pode induzir chamadas de ferramentas (exec, navegador, ferramentas de rede/arquivo) dentro da política do agente;
injeção de prompt/conteúdo de um remetente pode causar ações que afetam estado compartilhado, dispositivos ou saídas;
se um agente compartilhado tiver credenciais/arquivos sensíveis, qualquer remetente permitido poderá potencialmente induzir exfiltração via uso de ferramentas.

Use agentes/gateways separados com o mínimo de ferramentas para fluxos de trabalho em equipe; mantenha agentes com dados pessoais privados.

Agente compartilhado pela empresa: padrão aceitável

Isso é aceitável quando todos que usam esse agente estão dentro do mesmo limite de confiança, por exemplo, uma equipe da empresa, e o agente é estritamente limitado ao escopo empresarial.

execute-o em uma máquina/VM/container dedicado;
use um usuário do SO + navegador/perfil/contas dedicados para esse runtime;
não conecte esse runtime a contas pessoais Apple/Google ou perfis pessoais de gerenciador de senhas/navegador.

Se você misturar identidades pessoais e da empresa no mesmo runtime, você colapsa a separação e aumenta o risco de exposição de dados pessoais.

Conceito de confiança entre Gateway e node

Trate Gateway e node como um único domínio de confiança do operador, com papéis diferentes:

Gateway é o plano de controle e a superfície de política (gateway.auth, política de ferramentas, roteamento).
Node é a superfície de execução remota emparelhada com esse Gateway (comandos, ações em dispositivos, capacidades locais do host).
Um chamador autenticado no Gateway é confiável no escopo do Gateway. Após o emparelhamento, ações do node são ações confiáveis de operador nesse node.
sessionKey é seleção de roteamento/contexto, não autenticação por usuário.
Aprovações de exec (allowlist + ask) são proteções para a intenção do operador, não isolamento multi-inquilino hostil.
O padrão de produto do OpenClaw para configurações confiáveis com um único operador é permitir exec no host em gateway/node sem prompts de aprovação (security="full", ask="off" a menos que você restrinja isso). Esse padrão é uma escolha intencional de UX, não uma vulnerabilidade por si só.
Aprovações de exec vinculam o contexto exato da solicitação e, em melhor esforço, operandos diretos de arquivos locais; elas não modelam semanticamente todos os caminhos de carregamento de runtime/interpretador. Use sandboxing e isolamento do host para limites fortes.

Se você precisa de isolamento contra usuários hostis, separe os limites de confiança por usuário do SO/host e execute gateways separados.

Matriz de limites de confiança

Use isto como modelo rápido ao analisar risco:

Limite ou controle	O que significa	Interpretação equivocada comum
`gateway.auth` (token/password/trusted-proxy/device auth)	Autentica chamadores nas APIs do gateway	”Precisa de assinaturas por mensagem em cada frame para ser seguro”
`sessionKey`	Chave de roteamento para seleção de contexto/sessão	”A chave de sessão é um limite de autenticação do usuário”
Proteções de prompt/conteúdo	Reduzem o risco de abuso do modelo	”Injeção de prompt sozinha prova bypass de autenticação”
`canvas.eval` / avaliação do navegador	Capacidade intencional do operador quando ativada	”Qualquer primitiva de eval JS é automaticamente uma vuln neste modelo de confiança”
Shell local `!`	Execução local acionada explicitamente pelo operador	”Comando local de shell por conveniência é injeção remota”
Emparelhamento de node e comandos de node	Execução remota em nível de operador em dispositivos emparelhados	”Controle remoto de dispositivo deve ser tratado como acesso de usuário não confiável por padrão”

Não são vulnerabilidades por design

Esses padrões são comumente relatados e normalmente são encerrados sem ação, a menos que um bypass real de limite seja demonstrado:

Cadeias baseadas apenas em injeção de prompt sem bypass de política/autenticação/sandbox.
Alegações que presumem operação multi-inquilino hostil em um único host/configuração compartilhado.
Alegações que classificam acesso normal de operador por caminho de leitura (por exemplo sessions.list/sessions.preview/chat.history) como IDOR em uma configuração de gateway compartilhado.
Achados de implantação somente em localhost (por exemplo HSTS em gateway apenas em loopback).
Achados sobre assinatura de webhook de entrada do Discord para caminhos de entrada que não existem neste repositório.
Relatórios que tratam metadados de emparelhamento de node como uma segunda camada oculta de aprovação por comando para system.run, quando o limite real de execução continua sendo a política global de comandos de node do gateway mais as próprias aprovações de exec do node.
Achados de “falta de autorização por usuário” que tratam sessionKey como um token de autenticação.

Checklist prévio para pesquisadores

Antes de abrir um GHSA, verifique tudo isso:

A reprodução ainda funciona no main mais recente ou na release mais recente.
O relatório inclui o caminho exato do código (file, função, intervalo de linhas) e a versão/commit testado.
O impacto cruza um limite de confiança documentado, e não apenas injeção de prompt.
A alegação não está listada em Out of Scope.
Advisories existentes foram verificadas para duplicatas (reutilize o GHSA canônico quando aplicável).
As premissas de implantação estão explícitas (loopback/local vs exposto, operadores confiáveis vs não confiáveis).

Baseline reforçada em 60 segundos

Use primeiro esta baseline e depois reative seletivamente ferramentas por agente confiável:

{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "replace-with-long-random-token" },
  },
  session: {
    dmScope: "per-channel-peer",
  },
  tools: {
    profile: "messaging",
    deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
    fs: { workspaceOnly: true },
    exec: { security: "deny", ask: "always" },
    elevated: { enabled: false },
  },
  channels: {
    whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } },
  },
}

Isso mantém o Gateway apenas local, isola DMs e desabilita ferramentas de plano de controle/runtime por padrão.

Regra rápida para caixa de entrada compartilhada

Se mais de uma pessoa puder enviar DM para seu bot:

Defina session.dmScope: "per-channel-peer" (ou "per-account-channel-peer" para canais com várias contas).
Mantenha dmPolicy: "pairing" ou allowlists estritas.
Nunca combine DMs compartilhadas com acesso amplo a ferramentas.
Isso reforça caixas de entrada cooperativas/compartilhadas, mas não foi projetado como isolamento entre co-inquilinos hostis quando usuários compartilham acesso de gravação ao host/configuração.

Modelo de visibilidade de contexto

O OpenClaw separa dois conceitos:

Autorização de disparo: quem pode acionar o agente (dmPolicy, groupPolicy, allowlists, exigência de menção).
Visibilidade de contexto: qual contexto suplementar é injetado na entrada do modelo (corpo da resposta, texto citado, histórico da thread, metadados encaminhados).

Allowlists controlam disparos e autorização de comandos. A configuração contextVisibility controla como o contexto suplementar (respostas citadas, raízes de thread, histórico buscado) é filtrado:

contextVisibility: "all" (padrão) mantém o contexto suplementar como recebido.
contextVisibility: "allowlist" filtra o contexto suplementar para remetentes permitidos pelas verificações ativas de allowlist.
contextVisibility: "allowlist_quote" se comporta como allowlist, mas ainda mantém uma resposta citada explícita.

Defina contextVisibility por canal ou por sala/conversa. Consulte Chats em grupo para detalhes de configuração. Orientação para triagem de advisories:

Alegações que mostram apenas que “o modelo pode ver texto citado ou histórico de remetentes fora da allowlist” são achados de endurecimento tratáveis com contextVisibility, e não bypass de limite de autenticação ou sandbox por si só.
Para ter impacto de segurança, os relatórios ainda precisam demonstrar um bypass de limite de confiança, como autenticação, política, sandbox, aprovação ou outro limite documentado.

O que a auditoria verifica (visão geral)

Acesso de entrada (políticas de DM, políticas de grupo, allowlists): estranhos podem acionar o bot?
Raio de impacto das ferramentas (ferramentas elevadas + salas abertas): a injeção de prompt pode se transformar em ações de shell/arquivo/rede?
Desvio de aprovações de exec (security=full, autoAllowSkills, allowlists de interpretador sem strictInlineEval): as proteções de exec no host ainda estão fazendo o que você imagina?
- security="full" é um aviso de postura ampla, não prova de bug. É o padrão escolhido para configurações confiáveis de assistente pessoal; restrinja-o apenas quando seu modelo de ameaça exigir proteções de aprovação ou allowlist.
Exposição de rede (bind/auth do Gateway, Tailscale Serve/Funnel, tokens de autenticação fracos/curtos).
Exposição de controle do navegador (nodes remotos, portas de relay, endpoints CDP remotos).
Higiene do disco local (permissões, symlinks, includes de configuração, caminhos de “pasta sincronizada”).
Plugins (extensões existem sem uma allowlist explícita).
Desvio de política/configuração incorreta (configurações de sandbox docker definidas, mas modo sandbox desligado; padrões ineficazes de gateway.nodes.denyCommands porque a correspondência é apenas pelo nome exato do comando, por exemplo system.run, e não inspeciona o texto do shell; entradas perigosas em gateway.nodes.allowCommands; tools.profile="minimal" global sobrescrito por perfis por agente; ferramentas de plugins de extensão acessíveis sob política de ferramentas permissiva).
Desvio de expectativa de runtime (por exemplo, presumir que exec implícito ainda significa sandbox quando tools.exec.host agora tem padrão auto, ou definir explicitamente tools.exec.host="sandbox" enquanto o modo sandbox está desligado).
Higiene de modelo (avisa quando os modelos configurados parecem legados; não é um bloqueio rígido).

Se você executar --deep, o OpenClaw também tentará uma sonda ativa do Gateway em melhor esforço.

Mapa de armazenamento de credenciais

Use isto ao auditar acesso ou decidir o que fazer backup:

WhatsApp: ~/.openclaw/credentials/whatsapp/<accountId>/creds.json
Token do bot do Telegram: config/env ou channels.telegram.tokenFile (apenas arquivo regular; symlinks são rejeitados)
Token do bot do Discord: config/env ou SecretRef (providers env/file/exec)
Tokens do Slack: config/env (channels.slack.*)
Allowlists de emparelhamento:
- ~/.openclaw/credentials/<channel>-allowFrom.json (conta padrão)
- ~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json (contas não padrão)
Perfis de autenticação de modelo: ~/.openclaw/agents/<agentId>/agent/auth-profiles.json
Payload de segredos baseado em arquivo (opcional): ~/.openclaw/secrets.json
Importação legada de OAuth: ~/.openclaw/credentials/oauth.json

Checklist de auditoria de segurança

Quando a auditoria imprimir achados, trate isto como ordem de prioridade:

Qualquer coisa “aberta” + ferramentas ativadas: primeiro restrinja DMs/grupos (emparelhamento/allowlists), depois restrinja a política de ferramentas/sandboxing.
Exposição de rede pública (bind em LAN, Funnel, autenticação ausente): corrija imediatamente.
Exposição remota de controle do navegador: trate isso como acesso de operador (somente tailnet, emparelhe nodes deliberadamente, evite exposição pública).
Permissões: garanta que estado/configuração/credenciais/autenticação não sejam legíveis por grupo/mundo.
Plugins/extensões: carregue apenas o que você explicitamente confia.
Escolha de modelo: prefira modelos modernos, endurecidos para instruções, para qualquer bot com ferramentas.

Glossário da auditoria de segurança

Valores checkId de alto sinal que você provavelmente verá em implantações reais (não exaustivo):

`checkId`	Severidade	Por que isso importa	Chave/caminho principal para correção	Correção automática
`fs.state_dir.perms_world_writable`	crítica	Outros usuários/processos podem modificar todo o estado do OpenClaw	permissões do sistema de arquivos em `~/.openclaw`	sim
`fs.state_dir.perms_group_writable`	aviso	Usuários do grupo podem modificar todo o estado do OpenClaw	permissões do sistema de arquivos em `~/.openclaw`	sim
`fs.state_dir.perms_readable`	aviso	O diretório de estado pode ser lido por outros	permissões do sistema de arquivos em `~/.openclaw`	sim
`fs.state_dir.symlink`	aviso	O destino do diretório de estado passa a ser outro limite de confiança	layout do sistema de arquivos do diretório de estado	não
`fs.config.perms_writable`	crítica	Outros podem alterar autenticação/política de ferramentas/configuração	permissões do sistema de arquivos em `~/.openclaw/openclaw.json`	sim
`fs.config.symlink`	aviso	O destino da configuração passa a ser outro limite de confiança	layout do sistema de arquivos do arquivo de configuração	não
`fs.config.perms_group_readable`	aviso	Usuários do grupo podem ler tokens/configurações da configuração	permissões do sistema de arquivos no arquivo de configuração	sim
`fs.config.perms_world_readable`	crítica	A configuração pode expor tokens/configurações	permissões do sistema de arquivos no arquivo de configuração	sim
`fs.config_include.perms_writable`	crítica	O arquivo incluído na configuração pode ser modificado por outros	permissões do arquivo incluído referenciado por `openclaw.json`	sim
`fs.config_include.perms_group_readable`	aviso	Usuários do grupo podem ler segredos/configurações incluídos	permissões do arquivo incluído referenciado por `openclaw.json`	sim
`fs.config_include.perms_world_readable`	crítica	Segredos/configurações incluídos podem ser lidos por todos	permissões do arquivo incluído referenciado por `openclaw.json`	sim
`fs.auth_profiles.perms_writable`	crítica	Outros podem injetar ou substituir credenciais de modelo armazenadas	permissões de `agents/<agentId>/agent/auth-profiles.json`	sim
`fs.auth_profiles.perms_readable`	aviso	Outros podem ler chaves de API e tokens OAuth	permissões de `agents/<agentId>/agent/auth-profiles.json`	sim
`fs.credentials_dir.perms_writable`	crítica	Outros podem modificar o estado de emparelhamento/credenciais de canais	permissões do sistema de arquivos em `~/.openclaw/credentials`	sim
`fs.credentials_dir.perms_readable`	aviso	Outros podem ler o estado de credenciais dos canais	permissões do sistema de arquivos em `~/.openclaw/credentials`	sim
`fs.sessions_store.perms_readable`	aviso	Outros podem ler transcrições/metadados de sessão	permissões do armazenamento de sessão	sim
`fs.log_file.perms_readable`	aviso	Outros podem ler logs com redação, mas ainda sensíveis	permissões do arquivo de log do gateway	sim
`fs.synced_dir`	aviso	Estado/configuração em iCloud/Dropbox/Drive amplia a exposição de tokens/transcrições	mova configuração/estado para fora de pastas sincronizadas	não
`gateway.bind_no_auth`	crítica	Bind remoto sem segredo compartilhado	`gateway.bind`, `gateway.auth.*`	não
`gateway.loopback_no_auth`	crítica	Loopback com proxy reverso pode se tornar não autenticado	`gateway.auth.*`, configuração de proxy	não
`gateway.trusted_proxies_missing`	aviso	Cabeçalhos de proxy reverso estão presentes, mas não são confiáveis	`gateway.trustedProxies`	não
`gateway.http.no_auth`	aviso/crítica	As APIs HTTP do Gateway podem ser acessadas com `auth.mode="none"`	`gateway.auth.mode`, `gateway.http.endpoints.*`	não
`gateway.http.session_key_override_enabled`	info	Chamadores da API HTTP podem sobrescrever `sessionKey`	`gateway.http.allowSessionKeyOverride`	não
`gateway.tools_invoke_http.dangerous_allow`	aviso/crítica	Reativa ferramentas perigosas pela API HTTP	`gateway.tools.allow`	não
`gateway.nodes.allow_commands_dangerous`	aviso/crítica	Ativa comandos de node de alto impacto (câmera/tela/contatos/calendário/SMS)	`gateway.nodes.allowCommands`	não
`gateway.nodes.deny_commands_ineffective`	aviso	Entradas de negação em formato de padrão não correspondem ao texto do shell nem a grupos	`gateway.nodes.denyCommands`	não
`gateway.tailscale_funnel`	crítica	Exposição na internet pública	`gateway.tailscale.mode`	não
`gateway.tailscale_serve`	info	A exposição na tailnet está ativada via Serve	`gateway.tailscale.mode`	não
`gateway.control_ui.allowed_origins_required`	crítica	Control UI fora de loopback sem allowlist explícita de origem do navegador	`gateway.controlUi.allowedOrigins`	não
`gateway.control_ui.allowed_origins_wildcard`	aviso/crítica	`allowedOrigins=["*"]` desabilita a allowlist de origem do navegador	`gateway.controlUi.allowedOrigins`	não
`gateway.control_ui.host_header_origin_fallback`	aviso/crítica	Ativa fallback de origem por cabeçalho Host (reduz a proteção contra DNS rebinding)	`gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback`	não
`gateway.control_ui.insecure_auth`	aviso	Toggle de compatibilidade de autenticação insegura ativado	`gateway.controlUi.allowInsecureAuth`	não
`gateway.control_ui.device_auth_disabled`	crítica	Desabilita a verificação de identidade do dispositivo	`gateway.controlUi.dangerouslyDisableDeviceAuth`	não
`gateway.real_ip_fallback_enabled`	aviso/crítica	Confiar no fallback `X-Real-IP` pode permitir spoofing de IP de origem via configuração incorreta de proxy	`gateway.allowRealIpFallback`, `gateway.trustedProxies`	não
`gateway.token_too_short`	aviso	Token compartilhado curto é mais fácil de forçar por brute force	`gateway.auth.token`	não
`gateway.auth_no_rate_limit`	aviso	Autenticação exposta sem limite de taxa aumenta o risco de brute force	`gateway.auth.rateLimit`	não
`gateway.trusted_proxy_auth`	crítica	A identidade do proxy passa a ser o limite de autenticação	`gateway.auth.mode="trusted-proxy"`	não
`gateway.trusted_proxy_no_proxies`	crítica	Autenticação por trusted-proxy sem IPs de proxy confiáveis é insegura	`gateway.trustedProxies`	não
`gateway.trusted_proxy_no_user_header`	crítica	A autenticação por trusted-proxy não consegue resolver com segurança a identidade do usuário	`gateway.auth.trustedProxy.userHeader`	não
`gateway.trusted_proxy_no_allowlist`	aviso	A autenticação por trusted-proxy aceita qualquer usuário autenticado a montante	`gateway.auth.trustedProxy.allowUsers`	não
`checkId`	Severidade	Por que isso importa	Chave/caminho principal para correção	Correção automática
-------------------------------------------------------------	-------------	------------------------------------------------------------------------------------	----------------------------------------------------------------------------------------------------	-------------------
`gateway.probe_auth_secretref_unavailable`	aviso	A sonda profunda não conseguiu resolver SecretRefs de autenticação neste caminho de comando	fonte de autenticação da sonda profunda / disponibilidade de SecretRef	não
`gateway.probe_failed`	aviso/crítica	A sonda ativa do Gateway falhou	alcance/autenticação do gateway	não
`discovery.mdns_full_mode`	aviso/crítica	O modo completo de mDNS anuncia metadados `cliPath`/`sshPort` na rede local	`discovery.mdns.mode`, `gateway.bind`	não
`config.insecure_or_dangerous_flags`	aviso	Quaisquer flags inseguras/perigosas de depuração ativadas	múltiplas chaves (veja o detalhe do achado)	não
`config.secrets.gateway_password_in_config`	aviso	A senha do Gateway está armazenada diretamente na configuração	`gateway.auth.password`	não
`config.secrets.hooks_token_in_config`	aviso	O token bearer de hooks está armazenado diretamente na configuração	`hooks.token`	não
`hooks.token_reuse_gateway_token`	crítica	O token de entrada de hooks também desbloqueia a autenticação do Gateway	`hooks.token`, `gateway.auth.token`	não
`hooks.token_too_short`	aviso	Brute force mais fácil na entrada de hooks	`hooks.token`	não
`hooks.default_session_key_unset`	aviso	Execuções de agente por hooks se espalham em sessões geradas por solicitação	`hooks.defaultSessionKey`	não
`hooks.allowed_agent_ids_unrestricted`	aviso/crítica	Chamadores autenticados de hooks podem rotear para qualquer agente configurado	`hooks.allowedAgentIds`	não
`hooks.request_session_key_enabled`	aviso/crítica	O chamador externo pode escolher `sessionKey`	`hooks.allowRequestSessionKey`	não
`hooks.request_session_key_prefixes_missing`	aviso/crítica	Não há limite para os formatos de chave de sessão externa	`hooks.allowedSessionKeyPrefixes`	não
`hooks.path_root`	crítica	O caminho de hooks é `/`, facilitando colisão ou roteamento incorreto na entrada	`hooks.path`	não
`hooks.installs_unpinned_npm_specs`	aviso	Registros de instalação de hooks não estão fixados em especificações npm imutáveis	metadados de instalação de hooks	não
`hooks.installs_missing_integrity`	aviso	Registros de instalação de hooks não têm metadados de integridade	metadados de instalação de hooks	não
`hooks.installs_version_drift`	aviso	Registros de instalação de hooks divergiram dos pacotes instalados	metadados de instalação de hooks	não
`logging.redact_off`	aviso	Valores sensíveis vazam para logs/status	`logging.redactSensitive`	sim
`browser.control_invalid_config`	aviso	A configuração de controle do navegador é inválida antes do runtime	`browser.*`	não
`browser.control_no_auth`	crítica	O controle do navegador está exposto sem autenticação por token/senha	`gateway.auth.*`	não
`browser.remote_cdp_http`	aviso	CDP remoto via HTTP simples não tem criptografia de transporte	perfil de navegador `cdpUrl`	não
`browser.remote_cdp_private_host`	aviso	O CDP remoto aponta para um host privado/interno	perfil de navegador `cdpUrl`, `browser.ssrfPolicy.*`	não
`sandbox.docker_config_mode_off`	aviso	A configuração Docker de sandbox está presente, mas inativa	`agents.*.sandbox.mode`	não
`sandbox.bind_mount_non_absolute`	aviso	Bind mounts relativos podem ser resolvidos de forma imprevisível	`agents.*.sandbox.docker.binds[]`	não
`sandbox.dangerous_bind_mount`	crítica	O destino do bind mount da sandbox aponta para caminhos bloqueados do sistema, de credenciais ou do socket do Docker	`agents.*.sandbox.docker.binds[]`	não
`sandbox.dangerous_network_mode`	crítica	A rede Docker da sandbox usa `host` ou modo de junção de namespace `container:*`	`agents.*.sandbox.docker.network`	não
`sandbox.dangerous_seccomp_profile`	crítica	O perfil seccomp da sandbox enfraquece o isolamento do container	`agents.*.sandbox.docker.securityOpt`	não
`sandbox.dangerous_apparmor_profile`	crítica	O perfil AppArmor da sandbox enfraquece o isolamento do container	`agents.*.sandbox.docker.securityOpt`	não
`sandbox.browser_cdp_bridge_unrestricted`	aviso	A ponte CDP do navegador na sandbox está exposta sem restrição de faixa de origem	`sandbox.browser.cdpSourceRange`	não
`sandbox.browser_container.non_loopback_publish`	crítica	O container de navegador existente publica CDP em interfaces fora de loopback	configuração de publicação do container de sandbox do navegador	não
`sandbox.browser_container.hash_label_missing`	aviso	O container de navegador existente é anterior aos rótulos atuais de hash de configuração	`openclaw sandbox recreate --browser --all`	não
`sandbox.browser_container.hash_epoch_stale`	aviso	O container de navegador existente é anterior à época atual de configuração do navegador	`openclaw sandbox recreate --browser --all`	não
`tools.exec.host_sandbox_no_sandbox_defaults`	aviso	`exec host=sandbox` falha em fechado quando a sandbox está desligada	`tools.exec.host`, `agents.defaults.sandbox.mode`	não
`tools.exec.host_sandbox_no_sandbox_agents`	aviso	`exec host=sandbox` por agente falha em fechado quando a sandbox está desligada	`agents.list[].tools.exec.host`, `agents.list[].sandbox.mode`	não
`tools.exec.security_full_configured`	aviso/crítica	O exec no host está sendo executado com `security="full"`	`tools.exec.security`, `agents.list[].tools.exec.security`	não
`tools.exec.auto_allow_skills_enabled`	aviso	Aprovações de exec confiam implicitamente em binários de Skills	`~/.openclaw/exec-approvals.json`	não
`tools.exec.allowlist_interpreter_without_strict_inline_eval`	aviso	Allowlists de interpretador permitem eval inline sem reaprovação forçada	`tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, allowlist de aprovações de exec	não
`tools.exec.safe_bins_interpreter_unprofiled`	aviso	Binários de interpretador/runtime em `safeBins` sem perfis explícitos ampliam o risco de exec	`tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*`	não
`tools.exec.safe_bins_broad_behavior`	aviso	Ferramentas de comportamento amplo em `safeBins` enfraquecem o modelo de confiança de baixo risco baseado em filtro de stdin	`tools.exec.safeBins`, `agents.list[].tools.exec.safeBins`	não
`tools.exec.safe_bin_trusted_dirs_risky`	aviso	`safeBinTrustedDirs` inclui diretórios mutáveis ou arriscados	`tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs`	não
`skills.workspace.symlink_escape`	aviso	`skills/**/SKILL.md` do workspace resolve para fora da raiz do workspace (desvio por cadeia de symlink)	estado do sistema de arquivos do workspace `skills/**`	não
`plugins.extensions_no_allowlist`	aviso	Extensões estão instaladas sem uma allowlist explícita de plugins	`plugins.allowlist`	não
`plugins.installs_unpinned_npm_specs`	aviso	Registros de instalação de plugins não estão fixados em especificações npm imutáveis	metadados de instalação de plugins	não
`checkId`	Severidade	Por que isso importa	Chave/caminho principal para correção	Correção automática
-------------------------------------------------------------	-------------	------------------------------------------------------------------------------------	----------------------------------------------------------------------------------------------------	-------------------
`plugins.installs_missing_integrity`	aviso	Registros de instalação de plugins não têm metadados de integridade	metadados de instalação de plugins	não
`plugins.installs_version_drift`	aviso	Registros de instalação de plugins divergiram dos pacotes instalados	metadados de instalação de plugins	não
`plugins.code_safety`	aviso/crítica	A varredura de código do plugin encontrou padrões suspeitos ou perigosos	código do plugin / origem da instalação	não
`plugins.code_safety.entry_path`	aviso	O caminho de entrada do plugin aponta para locais ocultos ou `node_modules`	`entry` do manifesto do plugin	não
`plugins.code_safety.entry_escape`	crítica	A entrada do plugin escapa do diretório do plugin	`entry` do manifesto do plugin	não
`plugins.code_safety.scan_failed`	aviso	A varredura de código do plugin não pôde ser concluída	caminho da extensão do plugin / ambiente de varredura	não
`skills.code_safety`	aviso/crítica	Os metadados/código do instalador de Skills contêm padrões suspeitos ou perigosos	origem da instalação da Skill	não
`skills.code_safety.scan_failed`	aviso	A varredura de código de Skill não pôde ser concluída	ambiente de varredura de Skills	não
`security.exposure.open_channels_with_exec`	aviso/crítica	Salas compartilhadas/públicas podem alcançar agentes com exec ativado	`channels..dmPolicy`, `channels..groupPolicy`, `tools.exec.`, `agents.list[].tools.exec.`	não
`security.exposure.open_groups_with_elevated`	crítica	Grupos abertos + ferramentas elevadas criam caminhos de injeção de prompt de alto impacto	`channels..groupPolicy`, `tools.elevated.`	não
`security.exposure.open_groups_with_runtime_or_fs`	crítica/aviso	Grupos abertos podem acessar ferramentas de comando/arquivo sem proteções de sandbox/workspace	`channels..groupPolicy`, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents..sandbox.mode`	não
`security.trust_model.multi_user_heuristic`	aviso	A configuração parece multiusuário enquanto o modelo de confiança do gateway é de assistente pessoal	separe limites de confiança, ou aplique endurecimento de usuário compartilhado (`sandbox.mode`, negação de ferramentas/delimitação de workspace)	não
`tools.profile_minimal_overridden`	aviso	Substituições por agente contornam o perfil global minimal	`agents.list[].tools.profile`	não
`plugins.tools_reachable_permissive_policy`	aviso	Ferramentas de extensão podem ser acessadas em contextos permissivos	`tools.profile` + allow/deny de ferramentas	não
`models.legacy`	aviso	Famílias de modelos legados ainda estão configuradas	seleção de modelo	não
`models.weak_tier`	aviso	Os modelos configurados estão abaixo dos níveis atualmente recomendados	seleção de modelo	não
`models.small_params`	crítica/info	Modelos pequenos + superfícies de ferramentas inseguras elevam o risco de injeção	escolha de modelo + política de sandbox/ferramentas	não
`summary.attack_surface`	info	Resumo consolidado da postura de autenticação, canal, ferramentas e exposição	múltiplas chaves (veja o detalhe do achado)	não

Control UI por HTTP

A Control UI precisa de um contexto seguro (HTTPS ou localhost) para gerar identidade do dispositivo. gateway.controlUi.allowInsecureAuth é um toggle local de compatibilidade:

No localhost, ele permite autenticação da Control UI sem identidade do dispositivo quando a página é carregada por HTTP não seguro.
Ele não contorna verificações de emparelhamento.
Ele não relaxa requisitos remotos de identidade do dispositivo fora de localhost.

Prefira HTTPS (Tailscale Serve) ou abra a UI em 127.0.0.1. Apenas para cenários de emergência, gateway.controlUi.dangerouslyDisableDeviceAuth desabilita completamente as verificações de identidade do dispositivo. Isso representa um rebaixamento severo de segurança; mantenha isso desligado, a menos que você esteja depurando ativamente e possa reverter rapidamente. Separadamente dessas flags perigosas, o uso bem-sucedido de gateway.auth.mode: "trusted-proxy" pode admitir sessões de operador da Control UI sem identidade do dispositivo. Esse é um comportamento intencional do modo de autenticação, não um atalho de allowInsecureAuth, e ainda não se estende a sessões da Control UI com papel de node. openclaw security audit avisa quando essa configuração está ativada.

Resumo de flags inseguras ou perigosas

openclaw security audit inclui config.insecure_or_dangerous_flags quando switches conhecidos de depuração insegura/perigosa estão ativados. Atualmente essa verificação agrega:

gateway.controlUi.allowInsecureAuth=true
gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true
gateway.controlUi.dangerouslyDisableDeviceAuth=true
hooks.gmail.allowUnsafeExternalContent=true
hooks.mappings[<index>].allowUnsafeExternalContent=true
tools.exec.applyPatch.workspaceOnly=false
plugins.entries.acpx.config.permissionMode=approve-all

Chaves completas de configuração dangerous* / dangerously* definidas no schema de configuração do OpenClaw:

gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
gateway.controlUi.dangerouslyDisableDeviceAuth
browser.ssrfPolicy.dangerouslyAllowPrivateNetwork
channels.discord.dangerouslyAllowNameMatching
channels.discord.accounts.<accountId>.dangerouslyAllowNameMatching
channels.slack.dangerouslyAllowNameMatching
channels.slack.accounts.<accountId>.dangerouslyAllowNameMatching
channels.googlechat.dangerouslyAllowNameMatching
channels.googlechat.accounts.<accountId>.dangerouslyAllowNameMatching
channels.msteams.dangerouslyAllowNameMatching
channels.synology-chat.dangerouslyAllowNameMatching (canal de extensão)
channels.synology-chat.accounts.<accountId>.dangerouslyAllowNameMatching (canal de extensão)
channels.synology-chat.dangerouslyAllowInheritedWebhookPath (canal de extensão)
channels.zalouser.dangerouslyAllowNameMatching (canal de extensão)
channels.zalouser.accounts.<accountId>.dangerouslyAllowNameMatching (canal de extensão)
channels.irc.dangerouslyAllowNameMatching (canal de extensão)
channels.irc.accounts.<accountId>.dangerouslyAllowNameMatching (canal de extensão)
channels.mattermost.dangerouslyAllowNameMatching (canal de extensão)
channels.mattermost.accounts.<accountId>.dangerouslyAllowNameMatching (canal de extensão)
channels.telegram.network.dangerouslyAllowPrivateNetwork
channels.telegram.accounts.<accountId>.network.dangerouslyAllowPrivateNetwork
agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargets
agents.defaults.sandbox.docker.dangerouslyAllowExternalBindSources
agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin
agents.list[<index>].sandbox.docker.dangerouslyAllowReservedContainerTargets
agents.list[<index>].sandbox.docker.dangerouslyAllowExternalBindSources
agents.list[<index>].sandbox.docker.dangerouslyAllowContainerNamespaceJoin

Configuração de proxy reverso

Se você executar o Gateway atrás de um proxy reverso (nginx, Caddy, Traefik etc.), configure gateway.trustedProxies para tratamento correto do IP do cliente encaminhado. Quando o Gateway detecta cabeçalhos de proxy vindos de um endereço que não está em trustedProxies, ele não trata conexões como clientes locais. Se a autenticação do gateway estiver desabilitada, essas conexões serão rejeitadas. Isso evita bypass de autenticação em que conexões com proxy apareceriam como vindas de localhost e receberiam confiança automática. gateway.trustedProxies também alimenta gateway.auth.mode: "trusted-proxy", mas esse modo de autenticação é mais restritivo:

a autenticação por trusted-proxy falha em fechado para proxies com origem em loopback
proxies reversos em loopback no mesmo host ainda podem usar gateway.trustedProxies para detecção de cliente local e tratamento de IP encaminhado
para proxies reversos em loopback no mesmo host, use autenticação por token/senha em vez de gateway.auth.mode: "trusted-proxy"

gateway:
  trustedProxies:
    - "10.0.0.1" # IP do proxy reverso
  # Opcional. Padrão false.
  # Ative apenas se seu proxy não puder fornecer X-Forwarded-For.
  allowRealIpFallback: false
  auth:
    mode: password
    password: ${OPENCLAW_GATEWAY_PASSWORD}

Quando trustedProxies está configurado, o Gateway usa X-Forwarded-For para determinar o IP do cliente. X-Real-IP é ignorado por padrão, a menos que gateway.allowRealIpFallback: true seja definido explicitamente. Bom comportamento de proxy reverso (sobrescrever cabeçalhos de encaminhamento recebidos):

proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;

Mau comportamento de proxy reverso (anexar/preservar cabeçalhos de encaminhamento não confiáveis):

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

Notas sobre HSTS e origem

O gateway do OpenClaw prioriza local/loopback. Se você encerrar TLS em um proxy reverso, defina HSTS no domínio HTTPS exposto pelo proxy.
Se o próprio gateway encerrar HTTPS, você pode definir gateway.http.securityHeaders.strictTransportSecurity para emitir o cabeçalho HSTS nas respostas do OpenClaw.
A orientação detalhada de implantação está em Autenticação por trusted proxy.
Para implantações da Control UI fora de loopback, gateway.controlUi.allowedOrigins é exigido por padrão.
gateway.controlUi.allowedOrigins: ["*"] é uma política explícita de permitir todas as origens do navegador, não um padrão reforçado. Evite isso fora de testes locais rigidamente controlados.
Falhas de autenticação por origem do navegador em loopback ainda têm limite de taxa, mesmo quando a isenção geral de loopback está ativada, mas a chave de bloqueio é delimitada por valor Origin normalizado, em vez de um único bucket compartilhado de localhost.
gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true ativa o modo de fallback de origem por cabeçalho Host; trate isso como uma política perigosa escolhida pelo operador.
Trate DNS rebinding e comportamento de cabeçalho Host em proxy como preocupações de endurecimento da implantação; mantenha trustedProxies restrito e evite expor o gateway diretamente à internet pública.

Logs de sessão locais ficam no disco

O OpenClaw armazena transcrições de sessão no disco em ~/.openclaw/agents/<agentId>/sessions/*.jsonl. Isso é necessário para continuidade de sessão e, opcionalmente, indexação de memória da sessão, mas também significa que qualquer processo/usuário com acesso ao sistema de arquivos pode ler esses logs. Trate o acesso ao disco como o limite de confiança e restrinja permissões em ~/.openclaw (veja a seção de auditoria abaixo). Se você precisar de isolamento mais forte entre agentes, execute-os sob usuários do SO separados ou em hosts separados.

Execução em node (`system.run`)

Se um node macOS estiver emparelhado, o Gateway pode invocar system.run nesse node. Isso é execução remota de código no Mac:

Requer emparelhamento do node (aprovação + token).
O emparelhamento de node do Gateway não é uma superfície de aprovação por comando. Ele estabelece identidade/confiança do node e emissão de token.
O Gateway aplica uma política global grosseira de comandos de node via gateway.nodes.allowCommands / denyCommands.
Controlado no Mac por Settings → Exec approvals (security + ask + allowlist).
A política de system.run por node é o próprio arquivo de aprovações de exec do node (exec.approvals.node.*), que pode ser mais rígido ou mais frouxo do que a política global de IDs de comando do gateway.
Um node executando com security="full" e ask="off" está seguindo o modelo padrão de operador confiável. Trate isso como comportamento esperado, a menos que sua implantação exija explicitamente uma postura mais rígida de aprovação ou allowlist.
O modo de aprovação vincula o contexto exato da solicitação e, quando possível, um único operando concreto de script/arquivo local. Se o OpenClaw não conseguir identificar exatamente um arquivo local direto para um comando de interpretador/runtime, a execução com respaldo de aprovação será negada, em vez de prometer cobertura semântica total.
Para host=node, execuções com respaldo de aprovação também armazenam um systemRunPlan canônico preparado; encaminhamentos aprovados posteriores reutilizam esse plano armazenado, e a validação do gateway rejeita edições do chamador em comando/cwd/contexto da sessão após a criação da solicitação de aprovação.
Se você não quiser execução remota, defina security como deny e remova o emparelhamento de node desse Mac.

Essa distinção importa para triagem:

Um node emparelhado reconectando e anunciando uma lista diferente de comandos não é, por si só, uma vulnerabilidade se a política global do Gateway e as aprovações locais de exec do node ainda impõem o limite real de execução.
Relatórios que tratam metadados de emparelhamento de node como uma segunda camada oculta de aprovação por comando normalmente são confusão de política/UX, não bypass de limite de segurança.

Skills dinâmicas (watcher / nodes remotos)

O OpenClaw pode atualizar a lista de Skills no meio da sessão:

Watcher de Skills: alterações em SKILL.md podem atualizar o snapshot de Skills no próximo turno do agente.
Nodes remotos: conectar um node macOS pode tornar Skills exclusivas do macOS elegíveis, com base em sondagem de binários.

Trate pastas de Skill como código confiável e restrinja quem pode modificá-las.

O modelo de ameaça

Seu assistente de IA pode:

Executar comandos arbitrários de shell
Ler/gravar arquivos
Acessar serviços de rede
Enviar mensagens para qualquer pessoa, se você lhe der acesso ao WhatsApp

Pessoas que enviam mensagens para você podem:

Tentar enganar sua IA para fazer coisas ruins
Fazer engenharia social para acessar seus dados
Sondar detalhes da infraestrutura

Conceito central: controle de acesso antes da inteligência

A maioria das falhas aqui não é um exploit sofisticado — é “alguém mandou mensagem para o bot e o bot fez o que foi pedido”. A postura do OpenClaw:

Identidade primeiro: decida quem pode falar com o bot (emparelhamento de DM / allowlists / “open” explícito).
Escopo em seguida: decida onde o bot pode atuar (allowlists de grupo + exigência de menção, ferramentas, sandboxing, permissões do dispositivo).
Modelo por último: assuma que o modelo pode ser manipulado; projete o sistema para que a manipulação tenha raio de impacto limitado.

Modelo de autorização de comandos

Comandos slash e diretivas só são aceitos para remetentes autorizados. A autorização é derivada de allowlists/emparelhamento de canal mais commands.useAccessGroups (veja Configuração e Comandos slash). Se uma allowlist de canal estiver vazia ou incluir "*", os comandos ficam efetivamente abertos para esse canal. /exec é uma conveniência somente de sessão para operadores autorizados. Ele não grava configuração nem altera outras sessões.

Risco de ferramentas de plano de controle

Duas ferramentas embutidas podem fazer mudanças persistentes no plano de controle:

gateway pode inspecionar a configuração com config.schema.lookup / config.get e pode fazer mudanças persistentes com config.apply, config.patch e update.run.
cron pode criar jobs agendados que continuam executando depois que o chat/tarefa original termina.

A ferramenta de runtime gateway restrita ao proprietário ainda se recusa a reescrever tools.exec.ask ou tools.exec.security; aliases legados tools.bash.* são normalizados para os mesmos caminhos protegidos de exec antes da gravação. Para qualquer agente/superfície que lide com conteúdo não confiável, negue essas ferramentas por padrão:

{
  tools: {
    deny: ["gateway", "cron", "sessions_spawn", "sessions_send"],
  },
}

commands.restart=false bloqueia apenas ações de reinicialização. Isso não desabilita ações de configuração/atualização do gateway.

Plugins/extensões

Plugins executam em processo com o Gateway. Trate-os como código confiável:

Instale plugins apenas de fontes em que você confia.
Prefira allowlists explícitas em plugins.allow.
Revise a configuração do plugin antes de ativá-lo.
Reinicie o Gateway após alterações em plugins.
Se você instalar ou atualizar plugins (openclaw plugins install <package>, openclaw plugins update <id>), trate isso como executar código não confiável:
- O caminho de instalação é o diretório por plugin dentro da raiz ativa de instalação de plugins.
- O OpenClaw executa uma varredura embutida de código perigoso antes da instalação/atualização. Achados critical bloqueiam por padrão.
- O OpenClaw usa npm pack e depois executa npm install --omit=dev nesse diretório (scripts de ciclo de vida do npm podem executar código durante a instalação).
- Prefira versões exatas e fixadas (@scope/pkg@1.2.3) e inspecione o código descompactado no disco antes de ativar.
- --dangerously-force-unsafe-install é apenas para cenários de emergência em caso de falso positivo da varredura embutida nos fluxos de instalação/atualização de plugins. Isso não contorna bloqueios de política do hook before_install de plugins nem contorna falhas da varredura.
- Instalações de dependências de Skills com suporte do Gateway seguem a mesma divisão entre perigoso/suspeito: achados embutidos critical bloqueiam, a menos que o chamador defina explicitamente dangerouslyForceUnsafeInstall, enquanto achados suspeitos continuam apenas emitindo aviso. openclaw skills install continua sendo o fluxo separado do ClawHub para download/instalação de Skills.

Detalhes: Plugins

Modelo de acesso por DM (pairing / allowlist / open / disabled)

Todos os canais atuais com suporte a DM aceitam uma política de DM (dmPolicy ou *.dm.policy) que controla DMs de entrada antes de a mensagem ser processada:

pairing (padrão): remetentes desconhecidos recebem um código curto de emparelhamento e o bot ignora a mensagem deles até aprovação. Os códigos expiram após 1 hora; DMs repetidas não reenviam um código até que uma nova solicitação seja criada. Solicitações pendentes são limitadas a 3 por canal por padrão.
allowlist: remetentes desconhecidos são bloqueados, sem handshake de emparelhamento.
open: permite que qualquer pessoa envie DM. Exige que a allowlist do canal inclua "*" (opt-in explícito).
disabled: ignora totalmente DMs de entrada.

Aprove via CLI:

openclaw pairing list <channel>
openclaw pairing approve <channel> <code>

Detalhes + arquivos no disco: Emparelhamento

Isolamento de sessão em DM (modo multiusuário)

Por padrão, o OpenClaw roteia todas as DMs para a sessão principal, para que seu assistente mantenha continuidade entre dispositivos e canais. Se várias pessoas puderem enviar DM ao bot (DMs abertas ou uma allowlist com várias pessoas), considere isolar as sessões de DM:

{
  session: { dmScope: "per-channel-peer" },
}

Isso evita vazamento de contexto entre usuários, mantendo chats em grupo isolados. Esse é um limite de contexto de mensagens, não um limite administrativo do host. Se os usuários forem mutuamente adversariais e compartilharem o mesmo host/configuração do Gateway, execute gateways separados por limite de confiança.

Modo seguro de DM (recomendado)

Trate o trecho acima como modo seguro de DM:

Padrão: session.dmScope: "main" (todas as DMs compartilham uma sessão para continuidade).
Padrão do onboarding local via CLI: grava session.dmScope: "per-channel-peer" quando não definido, preservando valores explícitos existentes.
Modo seguro de DM: session.dmScope: "per-channel-peer" (cada par canal+remetente recebe um contexto de DM isolado).
Isolamento entre canais para o mesmo interlocutor: session.dmScope: "per-peer" (cada remetente recebe uma sessão em todos os canais do mesmo tipo).

Se você executar várias contas no mesmo canal, use per-account-channel-peer. Se a mesma pessoa entrar em contato com você por vários canais, use session.identityLinks para colapsar essas sessões de DM em uma identidade canônica. Consulte Gerenciamento de sessão e Configuração.

Allowlists (DM + grupos) - terminologia

O OpenClaw tem duas camadas separadas de “quem pode me acionar?”:

Allowlist de DM (allowFrom / channels.discord.allowFrom / channels.slack.allowFrom; legado: channels.discord.dm.allowFrom, channels.slack.dm.allowFrom): quem pode falar com o bot em mensagens diretas.
- Quando dmPolicy="pairing", aprovações são gravadas no armazenamento de allowlist de emparelhamento delimitado por conta em ~/.openclaw/credentials/ (<channel>-allowFrom.json para a conta padrão, <channel>-<accountId>-allowFrom.json para contas não padrão), combinado com as allowlists da configuração.
Allowlist de grupo (específica por canal): quais grupos/canais/guildas o bot aceitará mensagens.
- Padrões comuns:
  - channels.whatsapp.groups, channels.telegram.groups, channels.imessage.groups: padrões por grupo como requireMention; quando definido, isso também funciona como allowlist de grupo (inclua "*" para manter o comportamento de permitir tudo).
  - groupPolicy="allowlist" + groupAllowFrom: restringe quem pode acionar o bot dentro de uma sessão de grupo (WhatsApp/Telegram/Signal/iMessage/Microsoft Teams).
  - channels.discord.guilds / channels.slack.channels: allowlists por superfície + padrões de menção.
- Verificações de grupo são executadas nesta ordem: groupPolicy/allowlists de grupo primeiro, ativação por menção/resposta em seguida.
- Responder a uma mensagem do bot (menção implícita) não contorna allowlists de remetente como groupAllowFrom.
- Observação de segurança: trate dmPolicy="open" e groupPolicy="open" como configurações de último recurso. Elas quase não devem ser usadas; prefira pairing + allowlists, a menos que você confie totalmente em todos os membros da sala.

Detalhes: Configuração e Grupos

Injeção de prompt (o que é, por que importa)

Injeção de prompt ocorre quando um atacante cria uma mensagem que manipula o modelo para fazer algo inseguro (“ignore suas instruções”, “despeje seu sistema de arquivos”, “siga este link e execute comandos” etc.). Mesmo com prompts de sistema fortes, injeção de prompt não está resolvida. Proteções no prompt de sistema são apenas orientação flexível; a aplicação rígida vem da política de ferramentas, aprovações de exec, sandboxing e allowlists de canal, e os operadores podem desativar essas proteções por design. O que ajuda na prática:

Mantenha DMs de entrada restritas com pairing/allowlists.
Prefira exigência de menção em grupos; evite bots “sempre ativos” em salas públicas.
Trate links, anexos e instruções coladas como hostis por padrão.
Execute ferramentas sensíveis em sandbox; mantenha segredos fora do sistema de arquivos acessível ao agente.
Observação: sandboxing é opt-in. Se o modo sandbox estiver desligado, host=auto implícito resolve para o host do gateway. host=sandbox explícito ainda falha em fechado porque nenhum runtime de sandbox está disponível. Defina host=gateway se quiser que esse comportamento fique explícito na configuração.
Limite ferramentas de alto risco (exec, browser, web_fetch, web_search) a agentes confiáveis ou allowlists explícitas.
Se você usar allowlist de interpretadores (python, node, ruby, perl, php, lua, osascript), ative tools.exec.strictInlineEval para que formas de eval inline ainda exijam aprovação explícita.
A escolha do modelo importa: modelos mais antigos/menores/legados são significativamente menos robustos contra injeção de prompt e uso indevido de ferramentas. Para agentes com ferramentas ativadas, use o modelo mais forte, da geração mais recente e endurecido para instruções que estiver disponível.

Sinais de alerta a tratar como não confiáveis:

“Leia este arquivo/URL e faça exatamente o que ele diz.”
“Ignore seu prompt de sistema ou suas regras de segurança.”
“Revele suas instruções ocultas ou saídas de ferramentas.”
“Cole o conteúdo completo de ~/.openclaw ou dos seus logs.”

Flags de bypass para conteúdo externo inseguro

O OpenClaw inclui flags explícitas de bypass que desativam o encapsulamento de segurança para conteúdo externo:

hooks.mappings[].allowUnsafeExternalContent
hooks.gmail.allowUnsafeExternalContent
Campo de payload de cron allowUnsafeExternalContent

Orientação:

Mantenha essas opções desativadas ou não definidas em produção.
Ative apenas temporariamente para depuração estritamente delimitada.
Se ativadas, isole esse agente (sandbox + ferramentas mínimas + namespace de sessão dedicado).

Observação sobre o risco de hooks:

Payloads de hook são conteúdo não confiável, mesmo quando a entrega vem de sistemas que você controla, porque conteúdo de email/documentos/web pode carregar injeção de prompt.
Níveis de modelo mais fracos aumentam esse risco. Para automação acionada por hooks, prefira modelos modernos fortes e mantenha a política de ferramentas restrita (tools.profile: "messaging" ou mais rígida), além de sandboxing quando possível.

Injeção de prompt não requer DMs públicas

Mesmo que apenas você possa enviar mensagens ao bot, ainda pode haver injeção de prompt por meio de qualquer conteúdo não confiável que o bot leia (resultados de busca/coleta na web, páginas no navegador, emails, documentos, anexos, logs/código colados). Em outras palavras: o remetente não é a única superfície de ameaça; o próprio conteúdo pode carregar instruções adversariais. Quando ferramentas estão ativadas, o risco típico é exfiltrar contexto ou disparar chamadas de ferramentas. Reduza o raio de impacto:

Usando um agente leitor somente leitura ou com ferramentas desativadas para resumir conteúdo não confiável, e depois passando o resumo para seu agente principal.
Mantendo web_search / web_fetch / browser desativados para agentes com ferramentas ativadas, a menos que sejam necessários.
Para entradas de URL do OpenResponses (input_file / input_image), defina gateway.http.endpoints.responses.files.urlAllowlist e gateway.http.endpoints.responses.images.urlAllowlist de forma restrita, e mantenha maxUrlParts baixo. Allowlists vazias são tratadas como não definidas; use files.allowUrl: false / images.allowUrl: false se quiser desativar completamente a busca de URL.
Para entradas de arquivo do OpenResponses, o texto decodificado de input_file ainda é injetado como conteúdo externo não confiável. Não presuma que o texto do arquivo seja confiável só porque o Gateway o decodificou localmente. O bloco injetado ainda carrega marcadores explícitos de limite <<<EXTERNAL_UNTRUSTED_CONTENT ...>>> mais metadados Source: External, embora esse caminho omita o banner mais longo SECURITY NOTICE:.
O mesmo encapsulamento baseado em marcadores é aplicado quando media-understanding extrai texto de documentos anexados antes de acrescentar esse texto ao prompt de mídia.
Ativando sandboxing e allowlists estritas de ferramentas para qualquer agente que lide com entrada não confiável.
Mantendo segredos fora dos prompts; passe-os via env/config no host do gateway.

Força do modelo (observação de segurança)

A resistência à injeção de prompt não é uniforme entre os níveis de modelo. Modelos menores/mais baratos geralmente são mais suscetíveis a uso indevido de ferramentas e sequestro de instruções, especialmente sob prompts adversariais.

Para agentes com ferramentas ativadas ou agentes que leem conteúdo não confiável, o risco de injeção de prompt com modelos mais antigos/menores costuma ser alto demais. Não execute essas cargas de trabalho em níveis fracos de modelo.

Recomendações:

Use o modelo da geração mais recente e do melhor nível para qualquer bot que possa executar ferramentas ou acessar arquivos/redes.
Não use níveis mais antigos/mais fracos/menores para agentes com ferramentas ativadas ou caixas de entrada não confiáveis; o risco de injeção de prompt é alto demais.
Se você precisar usar um modelo menor, reduza o raio de impacto (ferramentas somente leitura, sandboxing forte, acesso mínimo ao sistema de arquivos, allowlists estritas).
Ao executar modelos pequenos, ative sandboxing para todas as sessões e desative web_search/web_fetch/browser, a menos que as entradas sejam rigidamente controladas.
Para assistentes pessoais apenas de chat com entrada confiável e sem ferramentas, modelos menores geralmente são adequados.

Raciocínio e saída verbose em grupos

/reasoning e /verbose podem expor raciocínio interno ou saída de ferramentas que não deveria ir para um canal público. Em ambientes de grupo, trate isso como somente depuração e mantenha desativado, a menos que você realmente precise. Orientação:

Mantenha /reasoning e /verbose desativados em salas públicas.
Se ativar, faça isso apenas em DMs confiáveis ou em salas rigidamente controladas.
Lembre-se: a saída verbose pode incluir argumentos de ferramentas, URLs e dados que o modelo viu.

Endurecimento da configuração (exemplos)

0) Permissões de arquivos

Mantenha configuração + estado privados no host do gateway:

~/.openclaw/openclaw.json: 600 (somente leitura/gravação pelo usuário)
~/.openclaw: 700 (somente usuário)

openclaw doctor pode avisar e oferecer o endurecimento dessas permissões.

0.4) Exposição de rede (bind + porta + firewall)

O Gateway multiplexa WebSocket + HTTP em uma única porta:

Padrão: 18789
Config/flags/env: gateway.port, --port, OPENCLAW_GATEWAY_PORT

Essa superfície HTTP inclui a Control UI e o host de canvas:

Control UI (assets da SPA) (caminho base padrão /)
Host de canvas: /__openclaw__/canvas/ e /__openclaw__/a2ui/ (HTML/JS arbitrário; trate como conteúdo não confiável)

Se você carregar conteúdo de canvas em um navegador normal, trate-o como qualquer outra página web não confiável:

Não exponha o host de canvas a redes/usuários não confiáveis.
Não faça o conteúdo de canvas compartilhar a mesma origem com superfícies web privilegiadas, a menos que você entenda totalmente as implicações.

O modo de bind controla onde o Gateway escuta:

gateway.bind: "loopback" (padrão): apenas clientes locais podem se conectar.
Binds fora de loopback ("lan", "tailnet", "custom") ampliam a superfície de ataque. Use-os apenas com autenticação do gateway (token/senha compartilhados ou um trusted proxy fora de loopback corretamente configurado) e um firewall real.

Regras práticas:

Prefira Tailscale Serve a binds em LAN (Serve mantém o Gateway em loopback, e o Tailscale cuida do acesso).
Se você precisar fazer bind em LAN, restrinja a porta no firewall a uma allowlist pequena de IPs de origem; não faça encaminhamento de porta de forma ampla.
Nunca exponha o Gateway sem autenticação em 0.0.0.0.

0.4.1) Publicação de porta Docker + UFW (`DOCKER-USER`)

Se você executar o OpenClaw com Docker em uma VPS, lembre-se de que portas de container publicadas (-p HOST:CONTAINER ou ports: no Compose) são roteadas pelas cadeias de encaminhamento do Docker, não apenas pelas regras INPUT do host. Para manter o tráfego do Docker alinhado com sua política de firewall, aplique regras em DOCKER-USER (essa cadeia é avaliada antes das próprias regras de aceitação do Docker). Em muitas distros modernas, iptables/ip6tables usam o frontend iptables-nft e ainda aplicam essas regras ao backend nftables. Exemplo mínimo de allowlist (IPv4):

# /etc/ufw/after.rules (anexar como sua própria seção *filter)
*filter
:DOCKER-USER - [0:0]
-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
-A DOCKER-USER -s 127.0.0.0/8 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 192.168.0.0/16 -j RETURN
-A DOCKER-USER -s 100.64.0.0/10 -j RETURN
-A DOCKER-USER -p tcp --dport 80 -j RETURN
-A DOCKER-USER -p tcp --dport 443 -j RETURN
-A DOCKER-USER -m conntrack --ctstate NEW -j DROP
-A DOCKER-USER -j RETURN
COMMIT

O IPv6 tem tabelas separadas. Adicione uma política correspondente em /etc/ufw/after6.rules se o IPv6 do Docker estiver ativado. Evite fixar nomes de interface como eth0 em trechos da documentação. Os nomes de interface variam entre imagens de VPS (ens3, enp* etc.), e incompatibilidades podem acidentalmente ignorar sua regra de negação. Validação rápida após recarregar:

ufw reload
iptables -S DOCKER-USER
ip6tables -S DOCKER-USER
nmap -sT -p 1-65535 <public-ip> --open

As portas externas esperadas devem ser apenas as que você expõe intencionalmente (na maioria das configurações: SSH + portas do seu proxy reverso).

0.4.2) Descoberta mDNS/Bonjour (divulgação de informações)

O Gateway anuncia sua presença por mDNS (_openclaw-gw._tcp na porta 5353) para descoberta de dispositivos locais. No modo full, isso inclui registros TXT que podem expor detalhes operacionais:

cliPath: caminho completo do sistema de arquivos para o binário da CLI (revela nome de usuário e local de instalação)
sshPort: anuncia disponibilidade de SSH no host
displayName, lanHost: informações de hostname

Consideração de segurança operacional: anunciar detalhes de infraestrutura facilita reconhecimento para qualquer pessoa na rede local. Mesmo informações “inofensivas”, como caminhos do sistema de arquivos e disponibilidade de SSH, ajudam atacantes a mapear seu ambiente. Recomendações:

Modo minimal (padrão, recomendado para gateways expostos): omite campos sensíveis dos anúncios mDNS:
```
{
  discovery: {
    mdns: { mode: "minimal" },
  },
}
```
Desative totalmente se você não precisa de descoberta de dispositivos locais:
```
{
  discovery: {
    mdns: { mode: "off" },
  },
}
```

Modo full (opt-in): inclui cliPath + sshPort nos registros TXT:

{
  discovery: {
    mdns: { mode: "full" },
  },
}

Variável de ambiente (alternativa): defina OPENCLAW_DISABLE_BONJOUR=1 para desativar mDNS sem alterar a configuração.

No modo minimal, o Gateway ainda anuncia o suficiente para descoberta de dispositivos (role, gatewayPort, transport), mas omite cliPath e sshPort. Apps que precisam de informações sobre o caminho da CLI podem buscá-las pela conexão WebSocket autenticada.

0.5) Restrinja o WebSocket do Gateway (autenticação local)

A autenticação do Gateway é obrigatória por padrão. Se nenhum caminho válido de autenticação do gateway estiver configurado, o Gateway recusa conexões WebSocket (falha em fechado). O onboarding gera um token por padrão, mesmo para loopback, então clientes locais precisam se autenticar. Defina um token para que todos os clientes WS precisem se autenticar:

{
  gateway: {
    auth: { mode: "token", token: "your-token" },
  },
}

O Doctor pode gerar um para você: openclaw doctor --generate-gateway-token. Observação: gateway.remote.token / .password são fontes de credenciais do cliente. Elas não protegem o acesso local ao WS por si só. Caminhos de chamada locais podem usar gateway.remote.* como fallback apenas quando gateway.auth.* não estiver definido. Se gateway.auth.token / gateway.auth.password for explicitamente configurado via SecretRef e não puder ser resolvido, a resolução falha em fechado, sem mascaramento por fallback remoto. Opcional: fixe o TLS remoto com gateway.remote.tlsFingerprint ao usar wss://. ws:// em texto simples é apenas para loopback por padrão. Para caminhos confiáveis em rede privada, defina OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1 no processo do cliente como medida emergencial. Emparelhamento local de dispositivo:

O emparelhamento de dispositivo é autoaprovado para conexões diretas em loopback local para manter clientes no mesmo host funcionando sem atrito.
O OpenClaw também tem um caminho estreito de autoconexão backend/container-local para fluxos auxiliares confiáveis com segredo compartilhado.
Conexões por tailnet e LAN, incluindo binds em tailnet no mesmo host, são tratadas como remotas para emparelhamento e ainda exigem aprovação.

Modos de autenticação:

gateway.auth.mode: "token": token bearer compartilhado (recomendado para a maioria das configurações).
gateway.auth.mode: "password": autenticação por senha (prefira definir via env: OPENCLAW_GATEWAY_PASSWORD).
gateway.auth.mode: "trusted-proxy": confia em um proxy reverso com consciência de identidade para autenticar usuários e passar a identidade por cabeçalhos (veja Autenticação por trusted proxy).

Checklist de rotação (token/senha):

Gere/defina um novo segredo (gateway.auth.token ou OPENCLAW_GATEWAY_PASSWORD).
Reinicie o Gateway, ou reinicie o app macOS se ele supervisiona o Gateway.
Atualize quaisquer clientes remotos (gateway.remote.token / .password nas máquinas que chamam o Gateway).
Verifique que não é mais possível se conectar com as credenciais antigas.

0.6) Cabeçalhos de identidade do Tailscale Serve

Quando gateway.auth.allowTailscale é true (padrão para Serve), o OpenClaw aceita cabeçalhos de identidade do Tailscale Serve (tailscale-user-login) para autenticação na Control UI/WebSocket. O OpenClaw verifica a identidade resolvendo o endereço x-forwarded-for por meio do daemon local do Tailscale (tailscale whois) e comparando-o com o cabeçalho. Isso só é acionado para solicitações que chegam ao loopback e incluem x-forwarded-for, x-forwarded-proto e x-forwarded-host, como injetado pelo Tailscale. Nesse caminho assíncrono de verificação de identidade, tentativas falhas para o mesmo {scope, ip} são serializadas antes que o limitador registre a falha. Com isso, novas tentativas inválidas concorrentes de um cliente Serve podem bloquear a segunda tentativa imediatamente, em vez de passar em corrida como duas incompatibilidades simples. Endpoints da API HTTP (por exemplo /v1/*, /tools/invoke e /api/channels/*) não usam autenticação por cabeçalho de identidade do Tailscale. Eles ainda seguem o modo de autenticação HTTP configurado no gateway. Observação importante sobre limites:

A autenticação bearer HTTP do Gateway é, na prática, acesso de operador tudo ou nada.
Trate credenciais que possam chamar /v1/chat/completions, /v1/responses ou /api/channels/* como segredos de operador de acesso total para esse gateway.
Na superfície HTTP compatível com OpenAI, a autenticação bearer por segredo compartilhado restaura todos os escopos padrão de operador (operator.admin, operator.approvals, operator.pairing, operator.read, operator.talk.secrets, operator.write) e a semântica de owner para turnos do agente; valores mais restritos em x-openclaw-scopes não reduzem esse caminho de segredo compartilhado.
A semântica de escopo por requisição em HTTP só se aplica quando a requisição vem de um modo com identidade, como autenticação por trusted proxy ou gateway.auth.mode="none" em uma entrada privada.
Nesses modos com identidade, omitir x-openclaw-scopes recorre ao conjunto normal padrão de escopos de operador; envie o cabeçalho explicitamente quando quiser um conjunto mais restrito.
/tools/invoke segue a mesma regra de segredo compartilhado: autenticação bearer por token/senha também é tratada como acesso completo de operador ali, enquanto modos com identidade continuam respeitando os escopos declarados.
Não compartilhe essas credenciais com chamadores não confiáveis; prefira gateways separados por limite de confiança.

Premissa de confiança: autenticação Serve sem token pressupõe que o host do gateway seja confiável. Não trate isso como proteção contra processos hostis no mesmo host. Se código local não confiável puder executar no host do gateway, desative gateway.auth.allowTailscale e exija autenticação explícita por segredo compartilhado com gateway.auth.mode: "token" ou "password". Regra de segurança: não encaminhe esses cabeçalhos a partir do seu próprio proxy reverso. Se você encerrar TLS ou usar proxy na frente do gateway, desative gateway.auth.allowTailscale e use autenticação por segredo compartilhado (gateway.auth.mode: "token" ou "password") ou Autenticação por trusted proxy em vez disso. Trusted proxies:

Se você encerrar TLS na frente do Gateway, defina gateway.trustedProxies com os IPs do seu proxy.
O OpenClaw confiará em x-forwarded-for (ou x-real-ip) desses IPs para determinar o IP do cliente em verificações de emparelhamento local e verificações locais/autenticação HTTP.
Certifique-se de que seu proxy sobrescreva x-forwarded-for e bloqueie acesso direto à porta do Gateway.

Consulte Tailscale e Visão geral da Web.

0.6.1) Controle do navegador via host de node (recomendado)

Se seu Gateway for remoto, mas o navegador rodar em outra máquina, execute um host de node na máquina do navegador e deixe o Gateway fazer proxy das ações do navegador (veja Ferramenta de navegador). Trate o emparelhamento de node como acesso administrativo. Padrão recomendado:

Mantenha o Gateway e o host de node na mesma tailnet (Tailscale).
Emparelhe o node intencionalmente; desative o roteamento por proxy do navegador se não precisar dele.

Evite:

Expor portas de relay/controle por LAN ou internet pública.
Tailscale Funnel para endpoints de controle do navegador (exposição pública).

0.7) Segredos no disco (dados sensíveis)

Presuma que qualquer coisa em ~/.openclaw/ (ou $OPENCLAW_STATE_DIR/) possa conter segredos ou dados privados:

openclaw.json: a configuração pode incluir tokens (gateway, gateway remoto), configurações de provider e allowlists.
credentials/**: credenciais de canal (exemplo: credenciais do WhatsApp), allowlists de emparelhamento, importações legadas de OAuth.
agents/<agentId>/agent/auth-profiles.json: chaves de API, perfis de token, tokens OAuth e keyRef/tokenRef opcionais.
secrets.json (opcional): payload de segredos baseado em arquivo usado por providers SecretRef do tipo file (secrets.providers).
agents/<agentId>/agent/auth.json: arquivo legado de compatibilidade. Entradas estáticas api_key são removidas quando encontradas.
agents/<agentId>/sessions/**: transcrições de sessão (*.jsonl) + metadados de roteamento (sessions.json) que podem conter mensagens privadas e saída de ferramentas.
pacotes de plugins empacotados: plugins instalados (mais seus node_modules/).
sandboxes/**: workspaces de sandbox de ferramentas; podem acumular cópias de arquivos que você lê/grava dentro da sandbox.

Dicas de endurecimento:

Mantenha permissões restritas (700 em diretórios, 600 em arquivos).
Use criptografia de disco completo no host do gateway.
Prefira uma conta dedicada de usuário do SO para o Gateway se o host for compartilhado.

0.8) Logs + transcrições (redação + retenção)

Logs e transcrições podem vazar informações sensíveis, mesmo quando os controles de acesso estão corretos:

Logs do Gateway podem incluir resumos de ferramentas, erros e URLs.
Transcrições de sessão podem incluir segredos colados, conteúdo de arquivos, saída de comandos e links.

Recomendações:

Mantenha a redação de resumos de ferramentas ativada (logging.redactSensitive: "tools"; padrão).
Adicione padrões personalizados para o seu ambiente via logging.redactPatterns (tokens, hostnames, URLs internas).
Ao compartilhar diagnósticos, prefira openclaw status --all (colável, com segredos redigidos) em vez de logs brutos.
Remova transcrições de sessão antigas e arquivos de log se você não precisar de retenção longa.

Detalhes: Logging

1) DMs: pairing por padrão

{
  channels: { whatsapp: { dmPolicy: "pairing" } },
}

2) Grupos: exigir menção em todos os lugares

{
  "channels": {
    "whatsapp": {
      "groups": {
        "*": { "requireMention": true }
      }
    }
  },
  "agents": {
    "list": [
      {
        "id": "main",
        "groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] }
      }
    ]
  }
}

Em chats em grupo, responda apenas quando houver menção explícita.

3) Números separados (WhatsApp, Signal, Telegram)

Para canais baseados em número de telefone, considere executar sua IA em um número separado do seu número pessoal:

Número pessoal: suas conversas permanecem privadas
Número do bot: a IA lida com elas, com os limites adequados

4) Modo somente leitura (via sandbox + ferramentas)

Você pode montar um perfil somente leitura combinando:

agents.defaults.sandbox.workspaceAccess: "ro" (ou "none" para nenhum acesso ao workspace)
listas allow/deny de ferramentas que bloqueiem write, edit, apply_patch, exec, process etc.

Opções adicionais de endurecimento:

tools.exec.applyPatch.workspaceOnly: true (padrão): garante que apply_patch não possa gravar/excluir fora do diretório do workspace, mesmo quando o sandboxing está desligado. Defina como false apenas se você quiser intencionalmente que apply_patch toque arquivos fora do workspace.
tools.fs.workspaceOnly: true (opcional): restringe caminhos de read/write/edit/apply_patch e caminhos nativos de carregamento automático de imagens em prompt ao diretório do workspace, o que é útil se você atualmente permite caminhos absolutos e quer uma única proteção.
Mantenha as raízes do sistema de arquivos estreitas: evite raízes amplas como seu diretório home para workspaces de agente/workspaces de sandbox. Raízes amplas podem expor arquivos locais sensíveis, por exemplo estado/configuração em ~/.openclaw, às ferramentas de sistema de arquivos.

5) Baseline segura (copiar/colar)

Uma configuração de “padrão seguro” que mantém o Gateway privado, exige pairing em DM e evita bots sempre ativos em grupos:

{
  gateway: {
    mode: "local",
    bind: "loopback",
    port: 18789,
    auth: { mode: "token", token: "your-long-random-token" },
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } },
    },
  },
}

Se você quiser uma execução de ferramentas também “mais segura por padrão”, adicione sandbox + negação de ferramentas perigosas para qualquer agente que não seja owner, conforme o exemplo abaixo em “Perfis de acesso por agente”. Baseline embutida para turnos de agente acionados por chat: remetentes não owner não podem usar as ferramentas cron nem gateway.

Sandboxing (recomendado)

Documento dedicado: Sandboxing Duas abordagens complementares:

Executar o Gateway inteiro em Docker (limite de container): Docker
Sandbox de ferramentas (agents.defaults.sandbox, gateway no host + ferramentas isoladas por Docker): Sandboxing

Observação: para evitar acesso entre agentes, mantenha agents.defaults.sandbox.scope em "agent" (padrão) ou "session" para isolamento mais rigoroso por sessão. scope: "shared" usa um único container/workspace. Considere também o acesso do agente ao workspace dentro da sandbox:

agents.defaults.sandbox.workspaceAccess: "none" (padrão) mantém o workspace do agente fora de alcance; as ferramentas executam em um workspace de sandbox em ~/.openclaw/sandboxes
agents.defaults.sandbox.workspaceAccess: "ro" monta o workspace do agente somente leitura em /agent e desabilita write/edit/apply_patch
agents.defaults.sandbox.workspaceAccess: "rw" monta o workspace do agente para leitura/gravação em /workspace
sandbox.docker.binds extras são validados contra caminhos de origem normalizados e canonizados. Truques com symlink do pai e aliases canônicos do diretório home ainda falham em fechado se resolverem para raízes bloqueadas, como /etc, /var/run ou diretórios de credenciais no diretório home do SO.

Importante: tools.elevated é a válvula global de escape da baseline que executa exec fora da sandbox. O host efetivo é gateway por padrão, ou node quando o destino de exec está configurado como node. Mantenha tools.elevated.allowFrom restrito e não ative isso para estranhos. Você pode restringir ainda mais o modo elevado por agente via agents.list[].tools.elevated. Consulte Modo elevado.

Proteção para delegação de subagentes

Se você permitir ferramentas de sessão, trate execuções delegadas de subagentes como outra decisão de limite:

Negue sessions_spawn, a menos que o agente realmente precise de delegação.
Mantenha agents.defaults.subagents.allowAgents e qualquer override por agente em agents.list[].subagents.allowAgents restritos a agentes-alvo sabidamente seguros.
Para qualquer fluxo de trabalho que precise permanecer em sandbox, chame sessions_spawn com sandbox: "require" (o padrão é inherit).
sandbox: "require" falha rapidamente quando o runtime filho de destino não está em sandbox.

Riscos do controle do navegador

Ativar o controle do navegador dá ao modelo a capacidade de dirigir um navegador real. Se esse perfil de navegador já contiver sessões conectadas, o modelo pode acessar essas contas e dados. Trate perfis de navegador como estado sensível:

Prefira um perfil dedicado para o agente (o perfil padrão openclaw).
Evite apontar o agente para seu perfil pessoal de uso diário.
Mantenha o controle de navegador no host desabilitado para agentes em sandbox, a menos que você confie neles.
A API independente de controle de navegador em loopback só aceita autenticação por segredo compartilhado (autenticação bearer por token do gateway ou senha do gateway). Ela não consome cabeçalhos de identidade de trusted-proxy nem do Tailscale Serve.
Trate downloads do navegador como entrada não confiável; prefira um diretório de downloads isolado.
Desative sincronização do navegador/gerenciadores de senha no perfil do agente, se possível, para reduzir o raio de impacto.
Para gateways remotos, assuma que “controle do navegador” equivale a “acesso de operador” ao que quer que esse perfil consiga alcançar.
Mantenha o Gateway e os hosts de node apenas na tailnet; evite expor portas de controle do navegador à LAN ou à internet pública.
Desative o roteamento por proxy do navegador quando não precisar dele (gateway.nodes.browser.mode="off").
O modo de sessão existente do Chrome MCP não é “mais seguro”; ele pode agir como você sobre tudo o que esse perfil do Chrome no host conseguir alcançar.

Política SSRF do navegador (restrita por padrão)

A política de navegação do navegador no OpenClaw é restrita por padrão: destinos privados/internos permanecem bloqueados, a menos que você faça opt-in explícito.

Padrão: browser.ssrfPolicy.dangerouslyAllowPrivateNetwork não está definido, então a navegação no navegador mantém bloqueados destinos privados/internos/de uso especial.
Alias legado: browser.ssrfPolicy.allowPrivateNetwork ainda é aceito por compatibilidade.
Modo opt-in: defina browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: true para permitir destinos privados/internos/de uso especial.
No modo restrito, use hostnameAllowlist (padrões como *.example.com) e allowedHostnames (exceções exatas de host, incluindo nomes bloqueados como localhost) para exceções explícitas.
A navegação é verificada antes da solicitação e verificada novamente, em melhor esforço, na URL final http(s) após a navegação, para reduzir pivôs baseados em redirecionamento.

Exemplo de política restrita:

{
  browser: {
    ssrfPolicy: {
      dangerouslyAllowPrivateNetwork: false,
      hostnameAllowlist: ["*.example.com", "example.com"],
      allowedHostnames: ["localhost"],
    },
  },
}

Perfis de acesso por agente (multiagente)

Com roteamento multiagente, cada agente pode ter sua própria política de sandbox + ferramentas: use isso para dar acesso total, somente leitura ou sem acesso por agente. Consulte Sandbox e ferramentas multiagente para detalhes completos e regras de precedência. Casos de uso comuns:

Agente pessoal: acesso total, sem sandbox
Agente de família/trabalho: em sandbox + ferramentas somente leitura
Agente público: em sandbox + sem ferramentas de sistema de arquivos/shell

Exemplo: acesso total (sem sandbox)

{
  agents: {
    list: [
      {
        id: "personal",
        workspace: "~/.openclaw/workspace-personal",
        sandbox: { mode: "off" },
      },
    ],
  },
}

Exemplo: ferramentas somente leitura + workspace somente leitura

{
  agents: {
    list: [
      {
        id: "family",
        workspace: "~/.openclaw/workspace-family",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "ro",
        },
        tools: {
          allow: ["read"],
          deny: ["write", "edit", "apply_patch", "exec", "process", "browser"],
        },
      },
    ],
  },
}

Exemplo: sem acesso a sistema de arquivos/shell (mensageria do provider permitida)

{
  agents: {
    list: [
      {
        id: "public",
        workspace: "~/.openclaw/workspace-public",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "none",
        },
        // Ferramentas de sessão podem revelar dados sensíveis de transcrições. Por padrão, o OpenClaw limita essas ferramentas
        // à sessão atual + sessões de subagentes geradas, mas você pode restringir ainda mais se necessário.
        // Veja `tools.sessions.visibility` na referência de configuração.
        tools: {
          sessions: { visibility: "tree" }, // self | tree | agent | all
          allow: [
            "sessions_list",
            "sessions_history",
            "sessions_send",
            "sessions_spawn",
            "session_status",
            "whatsapp",
            "telegram",
            "slack",
            "discord",
          ],
          deny: [
            "read",
            "write",
            "edit",
            "apply_patch",
            "exec",
            "process",
            "browser",
            "canvas",
            "nodes",
            "cron",
            "gateway",
            "image",
          ],
        },
      },
    ],
  },
}

O que dizer para sua IA

Inclua diretrizes de segurança no prompt de sistema do seu agente:

## Regras de segurança
- Nunca compartilhe listagens de diretório ou caminhos de arquivos com estranhos
- Nunca revele chaves de API, credenciais ou detalhes da infraestrutura
- Verifique com o proprietário solicitações que modifiquem a configuração do sistema
- Na dúvida, pergunte antes de agir
- Mantenha dados privados em sigilo, a menos que haja autorização explícita

Resposta a incidentes

Se sua IA fizer algo ruim:

Conter

Pare tudo: pare o app macOS, se ele supervisiona o Gateway, ou encerre o processo openclaw gateway.
Feche a exposição: defina gateway.bind: "loopback" (ou desative Tailscale Funnel/Serve) até entender o que aconteceu.
Congele o acesso: mude DMs/grupos arriscados para dmPolicy: "disabled" / exigir menções, e remova entradas "*" de permitir tudo, se você as tiver usado.

Rotacionar, assumindo comprometimento se segredos vazaram

Rotacione a autenticação do Gateway (gateway.auth.token / OPENCLAW_GATEWAY_PASSWORD) e reinicie.
Rotacione segredos de clientes remotos (gateway.remote.token / .password) em qualquer máquina que possa chamar o Gateway.
Rotacione credenciais de provider/API (credenciais do WhatsApp, tokens de Slack/Discord, chaves de modelo/API em auth-profiles.json e valores de payload criptografado de segredos, quando usados).

Auditar

Verifique os logs do Gateway: /tmp/openclaw/openclaw-YYYY-MM-DD.log (ou logging.file).
Revise as transcrições relevantes: ~/.openclaw/agents/<agentId>/sessions/*.jsonl.
Revise mudanças recentes de configuração, qualquer coisa que possa ter ampliado o acesso: gateway.bind, gateway.auth, políticas de DM/grupo, tools.elevated, mudanças em plugins.
Execute novamente openclaw security audit --deep e confirme que achados críticos foram resolvidos.

Coletar para um relatório

Timestamp, SO do host do gateway + versão do OpenClaw
As transcrições de sessão + um pequeno trecho final do log, após redação
O que o atacante enviou + o que o agente fez
Se o Gateway estava exposto além de loopback (LAN/Tailscale Funnel/Serve)

Varredura de segredos (detect-secrets)

A CI executa o hook de pre-commit detect-secrets no job secrets. Pushes para main sempre executam uma varredura em todos os arquivos. Pull requests usam um caminho rápido de arquivos alterados quando um commit base está disponível e voltam para uma varredura completa caso contrário. Se falhar, existem novos candidatos que ainda não estão na baseline.

Se a CI falhar

Reproduza localmente:

pre-commit run --all-files detect-secrets

Entenda as ferramentas:
- detect-secrets no pre-commit executa detect-secrets-hook com a baseline e as exclusões do repositório.
- detect-secrets audit abre uma revisão interativa para marcar cada item da baseline como real ou falso positivo.
Para segredos reais: rotacione/remova-os e depois execute novamente a varredura para atualizar a baseline.
Para falsos positivos: execute a auditoria interativa e marque-os como falsos:
```
detect-secrets audit .secrets.baseline
```
Se você precisar de novas exclusões, adicione-as a .detect-secrets.cfg e regenere a baseline com flags correspondentes --exclude-files / --exclude-lines (o arquivo de configuração é apenas de referência; o detect-secrets não o lê automaticamente).

Faça commit da .secrets.baseline atualizada assim que ela refletir o estado pretendido.

Relatando problemas de segurança

Encontrou uma vulnerabilidade no OpenClaw? Relate com responsabilidade:

Email: security@openclaw.ai
Não publique publicamente até que seja corrigida
Daremos crédito a você, a menos que prefira anonimato

Gateway

Remote access

Security

Nodes and media

Web interfaces

​Segurança

​Escopo primeiro: modelo de segurança de assistente pessoal

​Verificação rápida: openclaw security audit

​Implantação e confiança no host

​Workspace Slack compartilhado: risco real

​Agente compartilhado pela empresa: padrão aceitável

​Conceito de confiança entre Gateway e node

​Matriz de limites de confiança

​Não são vulnerabilidades por design

​Checklist prévio para pesquisadores

​Baseline reforçada em 60 segundos

​Regra rápida para caixa de entrada compartilhada

​Modelo de visibilidade de contexto

​O que a auditoria verifica (visão geral)

​Mapa de armazenamento de credenciais

​Checklist de auditoria de segurança

​Glossário da auditoria de segurança

​Control UI por HTTP

​Resumo de flags inseguras ou perigosas

​Configuração de proxy reverso

​Notas sobre HSTS e origem

​Logs de sessão locais ficam no disco

​Execução em node (system.run)

​Skills dinâmicas (watcher / nodes remotos)

​O modelo de ameaça

​Conceito central: controle de acesso antes da inteligência

​Modelo de autorização de comandos

​Risco de ferramentas de plano de controle

​Plugins/extensões

​Modelo de acesso por DM (pairing / allowlist / open / disabled)

​Isolamento de sessão em DM (modo multiusuário)

​Modo seguro de DM (recomendado)

​Allowlists (DM + grupos) - terminologia

​Injeção de prompt (o que é, por que importa)

​Flags de bypass para conteúdo externo inseguro

​Injeção de prompt não requer DMs públicas

​Força do modelo (observação de segurança)

​Raciocínio e saída verbose em grupos

​Endurecimento da configuração (exemplos)

​0) Permissões de arquivos

​0.4) Exposição de rede (bind + porta + firewall)

​0.4.1) Publicação de porta Docker + UFW (DOCKER-USER)

​0.4.2) Descoberta mDNS/Bonjour (divulgação de informações)

​0.5) Restrinja o WebSocket do Gateway (autenticação local)

​0.6) Cabeçalhos de identidade do Tailscale Serve

​0.6.1) Controle do navegador via host de node (recomendado)

​0.7) Segredos no disco (dados sensíveis)

​0.8) Logs + transcrições (redação + retenção)

​1) DMs: pairing por padrão

​2) Grupos: exigir menção em todos os lugares

​3) Números separados (WhatsApp, Signal, Telegram)

​4) Modo somente leitura (via sandbox + ferramentas)

​5) Baseline segura (copiar/colar)

​Sandboxing (recomendado)

​Proteção para delegação de subagentes

​Riscos do controle do navegador

​Política SSRF do navegador (restrita por padrão)

​Perfis de acesso por agente (multiagente)

​Exemplo: acesso total (sem sandbox)

​Exemplo: ferramentas somente leitura + workspace somente leitura

​Exemplo: sem acesso a sistema de arquivos/shell (mensageria do provider permitida)

​O que dizer para sua IA

​Resposta a incidentes

​Conter

​Rotacionar, assumindo comprometimento se segredos vazaram

​Auditar

​Coletar para um relatório

​Varredura de segredos (detect-secrets)

​Se a CI falhar

​Relatando problemas de segurança

Segurança

Escopo primeiro: modelo de segurança de assistente pessoal

Verificação rápida: `openclaw security audit`

Implantação e confiança no host

Workspace Slack compartilhado: risco real

Agente compartilhado pela empresa: padrão aceitável

Conceito de confiança entre Gateway e node

Matriz de limites de confiança

Não são vulnerabilidades por design

Checklist prévio para pesquisadores

Baseline reforçada em 60 segundos

Regra rápida para caixa de entrada compartilhada

Modelo de visibilidade de contexto

O que a auditoria verifica (visão geral)

Mapa de armazenamento de credenciais

Checklist de auditoria de segurança

Glossário da auditoria de segurança

Control UI por HTTP

Resumo de flags inseguras ou perigosas

Configuração de proxy reverso

Notas sobre HSTS e origem

Logs de sessão locais ficam no disco

Execução em node (`system.run`)

Skills dinâmicas (watcher / nodes remotos)

O modelo de ameaça

Conceito central: controle de acesso antes da inteligência

Modelo de autorização de comandos

Risco de ferramentas de plano de controle

Plugins/extensões

Modelo de acesso por DM (pairing / allowlist / open / disabled)

Isolamento de sessão em DM (modo multiusuário)

Modo seguro de DM (recomendado)

Allowlists (DM + grupos) - terminologia

Injeção de prompt (o que é, por que importa)

Flags de bypass para conteúdo externo inseguro

Injeção de prompt não requer DMs públicas

Força do modelo (observação de segurança)

Raciocínio e saída verbose em grupos

Endurecimento da configuração (exemplos)

0) Permissões de arquivos

0.4) Exposição de rede (bind + porta + firewall)

0.4.1) Publicação de porta Docker + UFW (`DOCKER-USER`)

0.4.2) Descoberta mDNS/Bonjour (divulgação de informações)

0.5) Restrinja o WebSocket do Gateway (autenticação local)

0.6) Cabeçalhos de identidade do Tailscale Serve

0.6.1) Controle do navegador via host de node (recomendado)

0.7) Segredos no disco (dados sensíveis)

0.8) Logs + transcrições (redação + retenção)

1) DMs: pairing por padrão

2) Grupos: exigir menção em todos os lugares

3) Números separados (WhatsApp, Signal, Telegram)

4) Modo somente leitura (via sandbox + ferramentas)

5) Baseline segura (copiar/colar)

Sandboxing (recomendado)

Proteção para delegação de subagentes

Riscos do controle do navegador

Política SSRF do navegador (restrita por padrão)

Perfis de acesso por agente (multiagente)

Exemplo: acesso total (sem sandbox)

Exemplo: ferramentas somente leitura + workspace somente leitura

Exemplo: sem acesso a sistema de arquivos/shell (mensageria do provider permitida)

O que dizer para sua IA

Resposta a incidentes

Conter

Rotacionar, assumindo comprometimento se segredos vazaram

Auditar

Coletar para um relatório

Varredura de segredos (detect-secrets)

Se a CI falhar

Relatando problemas de segurança