Chuyển đến nội dung chính

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

Mô hình tin cậy của trợ lý cá nhân. Hướng dẫn này giả định một ranh giới vận hành đáng tin cậy cho mỗi gateway (mô hình một người dùng, trợ lý cá nhân). OpenClaw không phải là ranh giới bảo mật đa bên thuê đối địch cho nhiều người dùng đối địch cùng dùng chung một tác nhân hoặc gateway. Nếu bạn cần vận hành với mức tin cậy hỗn hợp hoặc người dùng đối địch, hãy tách các ranh giới tin cậy (gateway + thông tin xác thực riêng, lý tưởng là người dùng hệ điều hành hoặc máy chủ riêng).

Trước tiên xác định phạm vi: mô hình bảo mật trợ lý cá nhân

Hướng dẫn bảo mật OpenClaw giả định một triển khai trợ lý cá nhân: một ranh giới vận hành đáng tin cậy, có thể có nhiều tác nhân.
  • Tư thế bảo mật được hỗ trợ: một người dùng/ranh giới tin cậy cho mỗi gateway (ưu tiên một người dùng hệ điều hành/máy chủ/VPS cho mỗi ranh giới).
  • Không phải ranh giới bảo mật được hỗ trợ: một gateway/tác nhân dùng chung bởi các người dùng không tin cậy lẫn nhau hoặc đối địch.
  • Nếu cần cô lập người dùng đối địch, hãy tách theo ranh giới tin cậy (gateway + thông tin xác thực riêng, và lý tưởng là người dùng hệ điều hành/máy chủ riêng).
  • Nếu nhiều người dùng không tin cậy có thể nhắn cho một tác nhân có bật công cụ, hãy coi họ là cùng chia sẻ thẩm quyền công cụ được ủy quyền cho tác nhân đó.
Trang này giải thích cách tăng cứng trong mô hình đó. Trang này không tuyên bố cô lập đa bên thuê đối địch trên một gateway dùng chung.

Kiểm tra nhanh: openclaw security audit

Xem thêm: Xác minh hình thức (Mô hình bảo mật) Chạy lệnh này thường xuyên (đặc biệt sau khi thay đổi cấu hình hoặc mở các bề mặt mạng): 
openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --json
security audit --fix được giữ hẹp một cách có chủ ý: nó chuyển các chính sách nhóm mở phổ biến sang danh sách cho phép, khôi phục logging.redactSensitive: "tools", siết chặt quyền của trạng thái/cấu hình/tệp được bao gồm, và dùng đặt lại ACL của Windows thay vì POSIX chmod khi chạy trên Windows. Nó gắn cờ các lỗi cấu hình phổ biến (lộ xác thực Gateway, lộ điều khiển trình duyệt, danh sách cho phép nâng quyền, quyền hệ thống tệp, phê duyệt exec quá dễ dãi, và lộ công cụ qua kênh mở). OpenClaw vừa là một sản phẩm vừa là một thử nghiệm: bạn đang nối hành vi của mô hình tuyến đầu vào các bề mặt nhắn tin thật và công cụ thật. Không có thiết lập nào “an toàn tuyệt đối”. Mục tiêu là chủ động cân nhắc:
  • ai có thể nói chuyện với bot của bạn
  • bot được phép hành động ở đâu
  • bot có thể chạm vào những gì
Bắt đầu với mức truy cập nhỏ nhất vẫn hoạt động, rồi mở rộng khi bạn có thêm tự tin.

Triển khai và tin cậy máy chủ

OpenClaw giả định ranh giới máy chủ và cấu hình là đáng tin cậy:
  • Nếu ai đó có thể sửa đổi trạng thái/cấu hình máy chủ Gateway (~/.openclaw, bao gồm openclaw.json), hãy coi họ là người vận hành đáng tin cậy.
  • Chạy một Gateway cho nhiều người vận hành không tin cậy lẫn nhau/đối địch không phải là thiết lập được khuyến nghị.
  • Với các nhóm có mức tin cậy hỗn hợp, hãy tách ranh giới tin cậy bằng các gateway riêng (hoặc tối thiểu là người dùng hệ điều hành/máy chủ riêng).
  • Mặc định được khuyến nghị: một người dùng cho mỗi máy/máy chủ (hoặc VPS), một gateway cho người dùng đó, và một hoặc nhiều tác nhân trong gateway đó.
  • Bên trong một phiên bản Gateway, quyền truy cập của người vận hành đã xác thực là vai trò mặt phẳng điều khiển đáng tin cậy, không phải vai trò bên thuê theo từng người dùng.
  • Mã định danh phiên (sessionKey, ID phiên, nhãn) là bộ chọn định tuyến, không phải token ủy quyền.
  • Nếu nhiều người có thể nhắn cho một tác nhân có bật công cụ, mỗi người trong số họ có thể điều khiển cùng bộ quyền đó. Cô lập phiên/bộ nhớ theo từng người dùng giúp bảo vệ quyền riêng tư, nhưng không biến một tác nhân dùng chung thành ủy quyền máy chủ theo từng người dùng.

Không gian làm việc Slack dùng chung: rủi ro thật

Nếu “mọi người trong Slack đều có thể nhắn cho bot,” rủi ro cốt lõi là thẩm quyền công cụ được ủy quyền:
  • bất kỳ người gửi được phép nào cũng có thể kích hoạt lệnh gọi công cụ (exec, trình duyệt, công cụ mạng/tệp) trong phạm vi chính sách của tác nhân;
  • chèn prompt/nội dung từ một người gửi có thể gây ra hành động ảnh hưởng đến trạng thái, thiết bị hoặc đầu ra dùng chung;
  • nếu một tác nhân dùng chung có thông tin xác thực/tệp nhạy cảm, bất kỳ người gửi được phép nào cũng có thể có khả năng điều khiển việc rò rỉ dữ liệu thông qua sử dụng công cụ.
Dùng các tác nhân/gateway riêng với công cụ tối thiểu cho quy trình làm việc nhóm; giữ các tác nhân dữ liệu cá nhân ở chế độ riêng tư.

Tác nhân dùng chung trong công ty: mẫu chấp nhận được

Điều này chấp nhận được khi mọi người dùng tác nhân đó đều ở trong cùng một ranh giới tin cậy (ví dụ một nhóm công ty) và tác nhân được giới hạn nghiêm ngặt cho công việc.
  • chạy nó trên máy/VM/container chuyên dụng;
  • dùng người dùng hệ điều hành chuyên dụng + trình duyệt/hồ sơ/tài khoản chuyên dụng cho runtime đó;
  • không đăng nhập runtime đó vào tài khoản Apple/Google cá nhân hoặc hồ sơ trình duyệt/trình quản lý mật khẩu cá nhân.
Nếu bạn trộn danh tính cá nhân và công ty trên cùng một runtime, bạn làm sụp đổ sự tách biệt và tăng rủi ro lộ dữ liệu cá nhân.

Khái niệm tin cậy của Gateway và node

Coi Gateway và node là một miền tin cậy của người vận hành, với các vai trò khác nhau:
  • Gateway là mặt phẳng điều khiển và bề mặt chính sách (gateway.auth, chính sách công cụ, định tuyến).
  • Node là bề mặt thực thi từ xa được ghép nối với Gateway đó (lệnh, hành động thiết bị, năng lực cục bộ của máy chủ).
  • Một caller đã xác thực với Gateway được tin cậy trong phạm vi Gateway. Sau khi ghép nối, các hành động node là hành động của người vận hành đáng tin cậy trên node đó.
  • Các client backend loopback trực tiếp đã xác thực bằng token/mật khẩu gateway dùng chung có thể thực hiện RPC mặt phẳng điều khiển nội bộ mà không cần trình diện danh tính thiết bị người dùng. Đây không phải là cách vượt qua ghép nối từ xa hoặc trình duyệt: client mạng, client node, client token thiết bị và danh tính thiết bị rõ ràng vẫn đi qua cơ chế ghép nối và thực thi nâng cấp phạm vi.
  • sessionKey là lựa chọn định tuyến/ngữ cảnh, không phải xác thực theo từng người dùng.
  • Phê duyệt exec (danh sách cho phép + hỏi) là rào chắn cho ý định của người vận hành, không phải cô lập đa bên thuê đối địch.
  • Mặc định sản phẩm của OpenClaw cho các thiết lập một người vận hành đáng tin cậy là exec trên máy chủ tại gateway/node được phép mà không cần lời nhắc phê duyệt (security="full", ask="off" trừ khi bạn siết chặt). Mặc định đó là UX có chủ ý, tự thân nó không phải lỗ hổng.
  • Phê duyệt exec ràng buộc ngữ cảnh yêu cầu chính xác và các toán hạng tệp cục bộ trực tiếp theo nỗ lực tốt nhất; chúng không mô hình hóa về mặt ngữ nghĩa mọi đường dẫn loader runtime/interpreter. Dùng sandboxing và cô lập máy chủ cho các ranh giới mạnh.
Nếu bạn cần cô lập người dùng đối địch, hãy tách ranh giới tin cậy theo người dùng hệ điều hành/máy chủ và chạy các gateway riêng.

Ma trận ranh giới tin cậy

Dùng phần này làm mô hình nhanh khi phân loại rủi ro:
Ranh giới hoặc kiểm soátÝ nghĩaCách hiểu sai phổ biến
gateway.auth (token/password/trusted-proxy/device auth)Xác thực caller tới API gateway”Cần chữ ký theo từng tin nhắn trên mọi frame mới an toàn”
sessionKeyKhóa định tuyến để chọn ngữ cảnh/phiên”Khóa phiên là ranh giới xác thực người dùng”
Rào chắn prompt/nội dungGiảm rủi ro lạm dụng mô hình”Chỉ riêng chèn prompt đã chứng minh vượt qua xác thực”
canvas.eval / browser evaluateNăng lực người vận hành có chủ ý khi được bật”Bất kỳ primitive JS eval nào cũng tự động là lỗ hổng trong mô hình tin cậy này”
Shell ! TUI cục bộThực thi cục bộ do người vận hành kích hoạt rõ ràng”Lệnh tiện ích shell cục bộ là chèn lệnh từ xa”
Ghép nối node và lệnh nodeThực thi từ xa cấp người vận hành trên thiết bị đã ghép nối”Điều khiển thiết bị từ xa mặc định nên được coi là quyền truy cập người dùng không tin cậy”
gateway.nodes.pairing.autoApproveCidrsChính sách đăng ký node mạng đáng tin cậy chọn bật”Danh sách cho phép mặc định tắt là lỗ hổng ghép nối tự động”

Không phải lỗ hổng theo thiết kế

Những mẫu này thường được báo cáo và thường được đóng mà không hành động trừ khi chứng minh được một lần vượt qua ranh giới thật:
  • Chuỗi chỉ dựa trên chèn prompt mà không vượt qua chính sách, xác thực hoặc sandbox.
  • Tuyên bố giả định vận hành đa bên thuê đối địch trên một máy chủ hoặc cấu hình dùng chung.
  • Tuyên bố phân loại quyền truy cập đường đọc bình thường của người vận hành (ví dụ sessions.list / sessions.preview / chat.history) là IDOR trong một thiết lập gateway dùng chung.
  • Phát hiện triển khai chỉ localhost (ví dụ HSTS trên gateway chỉ loopback).
  • Phát hiện chữ ký webhook inbound của Discord cho các đường inbound không tồn tại trong repo này.
  • Báo cáo coi siêu dữ liệu ghép nối node là một lớp phê duyệt ẩn thứ hai theo từng lệnh cho system.run, trong khi ranh giới thực thi thật vẫn là chính sách lệnh node toàn cục của gateway cộng với các phê duyệt exec riêng của node.
  • Báo cáo coi gateway.nodes.pairing.autoApproveCidrs đã cấu hình là một lỗ hổng tự thân nó. Thiết lập này mặc định bị tắt, yêu cầu mục CIDR/IP rõ ràng, chỉ áp dụng cho ghép nối role: node lần đầu với không có phạm vi được yêu cầu, và không tự động phê duyệt operator/browser/Control UI, WebChat, nâng cấp vai trò, nâng cấp phạm vi, thay đổi siêu dữ liệu, thay đổi khóa công khai, hoặc các đường dẫn header trusted-proxy loopback cùng máy chủ trừ khi xác thực trusted-proxy loopback đã được bật rõ ràng.
  • Phát hiện “thiếu ủy quyền theo từng người dùng” coi sessionKey là token xác thực.

Đường cơ sở tăng cứng trong 60 giây

Trước tiên dùng đường cơ sở này, rồi bật lại có chọn lọc các công cụ cho từng tác nhân đáng tin cậy: 
{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "replace-with-long-random-token" },
  },
  session: {
    dmScope: "per-channel-peer",
  },
  tools: {
    profile: "messaging",
    deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
    fs: { workspaceOnly: true },
    exec: { security: "deny", ask: "always" },
    elevated: { enabled: false },
  },
  channels: {
    whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } },
  },
}
Điều này giữ Gateway chỉ cục bộ, cô lập DM, và mặc định tắt các công cụ mặt phẳng điều khiển/runtime.

Quy tắc nhanh cho hộp thư đến dùng chung

Nếu hơn một người có thể DM bot của bạn:
  • Đặt session.dmScope: "per-channel-peer" (hoặc "per-account-channel-peer" cho các kênh nhiều tài khoản).
  • Giữ dmPolicy: "pairing" hoặc danh sách cho phép nghiêm ngặt.
  • Không bao giờ kết hợp DM dùng chung với quyền truy cập công cụ rộng.
  • Điều này tăng cứng các hộp thư đến hợp tác/dùng chung, nhưng không được thiết kế làm cô lập đối địch cùng thuê khi người dùng cùng chia sẻ quyền ghi máy chủ/cấu hình.

Mô hình hiển thị ngữ cảnh

OpenClaw tách hai khái niệm:
  • Ủy quyền kích hoạt: ai có thể kích hoạt tác nhân (dmPolicy, groupPolicy, danh sách cho phép, cổng nhắc đến).
  • Hiển thị ngữ cảnh: ngữ cảnh bổ sung nào được chèn vào đầu vào mô hình (nội dung trả lời, văn bản được trích dẫn, lịch sử chuỗi, siêu dữ liệu chuyển tiếp).
Danh sách cho phép kiểm soát kích hoạt và ủy quyền lệnh. Thiết lập contextVisibility kiểm soát cách lọc ngữ cảnh bổ sung (trả lời được trích dẫn, gốc chuỗi, lịch sử được truy xuất):
  • contextVisibility: "all" (mặc định) giữ ngữ cảnh bổ sung như đã nhận.
  • contextVisibility: "allowlist" lọc ngữ cảnh bổ sung theo các người gửi được phép bởi các kiểm tra danh sách cho phép đang hoạt động.
  • contextVisibility: "allowlist_quote" hoạt động như allowlist, nhưng vẫn giữ một trả lời được trích dẫn rõ ràng.
Đặt contextVisibility theo từng kênh hoặc từng phòng/cuộc trò chuyện. Xem Trò chuyện nhóm để biết chi tiết thiết lập. Hướng dẫn phân loại tư vấn:
  • Các báo cáo chỉ cho thấy “model có thể thấy văn bản được trích dẫn hoặc văn bản lịch sử từ người gửi không nằm trong danh sách cho phép” là phát hiện tăng cường bảo vệ có thể xử lý bằng contextVisibility, bản thân chúng không phải là lỗi vượt qua ranh giới xác thực hoặc sandbox.
  • Để có tác động bảo mật, báo cáo vẫn cần chứng minh việc vượt qua ranh giới tin cậy (xác thực, chính sách, sandbox, phê duyệt, hoặc một ranh giới khác đã được ghi nhận).

Nội dung kiểm tra của kiểm toán (mức cao)

  • Truy cập đầu vào (chính sách DM, chính sách nhóm, danh sách cho phép): người lạ có thể kích hoạt bot không?
  • Phạm vi ảnh hưởng của công cụ (công cụ đặc quyền + phòng mở): prompt injection có thể biến thành hành động shell/tệp/mạng không?
  • Sai lệch phê duyệt exec (security=full, autoAllowSkills, danh sách cho phép trình thông dịch không có strictInlineEval): các chốt bảo vệ host-exec có còn hoạt động như bạn nghĩ không?
    • security="full" là cảnh báo tư thế bảo mật rộng, không phải bằng chứng lỗi. Đây là mặc định được chọn cho các thiết lập trợ lý cá nhân đáng tin cậy; chỉ siết chặt khi mô hình đe dọa của bạn cần chốt phê duyệt hoặc danh sách cho phép.
  • Phơi bày mạng (Gateway bind/auth, Tailscale Serve/Funnel, token xác thực yếu/ngắn).
  • Phơi bày điều khiển trình duyệt (node từ xa, cổng relay, endpoint CDP từ xa).
  • Vệ sinh đĩa cục bộ (quyền, symlink, config include, đường dẫn “thư mục được đồng bộ”).
  • Plugin (plugin được tải mà không có danh sách cho phép rõ ràng).
  • Sai lệch/sai cấu hình chính sách (thiết lập sandbox docker đã được cấu hình nhưng chế độ sandbox đang tắt; mẫu gateway.nodes.denyCommands không hiệu quả vì việc khớp chỉ theo đúng tên lệnh (ví dụ system.run) và không kiểm tra văn bản shell; mục gateway.nodes.allowCommands nguy hiểm; tools.profile="minimal" toàn cục bị ghi đè bởi hồ sơ theo từng agent; công cụ do plugin sở hữu có thể truy cập dưới chính sách công cụ quá rộng).
  • Sai lệch kỳ vọng runtime (ví dụ giả định exec ngầm vẫn có nghĩa là sandbox khi tools.exec.host hiện mặc định là auto, hoặc đặt rõ tools.exec.host="sandbox" trong khi chế độ sandbox đang tắt).
  • Vệ sinh model (cảnh báo khi các model đã cấu hình có vẻ cũ; không phải chặn cứng).
Nếu chạy --deep, OpenClaw cũng thử thăm dò Gateway trực tiếp theo nỗ lực tốt nhất.

Bản đồ lưu trữ thông tin xác thực

Dùng phần này khi kiểm toán quyền truy cập hoặc quyết định cần sao lưu gì:
  • WhatsApp: ~/.openclaw/credentials/whatsapp/<accountId>/creds.json
  • Token bot Telegram: config/env hoặc channels.telegram.tokenFile (chỉ tệp thông thường; symlink bị từ chối)
  • Token bot Discord: config/env hoặc SecretRef (nhà cung cấp env/file/exec)
  • Token Slack: config/env (channels.slack.*)
  • Danh sách cho phép ghép đôi:
    • ~/.openclaw/credentials/<channel>-allowFrom.json (tài khoản mặc định)
    • ~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json (tài khoản không mặc định)
  • Hồ sơ xác thực model: ~/.openclaw/agents/<agentId>/agent/auth-profiles.json
  • Payload bí mật dựa trên tệp (tùy chọn): ~/.openclaw/secrets.json
  • Nhập OAuth cũ: ~/.openclaw/credentials/oauth.json

Danh sách kiểm tra kiểm toán bảo mật

Khi kiểm toán in ra phát hiện, hãy xử lý theo thứ tự ưu tiên này:
  1. Bất cứ thứ gì “mở” + công cụ được bật: khóa DM/nhóm trước (ghép đôi/danh sách cho phép), rồi siết chính sách công cụ/sandboxing.
  2. Phơi bày mạng công cộng (LAN bind, Funnel, thiếu xác thực): sửa ngay.
  3. Phơi bày điều khiển trình duyệt từ xa: xử lý như quyền truy cập của người vận hành (chỉ tailnet, ghép node có chủ đích, tránh phơi bày công khai).
  4. Quyền: bảo đảm state/config/credentials/auth không thể đọc bởi group/world.
  5. Plugin: chỉ tải những gì bạn tin tưởng rõ ràng.
  6. Lựa chọn model: ưu tiên model hiện đại, được tăng cường tuân thủ chỉ dẫn cho mọi bot có công cụ.

Thuật ngữ kiểm toán bảo mật

Mỗi phát hiện kiểm toán được định danh bằng một checkId có cấu trúc (ví dụ gateway.bind_no_auth hoặc tools.exec.security_full_configured). Các lớp mức độ nghiêm trọng thường gặp:
  • fs.* — quyền hệ thống tệp trên state, config, thông tin xác thực, hồ sơ xác thực.
  • gateway.* — chế độ bind, xác thực, Tailscale, Control UI, thiết lập trusted-proxy.
  • hooks.*, browser.*, sandbox.*, tools.exec.* — tăng cường bảo vệ theo từng bề mặt.
  • plugins.*, skills.* — chuỗi cung ứng plugin/skill và phát hiện quét.
  • security.exposure.* — kiểm tra xuyên suốt nơi chính sách truy cập gặp phạm vi ảnh hưởng của công cụ.
Xem danh mục đầy đủ với mức độ nghiêm trọng, khóa sửa lỗi và hỗ trợ tự động sửa tại Kiểm tra kiểm toán bảo mật.

Control UI qua HTTP

Control UI cần một ngữ cảnh bảo mật (HTTPS hoặc localhost) để tạo danh tính thiết bị. gateway.controlUi.allowInsecureAuth là công tắc tương thích cục bộ:
  • Trên localhost, nó cho phép xác thực Control UI không cần danh tính thiết bị khi trang được tải qua HTTP không bảo mật.
  • Nó không bỏ qua kiểm tra ghép đôi.
  • Nó không nới lỏng yêu cầu danh tính thiết bị từ xa (không phải localhost).
Ưu tiên HTTPS (Tailscale Serve) hoặc mở UI trên 127.0.0.1. Chỉ dùng cho tình huống khẩn cấp, gateway.controlUi.dangerouslyDisableDeviceAuth tắt hoàn toàn kiểm tra danh tính thiết bị. Đây là hạ cấp bảo mật nghiêm trọng; hãy để tắt trừ khi bạn đang chủ động gỡ lỗi và có thể hoàn nguyên nhanh. Tách biệt với các cờ nguy hiểm đó, gateway.auth.mode: "trusted-proxy" thành công có thể cho phép phiên Control UI operator mà không cần danh tính thiết bị. Đó là hành vi có chủ đích của chế độ xác thực, không phải lối tắt allowInsecureAuth, và nó vẫn không mở rộng tới phiên Control UI vai trò node. openclaw security audit cảnh báo khi thiết lập này được bật.

Tóm tắt cờ không bảo mật hoặc nguy hiểm

openclaw security audit phát sinh config.insecure_or_dangerous_flags khi các công tắc gỡ lỗi không bảo mật/nguy hiểm đã biết được bật. Không đặt các cờ này trong production.
  • gateway.controlUi.allowInsecureAuth=true
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true
  • gateway.controlUi.dangerouslyDisableDeviceAuth=true
  • hooks.gmail.allowUnsafeExternalContent=true
  • hooks.mappings[<index>].allowUnsafeExternalContent=true
  • tools.exec.applyPatch.workspaceOnly=false
  • plugins.entries.acpx.config.permissionMode=approve-all
Control UI và trình duyệt:
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
  • gateway.controlUi.dangerouslyDisableDeviceAuth
  • browser.ssrfPolicy.dangerouslyAllowPrivateNetwork
Khớp tên kênh (kênh đi kèm và kênh plugin; cũng có sẵn theo từng accounts.<accountId> khi áp dụng):
  • channels.discord.dangerouslyAllowNameMatching
  • channels.slack.dangerouslyAllowNameMatching
  • channels.googlechat.dangerouslyAllowNameMatching
  • channels.msteams.dangerouslyAllowNameMatching
  • channels.synology-chat.dangerouslyAllowNameMatching (kênh plugin)
  • channels.synology-chat.dangerouslyAllowInheritedWebhookPath (kênh plugin)
  • channels.zalouser.dangerouslyAllowNameMatching (kênh plugin)
  • channels.irc.dangerouslyAllowNameMatching (kênh plugin)
  • channels.mattermost.dangerouslyAllowNameMatching (kênh plugin)
Phơi bày mạng:
  • channels.telegram.network.dangerouslyAllowPrivateNetwork (cũng theo từng tài khoản)
Sandbox Docker (mặc định + theo từng agent):
  • agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargets
  • agents.defaults.sandbox.docker.dangerouslyAllowExternalBindSources
  • agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin

Cấu hình reverse proxy

Nếu bạn chạy Gateway phía sau reverse proxy (nginx, Caddy, Traefik, v.v.), hãy cấu hình gateway.trustedProxies để xử lý IP client được chuyển tiếp đúng cách. Khi Gateway phát hiện header proxy từ một địa chỉ không nằm trong trustedProxies, nó sẽ không xem kết nối là client cục bộ. Nếu xác thực gateway bị tắt, các kết nối đó sẽ bị từ chối. Điều này ngăn việc vượt qua xác thực, trong đó kết nối qua proxy nếu không sẽ trông như đến từ localhost và nhận tin cậy tự động. gateway.trustedProxies cũng cấp dữ liệu cho gateway.auth.mode: "trusted-proxy", nhưng chế độ xác thực đó nghiêm ngặt hơn:
  • xác thực trusted-proxy mặc định thất bại đóng đối với proxy nguồn loopback
  • reverse proxy loopback cùng host có thể dùng gateway.trustedProxies để phát hiện client cục bộ và xử lý IP được chuyển tiếp
  • reverse proxy loopback cùng host chỉ có thể thỏa mãn gateway.auth.mode: "trusted-proxy" khi gateway.auth.trustedProxy.allowLoopback = true; nếu không, hãy dùng xác thực token/mật khẩu
gateway:
  trustedProxies:
    - "10.0.0.1" # reverse proxy IP
  # Optional. Default false.
  # Only enable if your proxy cannot provide X-Forwarded-For.
  allowRealIpFallback: false
  auth:
    mode: password
    password: ${OPENCLAW_GATEWAY_PASSWORD}
Khi trustedProxies được cấu hình, Gateway dùng X-Forwarded-For để xác định IP client. X-Real-IP bị bỏ qua theo mặc định trừ khi gateway.allowRealIpFallback: true được đặt rõ ràng. Header proxy đáng tin cậy không khiến việc ghép đôi thiết bị node tự động đáng tin cậy. gateway.nodes.pairing.autoApproveCidrs là chính sách người vận hành riêng, mặc định bị tắt. Ngay cả khi được bật, các đường dẫn header trusted-proxy nguồn loopback bị loại khỏi tự động phê duyệt node vì caller cục bộ có thể giả mạo các header đó, kể cả khi xác thực trusted-proxy loopback được bật rõ ràng. Hành vi reverse proxy tốt (ghi đè header chuyển tiếp đầu vào): 
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;
Hành vi reverse proxy xấu (nối/giữ lại header chuyển tiếp không đáng tin cậy): 
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

Ghi chú HSTS và origin

  • OpenClaw gateway ưu tiên cục bộ/loopback. Nếu bạn kết thúc TLS tại reverse proxy, hãy đặt HSTS trên domain HTTPS hướng proxy ở đó.
  • Nếu chính gateway kết thúc HTTPS, bạn có thể đặt gateway.http.securityHeaders.strictTransportSecurity để phát header HSTS từ phản hồi OpenClaw.
  • Hướng dẫn triển khai chi tiết nằm trong Trusted Proxy Auth.
  • Với triển khai Control UI không phải loopback, gateway.controlUi.allowedOrigins là bắt buộc theo mặc định.
  • gateway.controlUi.allowedOrigins: ["*"] là chính sách allow-all browser-origin rõ ràng, không phải mặc định đã được tăng cường bảo vệ. Tránh dùng ngoài kiểm thử cục bộ được kiểm soát chặt.
  • Lỗi xác thực browser-origin trên loopback vẫn bị giới hạn tốc độ ngay cả khi miễn trừ loopback chung được bật, nhưng khóa lockout được phân phạm vi theo từng giá trị Origin đã chuẩn hóa thay vì một bucket localhost dùng chung.
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true bật chế độ origin fallback theo Host-header; hãy xem đó là chính sách nguy hiểm do người vận hành chọn.
  • Xem DNS rebinding và hành vi proxy-host header là mối quan tâm tăng cường bảo vệ triển khai; giữ trustedProxies chặt chẽ và tránh phơi bày gateway trực tiếp lên internet công cộng.

Nhật ký phiên cục bộ nằm trên đĩa

OpenClaw lưu bản ghi phiên trên đĩa tại ~/.openclaw/agents/<agentId>/sessions/*.jsonl. Điều này cần thiết cho tính liên tục của phiên và (tùy chọn) lập chỉ mục bộ nhớ phiên, nhưng cũng có nghĩa là bất kỳ tiến trình/người dùng nào có quyền truy cập hệ thống tệp đều có thể đọc các nhật ký đó. Hãy xem quyền truy cập đĩa là ranh giới tin cậy và khóa quyền trên ~/.openclaw (xem phần kiểm toán bên dưới). Nếu cần cách ly mạnh hơn giữa các agent, hãy chạy chúng dưới người dùng OS riêng hoặc host riêng.

Thực thi node (system.run)

Nếu một node macOS đã được ghép đôi, Gateway có thể gọi system.run trên node đó. Đây là thực thi mã từ xa trên Mac:
  • Yêu cầu ghép đôi Node (phê duyệt + mã thông báo).
  • Ghép đôi Node Gateway không phải là bề mặt phê duyệt theo từng lệnh. Nó thiết lập danh tính/độ tin cậy của Node và phát hành mã thông báo.
  • Gateway áp dụng chính sách lệnh Node toàn cục thô thông qua gateway.nodes.allowCommands / denyCommands.
  • Được kiểm soát trên Mac qua Settings → Exec approvals (bảo mật + hỏi + allowlist).
  • Chính sách system.run theo từng Node là tệp phê duyệt exec riêng của Node (exec.approvals.node.*), có thể chặt hơn hoặc lỏng hơn chính sách ID lệnh toàn cục của Gateway.
  • Một Node chạy với security="full"ask="off" đang tuân theo mô hình mặc định dành cho người vận hành đáng tin cậy. Hãy coi đó là hành vi mong đợi trừ khi triển khai của bạn yêu cầu lập trường phê duyệt hoặc allowlist chặt hơn một cách rõ ràng.
  • Chế độ phê duyệt ràng buộc ngữ cảnh yêu cầu chính xác và, khi có thể, một toán hạng tập lệnh/tệp cục bộ cụ thể. Nếu OpenClaw không thể xác định chính xác một tệp cục bộ trực tiếp cho lệnh trình thông dịch/runtime, việc thực thi dựa trên phê duyệt sẽ bị từ chối thay vì hứa hẹn bao phủ đầy đủ về mặt ngữ nghĩa.
  • Với host=node, các lần chạy dựa trên phê duyệt cũng lưu một systemRunPlan đã chuẩn bị ở dạng chuẩn; các lần chuyển tiếp đã phê duyệt về sau tái sử dụng kế hoạch đã lưu đó, và xác thực của gateway từ chối các chỉnh sửa của caller đối với ngữ cảnh lệnh/cwd/session sau khi yêu cầu phê duyệt đã được tạo.
  • Nếu bạn không muốn thực thi từ xa, đặt bảo mật thành deny và gỡ bỏ ghép đôi Node cho Mac đó.
Sự phân biệt này quan trọng khi phân loại sự cố:
  • Một Node đã ghép đôi kết nối lại và quảng bá một danh sách lệnh khác tự nó không phải là lỗ hổng nếu chính sách toàn cục của Gateway và các phê duyệt exec cục bộ của Node vẫn thực thi ranh giới thực thi thực tế.
  • Các báo cáo coi siêu dữ liệu ghép đôi Node như một lớp phê duyệt theo từng lệnh ẩn thứ hai thường là nhầm lẫn về chính sách/UX, không phải là vượt qua ranh giới bảo mật.

Skills động (watcher / Node từ xa)

OpenClaw có thể làm mới danh sách Skills giữa phiên:
  • Skills watcher: thay đổi đối với SKILL.md có thể cập nhật snapshot Skills ở lượt agent tiếp theo.
  • Node từ xa: việc kết nối một Node macOS có thể làm cho Skills chỉ dành cho macOS đủ điều kiện (dựa trên dò tìm bin).
Hãy coi các thư mục skill là mã đáng tin cậy và hạn chế người có thể sửa đổi chúng.

Mô hình mối đe dọa

Trợ lý AI của bạn có thể:
  • Thực thi lệnh shell tùy ý
  • Đọc/ghi tệp
  • Truy cập dịch vụ mạng
  • Gửi tin nhắn cho bất kỳ ai (nếu bạn cấp cho nó quyền truy cập WhatsApp)
Những người nhắn tin cho bạn có thể:
  • Cố lừa AI của bạn làm những việc xấu
  • Dùng kỹ thuật xã hội để giành quyền truy cập vào dữ liệu của bạn
  • Thăm dò chi tiết hạ tầng

Khái niệm cốt lõi: kiểm soát truy cập trước trí thông minh

Hầu hết lỗi ở đây không phải là khai thác tinh vi — mà là “ai đó nhắn tin cho bot và bot làm theo yêu cầu.” Lập trường của OpenClaw:
  • Danh tính trước: quyết định ai có thể nói chuyện với bot (ghép đôi DM / allowlist / “open” rõ ràng).
  • Phạm vi tiếp theo: quyết định nơi bot được phép hành động (allowlist nhóm + cổng nhắc đến, công cụ, sandboxing, quyền thiết bị).
  • Mô hình sau cùng: giả định mô hình có thể bị thao túng; thiết kế sao cho thao túng có phạm vi ảnh hưởng hạn chế.

Mô hình ủy quyền lệnh

Slash commands và chỉ thị chỉ được tôn trọng đối với người gửi đã được ủy quyền. Ủy quyền được suy ra từ allowlist/ghép đôi của kênh cộng với commands.useAccessGroups (xem Cấu hìnhSlash commands). Nếu allowlist của một kênh trống hoặc bao gồm "*", các lệnh về cơ bản là mở cho kênh đó. /exec là tiện ích chỉ theo phiên dành cho người vận hành đã được ủy quyền. Nó không ghi cấu hình hoặc thay đổi các phiên khác.

Rủi ro công cụ control plane

Hai công cụ tích hợp có thể tạo thay đổi control-plane bền vững:
  • gateway có thể kiểm tra cấu hình bằng config.schema.lookup / config.get, và có thể tạo thay đổi bền vững bằng config.apply, config.patch, và update.run.
  • cron có thể tạo các tác vụ đã lên lịch tiếp tục chạy sau khi chat/tác vụ ban đầu kết thúc.
Công cụ runtime gateway chỉ dành cho owner vẫn từ chối ghi lại tools.exec.ask hoặc tools.exec.security; các bí danh legacy tools.bash.* được chuẩn hóa về cùng các đường dẫn exec được bảo vệ trước khi ghi. Các chỉnh sửa gateway config.applygateway config.patch do agent điều khiển mặc định fail-closed: chỉ một tập hẹp các đường dẫn prompt, model, và mention-gating có thể được agent tinh chỉnh. Vì vậy, các cây cấu hình nhạy cảm mới được bảo vệ trừ khi chúng được cố ý thêm vào allowlist. Với mọi agent/bề mặt xử lý nội dung không đáng tin cậy, mặc định hãy từ chối các công cụ này: 
{
  tools: {
    deny: ["gateway", "cron", "sessions_spawn", "sessions_send"],
  },
}
commands.restart=false chỉ chặn hành động khởi động lại. Nó không vô hiệu hóa các hành động cấu hình/cập nhật của gateway.

Plugins

Plugins chạy trong cùng tiến trình với Gateway. Hãy coi chúng là mã đáng tin cậy:
  • Chỉ cài đặt plugins từ các nguồn bạn tin tưởng.
  • Ưu tiên allowlist plugins.allow rõ ràng.
  • Xem xét cấu hình plugin trước khi bật.
  • Khởi động lại Gateway sau các thay đổi plugin.
  • Nếu bạn cài đặt hoặc cập nhật plugins (openclaw plugins install <package>, openclaw plugins update <id>), hãy coi việc đó như chạy mã không đáng tin cậy:
    • Đường dẫn cài đặt là thư mục theo từng plugin dưới gốc cài đặt plugin đang hoạt động.
    • OpenClaw chạy một lượt quét mã nguy hiểm tích hợp trước khi cài đặt/cập nhật. Các phát hiện critical mặc định sẽ chặn.
    • OpenClaw dùng npm pack, rồi chạy npm install --omit=dev --ignore-scripts cục bộ theo dự án trong thư mục đó. Các thiết lập cài đặt npm toàn cục kế thừa bị bỏ qua để dependency nằm dưới đường dẫn cài đặt plugin.
    • Ưu tiên các phiên bản được ghim, chính xác (@scope/pkg@1.2.3), và kiểm tra mã đã giải nén trên đĩa trước khi bật.
    • --dangerously-force-unsafe-install chỉ là phương án khẩn cấp cho false positive của lượt quét tích hợp trong luồng cài đặt/cập nhật plugin. Nó không vượt qua các chặn chính sách hook before_install của plugin và không vượt qua lỗi quét.
    • Cài đặt dependency của skill dựa trên Gateway tuân theo cùng phân tách nguy hiểm/nghi ngờ: các phát hiện critical tích hợp sẽ chặn trừ khi caller đặt rõ dangerouslyForceUnsafeInstall, trong khi phát hiện nghi ngờ vẫn chỉ cảnh báo. openclaw skills install vẫn là luồng tải/cài đặt skill ClawHub riêng biệt.
Chi tiết: Plugins

Mô hình truy cập DM: ghép đôi, allowlist, open, disabled

Tất cả kênh hiện tại có khả năng DM đều hỗ trợ chính sách DM (dmPolicy hoặc *.dm.policy) kiểm soát DM đến trước khi tin nhắn được xử lý:
  • pairing (mặc định): người gửi không xác định nhận một mã ghép đôi ngắn và bot bỏ qua tin nhắn của họ cho đến khi được phê duyệt. Mã hết hạn sau 1 giờ; các DM lặp lại sẽ không gửi lại mã cho đến khi một yêu cầu mới được tạo. Các yêu cầu đang chờ được giới hạn ở 3 mỗi kênh theo mặc định.
  • allowlist: người gửi không xác định bị chặn (không có bắt tay ghép đôi).
  • open: cho phép bất kỳ ai DM (công khai). Yêu cầu allowlist của kênh bao gồm "*" (opt-in rõ ràng).
  • disabled: bỏ qua hoàn toàn DM đến.
Phê duyệt qua CLI: 
openclaw pairing list <channel>
openclaw pairing approve <channel> <code>
Chi tiết + tệp trên đĩa: Ghép đôi

Cô lập phiên DM (chế độ nhiều người dùng)

Theo mặc định, OpenClaw định tuyến tất cả DM vào phiên chính để trợ lý của bạn có tính liên tục trên các thiết bị và kênh. Nếu nhiều người có thể DM bot (DM mở hoặc allowlist nhiều người), hãy cân nhắc cô lập các phiên DM: 
{
  session: { dmScope: "per-channel-peer" },
}
Điều này ngăn rò rỉ ngữ cảnh giữa người dùng trong khi vẫn giữ chat nhóm được cô lập. Đây là ranh giới ngữ cảnh nhắn tin, không phải ranh giới quản trị host. Nếu người dùng đối kháng lẫn nhau và dùng chung cùng host/cấu hình Gateway, thay vào đó hãy chạy gateway riêng cho từng ranh giới tin cậy.

Chế độ DM bảo mật (khuyến nghị)

Hãy coi đoạn cấu hình trên là chế độ DM bảo mật:
  • Mặc định: session.dmScope: "main" (tất cả DM chia sẻ một phiên để giữ tính liên tục).
  • Mặc định onboarding CLI cục bộ: ghi session.dmScope: "per-channel-peer" khi chưa đặt (giữ các giá trị rõ ràng hiện có).
  • Chế độ DM bảo mật: session.dmScope: "per-channel-peer" (mỗi cặp kênh+người gửi nhận một ngữ cảnh DM cô lập).
  • Cô lập peer xuyên kênh: session.dmScope: "per-peer" (mỗi người gửi nhận một phiên trên tất cả kênh cùng loại).
Nếu bạn chạy nhiều tài khoản trên cùng một kênh, hãy dùng per-account-channel-peer thay thế. Nếu cùng một người liên hệ bạn trên nhiều kênh, hãy dùng session.identityLinks để gộp các phiên DM đó vào một danh tính chuẩn. Xem Quản lý phiênCấu hình.

Allowlist cho DM và nhóm

OpenClaw có hai lớp “ai có thể kích hoạt tôi?” riêng biệt:
  • Allowlist DM (allowFrom / channels.discord.allowFrom / channels.slack.allowFrom; legacy: channels.discord.dm.allowFrom, channels.slack.dm.allowFrom): ai được phép nói chuyện với bot trong tin nhắn trực tiếp.
    • Khi dmPolicy="pairing", các phê duyệt được ghi vào kho allowlist ghép đôi theo phạm vi tài khoản dưới ~/.openclaw/credentials/ (<channel>-allowFrom.json cho tài khoản mặc định, <channel>-<accountId>-allowFrom.json cho tài khoản không mặc định), được hợp nhất với allowlist cấu hình.
  • Allowlist nhóm (theo từng kênh): nhóm/kênh/guild nào bot sẽ chấp nhận tin nhắn từ đó.
    • Mẫu phổ biến:
      • channels.whatsapp.groups, channels.telegram.groups, channels.imessage.groups: mặc định theo từng nhóm như requireMention; khi được đặt, nó cũng đóng vai trò allowlist nhóm (bao gồm "*" để giữ hành vi cho phép tất cả).
      • groupPolicy="allowlist" + groupAllowFrom: hạn chế ai có thể kích hoạt bot bên trong một phiên nhóm (WhatsApp/Telegram/Signal/iMessage/Microsoft Teams).
      • channels.discord.guilds / channels.slack.channels: allowlist theo từng bề mặt + mặc định nhắc đến.
    • Kiểm tra nhóm chạy theo thứ tự này: groupPolicy/allowlist nhóm trước, kích hoạt bằng nhắc đến/trả lời sau.
    • Trả lời tin nhắn bot (nhắc đến ngầm định) không vượt qua allowlist người gửi như groupAllowFrom.
    • Ghi chú bảo mật: coi dmPolicy="open"groupPolicy="open" là các thiết lập phương án cuối. Chúng nên được dùng rất ít; ưu tiên ghép đôi + allowlist trừ khi bạn hoàn toàn tin tưởng mọi thành viên trong phòng.
Chi tiết: Cấu hìnhNhóm

Prompt injection (là gì, vì sao quan trọng)

Prompt injection là khi kẻ tấn công soạn một tin nhắn thao túng mô hình làm điều không an toàn (“bỏ qua chỉ dẫn của bạn”, “đổ hệ thống tệp của bạn ra”, “theo liên kết này và chạy lệnh”, v.v.). Ngay cả với system prompt mạnh, prompt injection chưa được giải quyết. Các guardrail trong system prompt chỉ là hướng dẫn mềm; thực thi cứng đến từ chính sách công cụ, phê duyệt exec, sandboxing, và allowlist kênh (và người vận hành có thể vô hiệu hóa chúng theo thiết kế). Những điều hữu ích trong thực tế:
  • Luôn khóa chặt DM gửi đến (ghép nối/danh sách cho phép).
  • Ưu tiên kiểm soát bằng lượt nhắc trong nhóm; tránh bot “luôn bật” trong phòng công khai.
  • Mặc định xem liên kết, tệp đính kèm và hướng dẫn được dán vào là độc hại.
  • Chạy việc thực thi công cụ nhạy cảm trong sandbox; giữ bí mật ngoài hệ thống tệp mà agent có thể truy cập.
  • Lưu ý: sandbox là tùy chọn bật. Nếu chế độ sandbox tắt, host=auto ngầm định sẽ phân giải tới máy chủ gateway. host=sandbox đặt rõ vẫn thất bại đóng vì không có runtime sandbox khả dụng. Đặt host=gateway nếu bạn muốn hành vi đó được thể hiện rõ trong cấu hình.
  • Giới hạn các công cụ rủi ro cao (exec, browser, web_fetch, web_search) cho các agent đáng tin cậy hoặc danh sách cho phép rõ ràng.
  • Nếu bạn đưa các trình thông dịch vào danh sách cho phép (python, node, ruby, perl, php, lua, osascript), hãy bật tools.exec.strictInlineEval để các dạng eval nội tuyến vẫn cần phê duyệt rõ ràng.
  • Phân tích phê duyệt shell cũng từ chối các dạng mở rộng tham số POSIX ($VAR, $?, $$, $1, $@, ${…}) bên trong heredoc không được trích dẫn, vì vậy phần thân heredoc trong danh sách cho phép không thể lén đưa mở rộng shell vượt qua bước xét duyệt danh sách cho phép dưới dạng văn bản thuần. Trích dẫn dấu kết thúc heredoc (ví dụ <<'EOF') để chọn ngữ nghĩa phần thân dạng literal; heredoc không trích dẫn mà lẽ ra sẽ mở rộng biến sẽ bị từ chối.
  • Lựa chọn mô hình rất quan trọng: các mô hình cũ hơn/nhỏ hơn/di sản kém vững chắc hơn đáng kể trước tiêm prompt và lạm dụng công cụ. Với agent có bật công cụ, hãy dùng mô hình thế hệ mới nhất mạnh nhất, được gia cố theo chỉ dẫn, mà bạn có thể dùng.
Các dấu hiệu cảnh báo cần xem là không đáng tin cậy:
  • “Đọc tệp/URL này và làm chính xác những gì nó nói.”
  • “Bỏ qua system prompt hoặc quy tắc an toàn của bạn.”
  • “Tiết lộ hướng dẫn ẩn hoặc đầu ra công cụ của bạn.”
  • “Dán toàn bộ nội dung của ~/.openclaw hoặc nhật ký của bạn.”

Vệ sinh token đặc biệt cho nội dung bên ngoài

OpenClaw loại bỏ các literal token đặc biệt dạng mẫu trò chuyện LLM tự lưu trữ phổ biến khỏi nội dung bên ngoài đã bọc và siêu dữ liệu trước khi chúng tới mô hình. Các họ marker được bao phủ gồm token vai trò/lượt Qwen/ChatML, Llama, Gemma, Mistral, Phi và GPT-OSS. Lý do:
  • Các backend tương thích OpenAI đứng trước mô hình tự lưu trữ đôi khi giữ nguyên token đặc biệt xuất hiện trong văn bản người dùng, thay vì che chúng. Kẻ tấn công có thể ghi vào nội dung bên ngoài gửi đến (một trang được fetch, thân email, đầu ra công cụ nội dung tệp) nếu không sẽ có thể tiêm một ranh giới vai trò assistant hoặc system giả lập và thoát khỏi các hàng rào bảo vệ nội dung đã bọc.
  • Vệ sinh diễn ra ở lớp bọc nội dung bên ngoài, nên áp dụng thống nhất trên các công cụ fetch/read và nội dung kênh gửi đến thay vì theo từng nhà cung cấp.
  • Phản hồi mô hình gửi ra đã có một bộ vệ sinh riêng loại bỏ <tool_call>, <function_calls>, <system-reminder>, <previous_response> bị rò rỉ và các khung đỡ runtime nội bộ tương tự khỏi câu trả lời hiển thị cho người dùng tại ranh giới phân phối kênh cuối cùng. Bộ vệ sinh nội dung bên ngoài là phần đối ứng cho chiều gửi vào.
Điều này không thay thế các biện pháp gia cố khác trên trang này — dmPolicy, danh sách cho phép, phê duyệt exec, sandbox và contextVisibility vẫn làm phần việc chính. Nó đóng một đường vượt cụ thể ở lớp tokenizer đối với các stack tự lưu trữ chuyển tiếp văn bản người dùng với token đặc biệt còn nguyên.

Cờ bỏ qua nội dung bên ngoài không an toàn

OpenClaw bao gồm các cờ bỏ qua rõ ràng vô hiệu hóa việc bọc an toàn nội dung bên ngoài:
  • hooks.mappings[].allowUnsafeExternalContent
  • hooks.gmail.allowUnsafeExternalContent
  • Trường payload Cron allowUnsafeExternalContent
Hướng dẫn:
  • Giữ các cờ này chưa đặt/false trong production.
  • Chỉ bật tạm thời cho gỡ lỗi có phạm vi chặt chẽ.
  • Nếu bật, hãy cô lập agent đó (sandbox + công cụ tối thiểu + không gian tên phiên chuyên dụng).
Lưu ý rủi ro về hook:
  • Payload hook là nội dung không đáng tin cậy, ngay cả khi việc phân phối đến từ hệ thống bạn kiểm soát (nội dung mail/tài liệu/web có thể mang tiêm prompt).
  • Các tầng mô hình yếu làm tăng rủi ro này. Với tự động hóa do hook điều khiển, hãy ưu tiên các tầng mô hình hiện đại mạnh và giữ chính sách công cụ chặt chẽ (tools.profile: "messaging" hoặc chặt hơn), cộng với sandbox nếu có thể.

Tiêm prompt không yêu cầu DM công khai

Ngay cả khi chỉ bạn có thể nhắn tin cho bot, tiêm prompt vẫn có thể xảy ra qua bất kỳ nội dung không đáng tin cậy nào bot đọc (kết quả web search/fetch, trang trình duyệt, email, tài liệu, tệp đính kèm, nhật ký/mã được dán). Nói cách khác: người gửi không phải là bề mặt đe dọa duy nhất; bản thân nội dung có thể mang hướng dẫn đối kháng. Khi công cụ được bật, rủi ro điển hình là trích xuất trái phép ngữ cảnh hoặc kích hoạt lệnh gọi công cụ. Giảm phạm vi ảnh hưởng bằng cách:
  • Dùng agent đọc chỉ đọc hoặc tắt công cụ để tóm tắt nội dung không đáng tin cậy, rồi chuyển bản tóm tắt cho agent chính của bạn.
  • Tắt web_search / web_fetch / browser cho agent có bật công cụ trừ khi cần.
  • Với đầu vào URL OpenResponses (input_file / input_image), đặt gateway.http.endpoints.responses.files.urlAllowlistgateway.http.endpoints.responses.images.urlAllowlist thật chặt, và giữ maxUrlParts thấp. Danh sách cho phép rỗng được xem là chưa đặt; dùng files.allowUrl: false / images.allowUrl: false nếu bạn muốn tắt hoàn toàn việc fetch URL.
  • Với đầu vào tệp OpenResponses, văn bản input_file đã giải mã vẫn được chèn dưới dạng nội dung bên ngoài không đáng tin cậy. Đừng dựa vào việc văn bản tệp là đáng tin chỉ vì Gateway đã giải mã cục bộ. Khối được chèn vẫn mang các marker ranh giới rõ ràng <<<EXTERNAL_UNTRUSTED_CONTENT ...>>> cùng siêu dữ liệu Source: External, dù đường dẫn này bỏ qua banner SECURITY NOTICE: dài hơn.
  • Cùng kiểu bọc dựa trên marker được áp dụng khi hiểu nội dung media trích xuất văn bản từ tài liệu đính kèm trước khi nối văn bản đó vào prompt media.
  • Bật sandbox và danh sách cho phép công cụ nghiêm ngặt cho mọi agent chạm vào đầu vào không đáng tin cậy.
  • Giữ bí mật ngoài prompt; thay vào đó truyền chúng qua env/cấu hình trên máy chủ gateway.

Backend LLM tự lưu trữ

Các backend tự lưu trữ tương thích OpenAI như vLLM, SGLang, TGI, LM Studio, hoặc các stack tokenizer Hugging Face tùy chỉnh có thể khác với nhà cung cấp được lưu trữ ở cách xử lý token đặc biệt dạng mẫu trò chuyện. Nếu backend token hóa các chuỗi literal như <|im_start|>, <|start_header_id|>, hoặc <start_of_turn> thành token mẫu trò chuyện có cấu trúc bên trong nội dung người dùng, văn bản không đáng tin cậy có thể cố giả mạo ranh giới vai trò ở lớp tokenizer. OpenClaw loại bỏ các literal token đặc biệt thuộc họ mô hình phổ biến khỏi nội dung bên ngoài đã bọc trước khi gửi tới mô hình. Hãy giữ bật việc bọc nội dung bên ngoài, và ưu tiên các thiết lập backend tách hoặc escape token đặc biệt trong nội dung do người dùng cung cấp khi có. Các nhà cung cấp được lưu trữ như OpenAI và Anthropic đã áp dụng vệ sinh phía yêu cầu của riêng họ.

Sức mạnh mô hình (lưu ý bảo mật)

Khả năng kháng tiêm prompt không đồng đều giữa các tầng mô hình. Mô hình nhỏ hơn/rẻ hơn thường dễ bị lạm dụng công cụ và chiếm quyền chỉ dẫn hơn, đặc biệt dưới prompt đối kháng.
Với agent có bật công cụ hoặc agent đọc nội dung không đáng tin cậy, rủi ro tiêm prompt với các mô hình cũ hơn/nhỏ hơn thường quá cao. Đừng chạy các workload đó trên tầng mô hình yếu.
Khuyến nghị:
  • Dùng mô hình thế hệ mới nhất, tầng tốt nhất cho mọi bot có thể chạy công cụ hoặc chạm vào tệp/mạng.
  • Đừng dùng tầng cũ hơn/yếu hơn/nhỏ hơn cho agent có bật công cụ hoặc hộp thư đến không đáng tin cậy; rủi ro tiêm prompt quá cao.
  • Nếu bắt buộc phải dùng mô hình nhỏ hơn, giảm phạm vi ảnh hưởng (công cụ chỉ đọc, sandbox mạnh, quyền truy cập hệ thống tệp tối thiểu, danh sách cho phép nghiêm ngặt).
  • Khi chạy mô hình nhỏ, bật sandbox cho mọi phiêntắt web_search/web_fetch/browser trừ khi đầu vào được kiểm soát chặt chẽ.
  • Với trợ lý cá nhân chỉ trò chuyện, đầu vào đáng tin cậy và không có công cụ, mô hình nhỏ hơn thường ổn.

Suy luận và đầu ra chi tiết trong nhóm

/reasoning, /verbose, và /trace có thể phơi bày suy luận nội bộ, đầu ra công cụ hoặc chẩn đoán Plugin vốn không dành cho kênh công khai. Trong bối cảnh nhóm, hãy xem chúng là chỉ để gỡ lỗi và giữ chúng tắt trừ khi bạn cần rõ ràng. Hướng dẫn:
  • Giữ /reasoning, /verbose, và /trace tắt trong phòng công khai.
  • Nếu bật chúng, chỉ bật trong DM đáng tin cậy hoặc phòng được kiểm soát chặt chẽ.
  • Ghi nhớ: đầu ra verbose và trace có thể bao gồm đối số công cụ, URL, chẩn đoán Plugin và dữ liệu mô hình đã thấy.

Ví dụ gia cố cấu hình

Quyền tệp

Giữ cấu hình + trạng thái riêng tư trên máy chủ gateway:
  • ~/.openclaw/openclaw.json: 600 (chỉ người dùng đọc/ghi)
  • ~/.openclaw: 700 (chỉ người dùng)
openclaw doctor có thể cảnh báo và đề nghị siết chặt các quyền này.

Phơi bày mạng (bind, cổng, tường lửa)

Gateway ghép kênh WebSocket + HTTP trên một cổng duy nhất:
  • Mặc định: 18789
  • Cấu hình/cờ/env: gateway.port, --port, OPENCLAW_GATEWAY_PORT
Bề mặt HTTP này bao gồm Control UI và máy chủ canvas:
  • Control UI (asset SPA) (đường dẫn cơ sở mặc định /)
  • Máy chủ canvas: /__openclaw__/canvas//__openclaw__/a2ui/ (HTML/JS tùy ý; xem là nội dung không đáng tin cậy)
Nếu bạn tải nội dung canvas trong trình duyệt thông thường, hãy xem nó như bất kỳ trang web không đáng tin cậy nào khác:
  • Đừng phơi bày máy chủ canvas cho mạng/người dùng không đáng tin cậy.
  • Đừng để nội dung canvas dùng chung origin với các bề mặt web đặc quyền trừ khi bạn hiểu đầy đủ hệ quả.
Chế độ bind kiểm soát nơi Gateway lắng nghe:
  • gateway.bind: "loopback" (mặc định): chỉ máy khách cục bộ có thể kết nối.
  • Bind không phải loopback ("lan", "tailnet", "custom") mở rộng bề mặt tấn công. Chỉ dùng chúng cùng xác thực gateway (token/mật khẩu dùng chung hoặc proxy đáng tin cậy được cấu hình đúng) và tường lửa thật.
Quy tắc kinh nghiệm:
  • Ưu tiên Tailscale Serve thay vì bind LAN (Serve giữ Gateway trên loopback, và Tailscale xử lý quyền truy cập).
  • Nếu bắt buộc bind vào LAN, hãy dùng tường lửa giới hạn cổng vào danh sách cho phép IP nguồn thật chặt; đừng port-forward rộng rãi.
  • Không bao giờ phơi bày Gateway không xác thực trên 0.0.0.0.

Xuất bản cổng Docker với UFW

Nếu bạn chạy OpenClaw bằng Docker trên VPS, hãy nhớ rằng các cổng container được xuất bản (-p HOST:CONTAINER hoặc Compose ports:) được định tuyến qua các chain chuyển tiếp của Docker, không chỉ các quy tắc INPUT của máy chủ. Để giữ lưu lượng Docker phù hợp với chính sách tường lửa của bạn, hãy thực thi quy tắc trong DOCKER-USER (chain này được đánh giá trước các quy tắc accept riêng của Docker). Trên nhiều distro hiện đại, iptables/ip6tables dùng frontend iptables-nft và vẫn áp dụng các quy tắc này vào backend nftables. Ví dụ danh sách cho phép tối thiểu (IPv4): 
# /etc/ufw/after.rules (append as its own *filter section)
*filter
:DOCKER-USER - [0:0]
-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
-A DOCKER-USER -s 127.0.0.0/8 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 192.168.0.0/16 -j RETURN
-A DOCKER-USER -s 100.64.0.0/10 -j RETURN
-A DOCKER-USER -p tcp --dport 80 -j RETURN
-A DOCKER-USER -p tcp --dport 443 -j RETURN
-A DOCKER-USER -m conntrack --ctstate NEW -j DROP
-A DOCKER-USER -j RETURN
COMMIT
IPv6 có bảng riêng. Thêm chính sách tương ứng trong /etc/ufw/after6.rules nếu Docker IPv6 được bật. Tránh hardcode tên giao diện như eth0 trong đoạn tài liệu. Tên giao diện khác nhau giữa các image VPS (ens3, enp*, v.v.) và sai khớp có thể vô tình bỏ qua quy tắc deny của bạn. Xác thực nhanh sau khi reload: 
ufw reload
iptables -S DOCKER-USER
ip6tables -S DOCKER-USER
nmap -sT -p 1-65535 <public-ip> --open
Cổng bên ngoài dự kiến chỉ nên là những cổng bạn cố ý phơi bày (với hầu hết thiết lập: SSH + các cổng reverse proxy của bạn).

Khám phá mDNS/Bonjour

Gateway phát sóng sự hiện diện qua mDNS (_openclaw-gw._tcp trên cổng 5353) để khám phá thiết bị cục bộ. Ở chế độ đầy đủ, điều này bao gồm các bản ghi TXT có thể phơi bày chi tiết vận hành:
  • cliPath: đường dẫn hệ thống tệp đầy đủ đến tệp nhị phân CLI (tiết lộ tên người dùng và vị trí cài đặt)
  • sshPort: quảng bá khả năng SSH đang khả dụng trên máy chủ
  • displayName, lanHost: thông tin tên máy chủ
Cân nhắc bảo mật vận hành: Việc phát thông tin chi tiết về hạ tầng giúp bất kỳ ai trên mạng cục bộ trinh sát dễ hơn. Ngay cả thông tin “vô hại” như đường dẫn hệ thống tệp và khả năng SSH cũng giúp kẻ tấn công lập bản đồ môi trường của bạn. Khuyến nghị:
  1. Chế độ tối thiểu (mặc định, khuyến nghị cho các Gateway bị phơi bày): bỏ qua các trường nhạy cảm trong bản phát mDNS: 
    {
  discovery: {
    mdns: { mode: "minimal" },
  },
}
  2. Tắt hoàn toàn nếu bạn không cần khám phá thiết bị cục bộ: 
    {
  discovery: {
    mdns: { mode: "off" },
  },
}
  3. Chế độ đầy đủ (chọn bật): đưa cliPath + sshPort vào bản ghi TXT: 
    {
  discovery: {
    mdns: { mode: "full" },
  },
}
  4. Biến môi trường (phương án thay thế): đặt OPENCLAW_DISABLE_BONJOUR=1 để tắt mDNS mà không cần thay đổi cấu hình.
Ở chế độ tối thiểu, Gateway vẫn phát đủ thông tin để khám phá thiết bị (role, gatewayPort, transport) nhưng bỏ qua cliPathsshPort. Các ứng dụng cần thông tin đường dẫn CLI có thể lấy thông tin đó qua kết nối WebSocket đã xác thực.

Khóa chặt WebSocket của Gateway (xác thực cục bộ)

Xác thực Gateway là bắt buộc theo mặc định. Nếu không có đường dẫn xác thực gateway hợp lệ nào được cấu hình, Gateway sẽ từ chối kết nối WebSocket (đóng khi lỗi). Quy trình giới thiệu tạo token theo mặc định (ngay cả cho loopback), vì vậy các client cục bộ phải xác thực. Đặt token để tất cả client WS phải xác thực: 
{
  gateway: {
    auth: { mode: "token", token: "your-token" },
  },
}
Doctor có thể tạo một token cho bạn: openclaw doctor --generate-gateway-token.
gateway.remote.tokengateway.remote.password là nguồn thông tin xác thực của client. Tự thân chúng không bảo vệ quyền truy cập WS cục bộ. Các đường gọi cục bộ chỉ có thể dùng gateway.remote.* làm dự phòng khi gateway.auth.* chưa được đặt. Nếu gateway.auth.token hoặc gateway.auth.password được cấu hình rõ ràng qua SecretRef và không phân giải được, quá trình phân giải sẽ đóng khi lỗi (không có dự phòng từ xa che lấp).
Tùy chọn: ghim TLS từ xa bằng gateway.remote.tlsFingerprint khi dùng wss://. Theo mặc định, văn bản thuần ws:// chỉ dành cho loopback. Với các đường dẫn mạng riêng đáng tin cậy, đặt OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1 trên tiến trình client như một phương án phá kính khẩn cấp. Thiết kế này chỉ dùng môi trường tiến trình, không phải khóa cấu hình openclaw.json. Ghép cặp di động và các tuyến gateway thủ công hoặc quét trên Android nghiêm ngặt hơn: cleartext được chấp nhận cho loopback, nhưng private-LAN, link-local, .local và tên máy chủ không có dấu chấm phải dùng TLS trừ khi bạn chọn rõ ràng đường dẫn cleartext mạng riêng đáng tin cậy. Ghép cặp thiết bị cục bộ:
  • Ghép cặp thiết bị được tự động phê duyệt cho các kết nối local loopback trực tiếp để giữ cho client cùng máy chủ hoạt động mượt.
  • OpenClaw cũng có một đường tự kết nối backend/container-local hẹp cho các luồng trợ giúp dùng shared-secret đáng tin cậy.
  • Các kết nối tailnet và LAN, bao gồm bind tailnet cùng máy chủ, được xem là từ xa đối với ghép cặp và vẫn cần phê duyệt.
  • Bằng chứng forwarded-header trên một yêu cầu loopback sẽ loại bỏ tính cục bộ loopback. Tự động phê duyệt nâng cấp metadata có phạm vi hẹp. Xem Ghép cặp Gateway cho cả hai quy tắc.
Chế độ xác thực:
  • gateway.auth.mode: "token": bearer token dùng chung (khuyến nghị cho hầu hết thiết lập).
  • gateway.auth.mode: "password": xác thực bằng mật khẩu (nên đặt qua env: OPENCLAW_GATEWAY_PASSWORD).
  • gateway.auth.mode: "trusted-proxy": tin cậy reverse proxy nhận biết danh tính để xác thực người dùng và truyền danh tính qua header (xem Xác thực Trusted Proxy).
Danh sách kiểm tra luân chuyển (token/mật khẩu):
  1. Tạo/đặt bí mật mới (gateway.auth.token hoặc OPENCLAW_GATEWAY_PASSWORD).
  2. Khởi động lại Gateway (hoặc khởi động lại ứng dụng macOS nếu ứng dụng giám sát Gateway).
  3. Cập nhật mọi client từ xa (gateway.remote.token / .password trên các máy gọi vào Gateway).
  4. Xác minh rằng bạn không còn có thể kết nối bằng thông tin xác thực cũ.

Header danh tính Tailscale Serve

Khi gateway.auth.allowTailscaletrue (mặc định cho Serve), OpenClaw chấp nhận header danh tính Tailscale Serve (tailscale-user-login) cho xác thực UI/WebSocket điều khiển. OpenClaw xác minh danh tính bằng cách phân giải địa chỉ x-forwarded-for qua daemon Tailscale cục bộ (tailscale whois) và khớp địa chỉ đó với header. Điều này chỉ kích hoạt cho các yêu cầu đi tới loopback và bao gồm x-forwarded-for, x-forwarded-protox-forwarded-host như được Tailscale chèn vào. Đối với đường kiểm tra danh tính bất đồng bộ này, các lần thử thất bại cho cùng {scope, ip} được tuần tự hóa trước khi bộ giới hạn ghi nhận lỗi. Vì vậy, các lần thử lại sai đồng thời từ một client Serve có thể khóa lần thử thứ hai ngay lập tức thay vì chạy đua qua như hai lần không khớp thông thường. Các endpoint HTTP API (ví dụ /v1/*, /tools/invoke/api/channels/*) không dùng xác thực bằng header danh tính Tailscale. Chúng vẫn tuân theo chế độ xác thực HTTP đã cấu hình của gateway. Ghi chú ranh giới quan trọng:
  • Xác thực bearer HTTP của Gateway về thực chất là quyền truy cập operator tất cả hoặc không gì cả.
  • Hãy xem các thông tin xác thực có thể gọi /v1/chat/completions, /v1/responses hoặc /api/channels/* là bí mật operator toàn quyền cho gateway đó.
  • Trên bề mặt HTTP tương thích OpenAI, xác thực bearer bằng shared-secret khôi phục đầy đủ các phạm vi operator mặc định (operator.admin, operator.approvals, operator.pairing, operator.read, operator.talk.secrets, operator.write) và ngữ nghĩa chủ sở hữu cho lượt agent; các giá trị x-openclaw-scopes hẹp hơn không làm giảm đường shared-secret đó.
  • Ngữ nghĩa phạm vi theo từng yêu cầu trên HTTP chỉ áp dụng khi yêu cầu đến từ chế độ mang danh tính như xác thực trusted proxy hoặc gateway.auth.mode="none" trên ingress riêng.
  • Trong các chế độ mang danh tính đó, việc bỏ qua x-openclaw-scopes sẽ quay về bộ phạm vi operator mặc định bình thường; gửi header một cách rõ ràng khi bạn muốn bộ phạm vi hẹp hơn.
  • /tools/invoke tuân theo cùng quy tắc shared-secret: xác thực bearer bằng token/mật khẩu cũng được xem là quyền truy cập operator đầy đủ ở đó, trong khi các chế độ mang danh tính vẫn tôn trọng phạm vi đã khai báo.
  • Không chia sẻ các thông tin xác thực này với caller không đáng tin cậy; nên dùng gateway riêng cho từng ranh giới tin cậy.
Giả định tin cậy: xác thực Serve không token giả định máy chủ gateway là đáng tin cậy. Đừng xem đây là biện pháp bảo vệ trước các tiến trình cùng máy chủ độc hại. Nếu mã cục bộ không đáng tin cậy có thể chạy trên máy chủ gateway, hãy tắt gateway.auth.allowTailscale và yêu cầu xác thực shared-secret rõ ràng bằng gateway.auth.mode: "token" hoặc "password". Quy tắc bảo mật: không chuyển tiếp các header này từ reverse proxy của bạn. Nếu bạn kết thúc TLS hoặc proxy phía trước gateway, hãy tắt gateway.auth.allowTailscale và dùng xác thực shared-secret (gateway.auth.mode: "token" hoặc "password") hoặc Xác thực Trusted Proxy thay thế. Proxy đáng tin cậy:
  • Nếu bạn kết thúc TLS phía trước Gateway, đặt gateway.trustedProxies thành IP của proxy.
  • OpenClaw sẽ tin cậy x-forwarded-for (hoặc x-real-ip) từ các IP đó để xác định IP client cho kiểm tra ghép cặp cục bộ và kiểm tra xác thực/cục bộ HTTP.
  • Đảm bảo proxy của bạn ghi đè x-forwarded-for và chặn truy cập trực tiếp tới cổng Gateway.
Xem TailscaleTổng quan web.

Điều khiển trình duyệt qua node host (khuyến nghị)

Nếu Gateway của bạn ở từ xa nhưng trình duyệt chạy trên một máy khác, hãy chạy một node host trên máy trình duyệt và để Gateway proxy các thao tác trình duyệt (xem Công cụ trình duyệt). Hãy xem ghép cặp node như quyền truy cập quản trị. Mẫu khuyến nghị:
  • Giữ Gateway và node host trên cùng tailnet (Tailscale).
  • Ghép cặp node có chủ đích; tắt định tuyến proxy trình duyệt nếu bạn không cần.
Tránh:
  • Phơi bày cổng relay/điều khiển qua LAN hoặc Internet công cộng.
  • Tailscale Funnel cho endpoint điều khiển trình duyệt (phơi bày công khai).

Bí mật trên đĩa

Giả định bất cứ thứ gì trong ~/.openclaw/ (hoặc $OPENCLAW_STATE_DIR/) đều có thể chứa bí mật hoặc dữ liệu riêng tư:
  • openclaw.json: cấu hình có thể bao gồm token (gateway, gateway từ xa), cài đặt provider và allowlist.
  • credentials/**: thông tin xác thực kênh (ví dụ: thông tin xác thực WhatsApp), allowlist ghép cặp, bản nhập OAuth cũ.
  • agents/<agentId>/agent/auth-profiles.json: khóa API, hồ sơ token, token OAuth và keyRef/tokenRef tùy chọn.
  • secrets.json (tùy chọn): payload bí mật dựa trên tệp được dùng bởi provider SecretRef file (secrets.providers).
  • agents/<agentId>/agent/auth.json: tệp tương thích cũ. Các mục api_key tĩnh được xóa sạch khi phát hiện.
  • agents/<agentId>/sessions/**: bản ghi phiên (*.jsonl) + metadata định tuyến (sessions.json) có thể chứa tin nhắn riêng tư và đầu ra công cụ.
  • gói Plugin đi kèm: các Plugin đã cài đặt (cộng với node_modules/ của chúng).
  • sandboxes/**: workspace sandbox của công cụ; có thể tích lũy bản sao các tệp bạn đọc/ghi bên trong sandbox.
Mẹo gia cố:
  • Giữ quyền chặt chẽ (700 cho thư mục, 600 cho tệp).
  • Dùng mã hóa toàn bộ đĩa trên máy chủ gateway.
  • Nên dùng tài khoản người dùng hệ điều hành riêng cho Gateway nếu máy chủ được dùng chung.

Tệp .env của workspace

OpenClaw tải các tệp .env cục bộ của workspace cho agent và công cụ, nhưng không bao giờ để các tệp đó âm thầm ghi đè các điều khiển runtime của gateway.
  • Mọi khóa bắt đầu bằng OPENCLAW_* đều bị chặn khỏi các tệp .env workspace không đáng tin cậy.
  • Các cài đặt endpoint kênh cho Matrix, Mattermost, IRC và Synology Chat cũng bị chặn khỏi ghi đè .env workspace, để workspace được clone không thể chuyển hướng lưu lượng connector đi kèm qua cấu hình endpoint cục bộ. Các khóa env endpoint (như MATRIX_HOMESERVER, MATTERMOST_URL, IRC_HOST, SYNOLOGY_CHAT_INCOMING_URL) phải đến từ môi trường tiến trình gateway hoặc env.shellEnv, không phải từ .env được tải từ workspace.
  • Chặn theo kiểu đóng khi lỗi: một biến điều khiển runtime mới được thêm trong bản phát hành tương lai không thể được kế thừa từ .env đã được commit hoặc do kẻ tấn công cung cấp; khóa đó bị bỏ qua và gateway giữ giá trị riêng của nó.
  • Các biến môi trường đáng tin cậy của tiến trình/hệ điều hành (shell riêng của gateway, launchd/systemd unit, app bundle) vẫn áp dụng — điều này chỉ ràng buộc việc tải tệp .env.
Lý do: tệp .env workspace thường nằm cạnh mã agent, bị commit nhầm hoặc được công cụ ghi vào. Chặn toàn bộ tiền tố OPENCLAW_* nghĩa là việc thêm cờ OPENCLAW_* mới sau này không bao giờ có thể thoái hóa thành kế thừa âm thầm từ trạng thái workspace.

Nhật ký và bản ghi phiên (biên tập ẩn và lưu giữ)

Nhật ký và bản ghi phiên có thể rò rỉ thông tin nhạy cảm ngay cả khi kiểm soát truy cập là đúng:
  • Nhật ký Gateway có thể bao gồm tóm tắt công cụ, lỗi và URL.
  • Bản ghi phiên có thể bao gồm bí mật đã dán, nội dung tệp, đầu ra lệnh và liên kết.
Khuyến nghị:
  • Bật biên tập ẩn nhật ký và bản ghi phiên (logging.redactSensitive: "tools"; mặc định).
  • Thêm mẫu tùy chỉnh cho môi trường của bạn qua logging.redactPatterns (token, tên máy chủ, URL nội bộ).
  • Khi chia sẻ chẩn đoán, nên dùng openclaw status --all (có thể dán, bí mật đã được biên tập ẩn) thay vì nhật ký thô.
  • Dọn các bản ghi phiên và tệp nhật ký cũ nếu bạn không cần lưu giữ lâu dài.
Chi tiết: Ghi nhật ký

DM: ghép cặp theo mặc định

{
  channels: { whatsapp: { dmPolicy: "pairing" } },
}

Nhóm: yêu cầu nhắc đến ở mọi nơi

{
  "channels": {
    "whatsapp": {
      "groups": {
        "*": { "requireMention": true }
      }
    }
  },
  "agents": {
    "list": [
      {
        "id": "main",
        "groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] }
      }
    ]
  }
}
Trong trò chuyện nhóm, chỉ phản hồi khi được nhắc đến rõ ràng.

Số riêng biệt (WhatsApp, Signal, Telegram)

Đối với các kênh dựa trên số điện thoại, hãy cân nhắc chạy AI của bạn trên một số điện thoại tách biệt với số cá nhân của bạn:
  • Số cá nhân: Các cuộc trò chuyện của bạn vẫn riêng tư
  • Số bot: AI xử lý các cuộc trò chuyện này, với các ranh giới phù hợp

Chế độ chỉ đọc (qua sandbox và công cụ)

Bạn có thể xây dựng một hồ sơ chỉ đọc bằng cách kết hợp:
  • agents.defaults.sandbox.workspaceAccess: "ro" (hoặc "none" nếu không cho phép truy cập workspace)
  • danh sách cho phép/từ chối công cụ chặn write, edit, apply_patch, exec, process, v.v.
Các tùy chọn gia cố bổ sung:
  • tools.exec.applyPatch.workspaceOnly: true (mặc định): đảm bảo apply_patch không thể ghi/xóa bên ngoài thư mục workspace ngay cả khi sandboxing đang tắt. Chỉ đặt thành false nếu bạn chủ ý muốn apply_patch chạm vào các tệp bên ngoài workspace.
  • tools.fs.workspaceOnly: true (tùy chọn): giới hạn các đường dẫn read/write/edit/apply_patch và đường dẫn tự động tải ảnh prompt gốc trong phạm vi thư mục workspace (hữu ích nếu hiện tại bạn cho phép đường dẫn tuyệt đối và muốn có một rào chắn duy nhất).
  • Giữ gốc hệ thống tệp thật hẹp: tránh các gốc quá rộng như thư mục home của bạn cho workspace/sandbox workspace của tác tử. Các gốc rộng có thể để lộ tệp cục bộ nhạy cảm (ví dụ trạng thái/cấu hình trong ~/.openclaw) cho công cụ hệ thống tệp.

Cấu hình nền an toàn (sao chép/dán)

Một cấu hình “mặc định an toàn” giữ Gateway riêng tư, yêu cầu ghép đôi DM và tránh bot nhóm luôn bật: 
{
  gateway: {
    mode: "local",
    bind: "loopback",
    port: 18789,
    auth: { mode: "token", token: "your-long-random-token" },
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } },
    },
  },
}
Nếu bạn cũng muốn thực thi công cụ “an toàn hơn theo mặc định”, hãy thêm sandbox + từ chối các công cụ nguy hiểm cho mọi tác tử không phải chủ sở hữu (ví dụ bên dưới trong “Hồ sơ truy cập theo từng tác tử”). Cấu hình nền tích hợp cho lượt tác tử điều khiển bằng chat: người gửi không phải chủ sở hữu không thể dùng công cụ cron hoặc gateway.

Sandboxing (khuyến nghị)

Tài liệu riêng: Sandboxing Hai cách tiếp cận bổ trợ:
  • Chạy toàn bộ Gateway trong Docker (ranh giới container): Docker
  • Sandbox công cụ (agents.defaults.sandbox, gateway máy chủ + công cụ được cách ly bằng sandbox; Docker là backend mặc định): Sandboxing
Để ngăn truy cập chéo giữa các tác tử, giữ agents.defaults.sandbox.scope"agent" (mặc định) hoặc "session" để cách ly nghiêm ngặt hơn theo từng phiên. scope: "shared" dùng một container hoặc workspace duy nhất.
Cũng nên cân nhắc quyền truy cập workspace của tác tử bên trong sandbox:
  • agents.defaults.sandbox.workspaceAccess: "none" (mặc định) giữ workspace của tác tử ngoài phạm vi truy cập; công cụ chạy với một sandbox workspace trong ~/.openclaw/sandboxes
  • agents.defaults.sandbox.workspaceAccess: "ro" gắn workspace của tác tử ở chế độ chỉ đọc tại /agent (vô hiệu hóa write/edit/apply_patch)
  • agents.defaults.sandbox.workspaceAccess: "rw" gắn workspace của tác tử ở chế độ đọc/ghi tại /workspace
  • Các sandbox.docker.binds bổ sung được xác thực dựa trên đường dẫn nguồn đã chuẩn hóa và canonical hóa. Các thủ thuật symlink cha và bí danh home canonical vẫn bị đóng chặn nếu chúng phân giải vào các gốc bị chặn như /etc, /var/run hoặc thư mục thông tin xác thực dưới home của hệ điều hành.
tools.elevated là lối thoát cấu hình nền toàn cục chạy exec bên ngoài sandbox. Máy chủ hiệu lực mặc định là gateway, hoặc node khi đích exec được cấu hình là node. Giữ tools.elevated.allowFrom thật chặt và đừng bật nó cho người lạ. Bạn có thể hạn chế thêm elevated theo từng tác tử qua agents.list[].tools.elevated. Xem Chế độ elevated.

Rào chắn ủy quyền tác tử phụ

Nếu bạn cho phép công cụ phiên, hãy xem các lượt chạy tác tử phụ được ủy quyền là một quyết định ranh giới khác:
  • Từ chối sessions_spawn trừ khi tác tử thật sự cần ủy quyền.
  • Giới hạn agents.defaults.subagents.allowAgents và mọi ghi đè theo từng tác tử agents.list[].subagents.allowAgents trong các tác tử đích đã biết là an toàn.
  • Với mọi quy trình phải luôn nằm trong sandbox, gọi sessions_spawn với sandbox: "require" (mặc định là inherit).
  • sandbox: "require" thất bại nhanh khi runtime con đích không nằm trong sandbox.

Rủi ro điều khiển trình duyệt

Bật điều khiển trình duyệt cho mô hình khả năng điều khiển một trình duyệt thật. Nếu hồ sơ trình duyệt đó đã chứa các phiên đăng nhập, mô hình có thể truy cập các tài khoản và dữ liệu đó. Hãy xem hồ sơ trình duyệt là trạng thái nhạy cảm:
  • Ưu tiên một hồ sơ chuyên dụng cho tác tử (hồ sơ openclaw mặc định).
  • Tránh trỏ tác tử vào hồ sơ cá nhân dùng hằng ngày của bạn.
  • Giữ điều khiển trình duyệt trên máy chủ bị tắt cho các tác tử trong sandbox trừ khi bạn tin tưởng chúng.
  • API điều khiển trình duyệt local loopback độc lập chỉ tôn trọng xác thực bí mật dùng chung (xác thực bearer bằng token gateway hoặc mật khẩu gateway). Nó không sử dụng header danh tính trusted-proxy hoặc Tailscale Serve.
  • Xem tệp tải xuống từ trình duyệt là đầu vào không đáng tin; ưu tiên một thư mục tải xuống được cách ly.
  • Tắt đồng bộ trình duyệt/trình quản lý mật khẩu trong hồ sơ tác tử nếu có thể (giảm phạm vi ảnh hưởng).
  • Với gateway từ xa, giả định “điều khiển trình duyệt” tương đương “quyền truy cập người vận hành” tới bất cứ thứ gì hồ sơ đó có thể chạm tới.
  • Giữ Gateway và máy chủ node chỉ trong tailnet; tránh để lộ cổng điều khiển trình duyệt cho LAN hoặc Internet công cộng.
  • Tắt định tuyến proxy trình duyệt khi bạn không cần (gateway.nodes.browser.mode="off").
  • Chế độ phiên hiện có của Chrome MCP không “an toàn hơn”; nó có thể hành động như bạn trong bất cứ phạm vi nào hồ sơ Chrome trên máy chủ đó có thể chạm tới.

Chính sách SSRF trình duyệt (mặc định nghiêm ngặt)

Chính sách điều hướng trình duyệt của OpenClaw mặc định là nghiêm ngặt: các đích riêng tư/nội bộ vẫn bị chặn trừ khi bạn chủ động bật.
  • Mặc định: browser.ssrfPolicy.dangerouslyAllowPrivateNetwork không được đặt, nên điều hướng trình duyệt tiếp tục chặn các đích riêng tư/nội bộ/dùng mục đích đặc biệt.
  • Bí danh cũ: browser.ssrfPolicy.allowPrivateNetwork vẫn được chấp nhận để tương thích.
  • Chế độ chủ động bật: đặt browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: true để cho phép các đích riêng tư/nội bộ/dùng mục đích đặc biệt.
  • Ở chế độ nghiêm ngặt, dùng hostnameAllowlist (mẫu như *.example.com) và allowedHostnames (ngoại lệ máy chủ chính xác, bao gồm tên bị chặn như localhost) cho các ngoại lệ rõ ràng.
  • Điều hướng được kiểm tra trước yêu cầu và được kiểm tra lại theo nỗ lực tốt nhất trên URL http(s) cuối cùng sau khi điều hướng để giảm pivot dựa trên chuyển hướng.
Ví dụ chính sách nghiêm ngặt: 
{
  browser: {
    ssrfPolicy: {
      dangerouslyAllowPrivateNetwork: false,
      hostnameAllowlist: ["*.example.com", "example.com"],
      allowedHostnames: ["localhost"],
    },
  },
}

Hồ sơ truy cập theo từng tác tử (đa tác tử)

Với định tuyến đa tác tử, mỗi tác tử có thể có sandbox + chính sách công cụ riêng: hãy dùng cách này để cấp toàn quyền truy cập, chỉ đọc hoặc không truy cập theo từng tác tử. Xem Sandbox & công cụ đa tác tử để biết đầy đủ chi tiết và quy tắc ưu tiên. Các trường hợp sử dụng phổ biến:
  • Tác tử cá nhân: toàn quyền truy cập, không sandbox
  • Tác tử gia đình/công việc: trong sandbox + công cụ chỉ đọc
  • Tác tử công khai: trong sandbox + không có công cụ hệ thống tệp/shell

Ví dụ: toàn quyền truy cập (không sandbox)

{
  agents: {
    list: [
      {
        id: "personal",
        workspace: "~/.openclaw/workspace-personal",
        sandbox: { mode: "off" },
      },
    ],
  },
}

Ví dụ: công cụ chỉ đọc + workspace chỉ đọc

{
  agents: {
    list: [
      {
        id: "family",
        workspace: "~/.openclaw/workspace-family",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "ro",
        },
        tools: {
          allow: ["read"],
          deny: ["write", "edit", "apply_patch", "exec", "process", "browser"],
        },
      },
    ],
  },
}

Ví dụ: không có quyền truy cập hệ thống tệp/shell (cho phép nhắn tin qua nhà cung cấp)

{
  agents: {
    list: [
      {
        id: "public",
        workspace: "~/.openclaw/workspace-public",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "none",
        },
        // Session tools can reveal sensitive data from transcripts. By default OpenClaw limits these tools
        // to the current session + spawned subagent sessions, but you can clamp further if needed.
        // See `tools.sessions.visibility` in the configuration reference.
        tools: {
          sessions: { visibility: "tree" }, // self | tree | agent | all
          allow: [
            "sessions_list",
            "sessions_history",
            "sessions_send",
            "sessions_spawn",
            "session_status",
            "whatsapp",
            "telegram",
            "slack",
            "discord",
          ],
          deny: [
            "read",
            "write",
            "edit",
            "apply_patch",
            "exec",
            "process",
            "browser",
            "canvas",
            "nodes",
            "cron",
            "gateway",
            "image",
          ],
        },
      },
    ],
  },
}

Ứng phó sự cố

Nếu AI của bạn làm điều gì đó xấu:

Khoanh vùng

  1. Dừng nó: dừng ứng dụng macOS (nếu ứng dụng giám sát Gateway) hoặc kết thúc tiến trình openclaw gateway của bạn.
  2. Đóng phơi nhiễm: đặt gateway.bind: "loopback" (hoặc tắt Tailscale Funnel/Serve) cho đến khi bạn hiểu chuyện gì đã xảy ra.
  3. Đóng băng quyền truy cập: chuyển các DM/nhóm rủi ro sang dmPolicy: "disabled" / yêu cầu nhắc đến, và xóa các mục cho phép tất cả "*" nếu bạn đã có.

Xoay vòng (giả định đã bị xâm phạm nếu bí mật bị lộ)

  1. Xoay vòng xác thực Gateway (gateway.auth.token / OPENCLAW_GATEWAY_PASSWORD) và khởi động lại.
  2. Xoay vòng bí mật máy khách từ xa (gateway.remote.token / .password) trên mọi máy có thể gọi Gateway.
  3. Xoay vòng thông tin xác thực nhà cung cấp/API (thông tin xác thực WhatsApp, token Slack/Discord, khóa mô hình/API trong auth-profiles.json, và giá trị payload bí mật đã mã hóa khi được dùng).

Kiểm tra

  1. Kiểm tra nhật ký Gateway: /tmp/openclaw/openclaw-YYYY-MM-DD.log (hoặc logging.file).
  2. Rà soát transcript liên quan: ~/.openclaw/agents/<agentId>/sessions/*.jsonl.
  3. Rà soát các thay đổi cấu hình gần đây (bất cứ thứ gì có thể đã mở rộng quyền truy cập: gateway.bind, gateway.auth, chính sách DM/nhóm, tools.elevated, thay đổi Plugin).
  4. Chạy lại openclaw security audit --deep và xác nhận các phát hiện nghiêm trọng đã được xử lý.

Thu thập cho báo cáo

  • Dấu thời gian, hệ điều hành máy chủ gateway + phiên bản OpenClaw
  • Transcript phiên + phần đuôi nhật ký ngắn (sau khi biên tập ẩn dữ liệu)
  • Kẻ tấn công đã gửi gì + tác tử đã làm gì
  • Gateway có bị phơi nhiễm vượt ra ngoài loopback hay không (LAN/Tailscale Funnel/Serve)

Quét bí mật bằng detect-secrets

CI chạy hook pre-commit detect-secrets trong job secrets. Các lần push lên main luôn chạy quét toàn bộ tệp. Pull request dùng đường tắt theo tệp đã thay đổi khi có commit cơ sở, và quay về quét toàn bộ tệp trong trường hợp khác. Nếu thất bại, có các ứng viên mới chưa có trong baseline.

Nếu CI thất bại

  1. Tái hiện cục bộ: 
    pre-commit run --all-files detect-secrets
  2. Hiểu các công cụ:
    • detect-secrets trong pre-commit chạy detect-secrets-hook với baseline và excludes của repo.
    • detect-secrets audit mở phần rà soát tương tác để đánh dấu từng mục baseline là thật hoặc dương tính giả.
  3. Với bí mật thật: xoay vòng/xóa chúng, rồi chạy lại quét để cập nhật baseline.
  4. Với dương tính giả: chạy audit tương tác và đánh dấu chúng là giả: 
    detect-secrets audit .secrets.baseline
  5. Nếu bạn cần excludes mới, thêm chúng vào .detect-secrets.cfg và tạo lại baseline với các cờ --exclude-files / --exclude-lines tương ứng (tệp cấu hình chỉ để tham chiếu; detect-secrets không tự động đọc tệp đó).
Commit .secrets.baseline đã cập nhật khi nó phản ánh đúng trạng thái dự định.

Báo cáo vấn đề bảo mật

Tìm thấy lỗ hổng trong OpenClaw? Vui lòng báo cáo có trách nhiệm:
  1. Email: security@openclaw.ai
  2. Đừng đăng công khai cho đến khi đã sửa
  3. Chúng tôi sẽ ghi nhận công lao của bạn (trừ khi bạn muốn ẩn danh)