English简体中文繁體中文日本語EspañolPortuguês (BR)한국어DeutschFrançaisالعربيةItalianoTiếng ViệtNederlandsTürkçeУкраїнськаBahasa IndonesiaPolskiفارسیไทย

Gateway

الأمان

النطاق أولًا: نموذج أمان المساعد الشخصي

يفترض إرشاد أمان OpenClaw نشر مساعد شخصي: حد مشغّل موثوق واحد، وربما عدة وكلاء.

  • وضع الأمان المدعوم: مستخدم/حد ثقة واحد لكل Gateway (يفضل مستخدم نظام تشغيل/مضيف/VPS واحد لكل حد).
  • ليس حدًا أمنيًا مدعومًا: Gateway/وكيل مشترك واحد يستخدمه مستخدمون غير موثوقين متبادلًا أو خصوم.
  • إذا كان عزل المستخدمين الخصوم مطلوبًا، فافصل حسب حد الثقة (Gateway + بيانات اعتماد منفصلة، ويفضل مستخدمو نظام تشغيل/مضيفون منفصلون).
  • إذا كان عدة مستخدمين غير موثوقين يستطيعون مراسلة وكيل واحد مفعّل الأدوات، فاعتبرهم مشتركين في نفس صلاحية الأدوات المفوضة لذلك الوكيل.

تشرح هذه الصفحة التقوية ضمن ذلك النموذج. ولا تدّعي عزلًا عدائيًا متعدد المستأجرين على Gateway مشترك واحد.

فحص سريع: openclaw security audit

انظر أيضًا: التحقق الرسمي (نماذج الأمان)

شغّل هذا بانتظام (خصوصًا بعد تغيير الإعدادات أو كشف أسطح الشبكة):

openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --json

يبقى security audit --fix ضيقًا عن قصد: فهو يقلب سياسات المجموعات المفتوحة الشائعة إلى قوائم سماح، ويستعيد logging.redactSensitive: "tools"، ويشدد أذونات الحالة/الإعدادات/ملفات التضمين، ويستخدم إعادة ضبط ACL في Windows بدلًا من chmod الخاص بـ POSIX عند التشغيل على Windows.

ويعلّم على الأخطاء الشائعة (كشف مصادقة Gateway، وكشف التحكم بالمتصفح، وقوائم السماح المرفوعة، وأذونات نظام الملفات، وموافقات التنفيذ المتساهلة، وكشف أدوات القنوات المفتوحة).

OpenClaw منتج وتجربة في الوقت نفسه: أنت تصل سلوك نماذج الحدود بواجهات مراسلة حقيقية وأدوات حقيقية. لا يوجد إعداد "آمن تمامًا". الهدف هو التعمد بشأن:

  • من يستطيع التحدث إلى البوت لديك
  • أين يُسمح للبوت بالتصرف
  • ما الذي يمكن للبوت لمسه

ابدأ بأصغر وصول ما زال يعمل، ثم وسّعه مع اكتسابك الثقة.

النشر وثقة المضيف

يفترض OpenClaw أن المضيف وحدود الإعدادات موثوق بها:

  • إذا كان شخص ما يستطيع تعديل حالة/إعدادات مضيف Gateway (~/.openclaw، بما في ذلك openclaw.json)، فاعتبره مشغّلًا موثوقًا.
  • تشغيل Gateway واحد لعدة مشغّلين غير موثوقين متبادلًا/خصوم ليس إعدادًا موصى به.
  • للفرق ذات الثقة المختلطة، افصل حدود الثقة باستخدام gateways منفصلة (أو على الأقل مستخدمي/مضيفي نظام تشغيل منفصلين).
  • الافتراضي الموصى به: مستخدم واحد لكل جهاز/مضيف (أو VPS)، وGateway واحد لذلك المستخدم، ووكيل واحد أو أكثر داخل ذلك Gateway.
  • داخل مثيل Gateway واحد، يكون وصول المشغّل المصادق عليه دور مستوى تحكم موثوقًا، وليس دور مستأجر لكل مستخدم.
  • معرّفات الجلسات (sessionKey، ومعرّفات الجلسات، والتسميات) محددات توجيه، وليست رموز تفويض.
  • إذا استطاع عدة أشخاص مراسلة وكيل واحد مفعّل الأدوات، فيمكن لكل منهم توجيه مجموعة الأذونات نفسها. يساعد عزل الجلسات/الذاكرة لكل مستخدم في الخصوصية، لكنه لا يحوّل وكيلًا مشتركًا إلى تفويض مضيف لكل مستخدم.

عمليات الملفات الآمنة

يستخدم OpenClaw ‏@openclaw/fs-safe للوصول إلى الملفات ضمن جذر محدد، والكتابات الذرية، واستخراج الأرشيفات، ومساحات العمل المؤقتة، ومساعدات الملفات السرية. يضبط OpenClaw مساعد Python الاختياري الخاص بـ POSIX في fs-safe على إيقاف افتراضيًا؛ اضبط OPENCLAW_FS_SAFE_PYTHON_MODE=auto أو require فقط عندما تريد تقوية إضافية للطفرات النسبية إلى واصفات الملفات ويمكنك دعم وقت تشغيل Python.

التفاصيل: عمليات الملفات الآمنة.

مساحة عمل Slack مشتركة: خطر حقيقي

إذا كان "كل شخص في Slack يستطيع مراسلة البوت"، فالخطر الأساسي هو صلاحية الأدوات المفوضة:

  • يمكن لأي مرسل مسموح له إحداث استدعاءات أدوات (exec، المتصفح، أدوات الشبكة/الملفات) ضمن سياسة الوكيل؛
  • يمكن لحقن المطالبات/المحتوى من مرسل واحد أن يسبب إجراءات تؤثر في حالة مشتركة أو أجهزة أو مخرجات؛
  • إذا كان وكيل مشترك واحد لديه بيانات اعتماد/ملفات حساسة، فيمكن لأي مرسل مسموح له أن يقود احتمالًا عملية استخراج عبر استخدام الأدوات.

استخدم وكلاء/gateways منفصلة بأدوات دنيا لسير عمل الفرق؛ وأبقِ وكلاء البيانات الشخصية خاصين.

وكيل مشترك للشركة: نمط مقبول

هذا مقبول عندما يكون كل من يستخدم ذلك الوكيل ضمن حد الثقة نفسه (مثل فريق شركة واحد) ويكون الوكيل محددًا بصرامة لنطاق العمل.

  • شغّله على جهاز/VM/حاوية مخصصة؛
  • استخدم مستخدم نظام تشغيل مخصصًا + متصفحًا/ملف تعريف/حسابات مخصصة لذلك وقت التشغيل؛
  • لا تسجل الدخول في ذلك وقت التشغيل إلى حسابات Apple/Google شخصية أو ملفات تعريف مدير كلمات مرور/متصفح شخصية.

إذا خلطت الهويات الشخصية وهويات الشركة على وقت التشغيل نفسه، فأنت تلغي الفصل وتزيد خطر كشف البيانات الشخصية.

مفهوم ثقة Gateway وNode

تعامل مع Gateway وNode كنطاق ثقة مشغّل واحد، بأدوار مختلفة:

  • Gateway هو مستوى التحكم وسطح السياسة (gateway.auth، وسياسة الأدوات، والتوجيه).
  • Node هو سطح التنفيذ البعيد المقترن بذلك Gateway (الأوامر، وإجراءات الجهاز، والقدرات المحلية للمضيف).
  • المتصل المصادق عليه لدى Gateway موثوق ضمن نطاق Gateway. بعد الاقتران، تكون إجراءات Node إجراءات مشغّل موثوق على ذلك Node.
  • مستويات نطاق المشغّل وفحوص وقت الموافقة ملخصة في نطاقات المشغّل.
  • يمكن لعملاء الواجهة الخلفية عبر local loopback المباشر المصادق عليهم برمز/كلمة مرور Gateway المشتركة إجراء RPCs داخلية لمستوى التحكم دون تقديم هوية جهاز مستخدم. هذا ليس تجاوزًا للاقتران البعيد أو اقتران المتصفح: ما زال عملاء الشبكة، وعملاء Node، وعملاء رموز الأجهزة، وهويات الأجهزة الصريحة يمرون بإنفاذ الاقتران وترقية النطاق.
  • sessionKey هو اختيار للتوجيه/السياق، وليس مصادقة لكل مستخدم.
  • موافقات التنفيذ (قائمة السماح + السؤال) حواجز حماية لقصد المشغّل، وليست عزلًا عدائيًا متعدد المستأجرين.
  • افتراضي منتج OpenClaw لإعدادات المشغّل الواحد الموثوقة هو السماح بتنفيذ المضيف على gateway/node دون مطالبات موافقة (security="full"، وask="off" ما لم تشدده). ذلك الافتراضي تجربة استخدام مقصودة، وليس ثغرة بحد ذاته.
  • تربط موافقات التنفيذ سياق الطلب الدقيق ومعاملات الملفات المحلية المباشرة بأفضل جهد؛ لكنها لا تمثل دلاليًا كل مسار تحميل في وقت التشغيل/المفسر. استخدم العزل الرملي وعزل المضيف للحدود القوية.

إذا كنت تحتاج إلى عزل المستخدمين الخصوم، فافصل حدود الثقة حسب مستخدم/مضيف نظام التشغيل وشغّل gateways منفصلة.

مصفوفة حدود الثقة

استخدم هذا كنموذج سريع عند فرز المخاطر:

الحد أو عنصر التحكم ما يعنيه سوء الفهم الشائع
gateway.auth (token/password/trusted-proxy/device auth) يصادق المتصلين بواجهات API الخاصة بـ gateway "يحتاج إلى توقيعات لكل رسالة على كل إطار كي يكون آمنًا"
sessionKey مفتاح توجيه لاختيار السياق/الجلسة "مفتاح الجلسة هو حد مصادقة مستخدم"
حواجز حماية المطالبات/المحتوى تقلل خطر إساءة استخدام النموذج "حقن المطالبات وحده يثبت تجاوز المصادقة"
canvas.eval / browser evaluate قدرة مشغّل مقصودة عند تفعيلها "أي بدائية JS eval هي تلقائيًا ثغرة في نموذج الثقة هذا"
صدفة ! في TUI المحلي تنفيذ محلي صريح يطلقه المشغّل "أمر تسهيل الصدفة المحلية هو حقن بعيد"
اقتران Node وأوامر Node تنفيذ بعيد بمستوى المشغّل على الأجهزة المقترنة "ينبغي التعامل مع التحكم البعيد بالجهاز كوصول مستخدم غير موثوق افتراضيًا"
gateway.nodes.pairing.autoApproveCidrs سياسة تسجيل Node لشبكة موثوقة باشتراك صريح "قائمة سماح معطلة افتراضيًا هي ثغرة اقتران تلقائية"

حدود الوكلاء المتعددين والوكلاء الفرعيين

يمكن لـ OpenClaw تشغيل عدة وكلاء داخل Gateway واحد، لكن هؤلاء الوكلاء ما زالوا داخل حد المشغّل الموثوق نفسه ما لم تفصل النشر حسب Gateway أو مستخدم نظام التشغيل أو المضيف أو العزل الرملي. تعامل مع تفويض الوكيل الفرعي كقرار سياسة أدوات وعزل رملي، لا كطبقة تفويض عدائية متعددة المستأجرين.

السلوك المتوقع داخل Gateway موثوق واحد:

  • يمكن لمشغّل مصادق عليه توجيه العمل إلى الجلسات والوكلاء المسموح له باستخدامهم حسب الإعدادات.
  • sessionKey ومعرّف الجلسة والتسميات ومفاتيح جلسات الوكلاء الفرعيين تختار سياق المحادثة. ليست بيانات اعتماد حاملة وليست حدود تفويض لكل مستخدم.
  • للوكلاء الفرعيين جلسات منفصلة افتراضيًا. يستخدم sessions_spawn الأصلي سياقًا معزولًا ما لم يطلب المتصل صراحة context: "fork"؛ أما جلسات المتابعة المرتبطة بالخيط فتستخدم سياقًا متفرعًا لأنها تواصل خيط المحادثة.
  • يمكن للوكيل الفرعي المتفرع رؤية سياق النص الذي أُعطي له عمدًا. هذا متوقع. يصبح مشكلة أمان فقط إذا تلقى سياقًا قالت السياسة إنه يجب ألا يتلقاه.
  • يأتي وصول الأدوات من الملف التعريفي الفعّال، وسياسة القناة/المجموعة/المزوّد، وسياسة العزل الرملي، وسياسة كل وكيل، وطبقة تقييد الوكيل الفرعي. الملف التعريفي الواسع للأدوات يمنح قدرة واسعة عن قصد.
  • تُحل ملفات تعريف مصادقة الوكيل الفرعي حسب معرّف الوكيل الهدف. يمكن أن تكون مصادقة الوكيل الرئيسي متاحة كاحتياط ما لم تفصل بيانات الاعتماد/عمليات النشر؛ لا تعتمد على هوية الوكيل الفرعي وحدها لعزل قوي للأسرار.

ما يُعد تجاوزًا حقيقيًا للحدود:

  • يعمل sessions_spawn رغم أن سياسة الأدوات الفعّالة رفضته.
  • يعمل طفل بلا عزل رملي رغم أن الطالب معزول رمليًا أو أن الاستدعاء طلب sandbox: "require".
  • يتلقى طفل أدوات جلسة أو أدوات نظام أو وصولًا إلى وكيل هدف رفضه الإعداد المحلول.
  • يتحكم وكيل فرعي طرفي في جلسات شقيقة لم ينشئها أو يقتلها أو يوجهها أو يراسلها.
  • يرى وكيل فرعي نصًا أو ذاكرة أو بيانات اعتماد أو ملفات استُبعدت بسياسة صريحة أو حد عزل رملي.
  • يستطيع متصل Gateway/API بلا مصادقة Gateway المطلوبة أو هوية trusted-proxy/device المطلوبة تشغيل وكيل أو أداة.

مفاتيح التقوية:

  • أبقِ sessions_spawn مرفوضًا ما لم يكن الوكيل يحتاج فعلًا إلى التفويض.
  • فضّل tools.profile: "messaging" أو ملفًا تعريفيًا ضيقًا آخر للوكلاء الذين يتحدثون إلى قنوات خارجية.
  • اضبط agents.list[].subagents.requireAgentId: true للوكلاء الذين قد ينشئون عملًا، بحيث يكون اختيار الهدف صريحًا.
  • أبقِ agents.defaults.subagents.allowAgents وagents.list[].subagents.allowAgents ضيقين؛ وتجنب ["*"] للوكلاء الذين يتلقون مدخلات غير موثوقة.
  • استخدم tools.subagents.tools.allow لجعل أدوات الوكيل الفرعي بالسماح فقط بدلًا من وراثة ملف تعريفي أبوي واسع.
  • لسير العمل الذي يجب أن يبقى معزولًا رمليًا، استخدم sessions_spawn مع sandbox: "require".
  • استخدم gateways ومستخدمي نظام تشغيل ومضيفين وملفات تعريف متصفح وبيانات اعتماد منفصلة عندما يكون الوكلاء أو المستخدمون غير موثوقين متبادلًا.

ليست ثغرات حسب التصميم

Common findings that are out of scope

تُبلّغ هذه الأنماط كثيرًا وتُغلق عادةً بلا إجراء ما لم يُثبت تجاوز حقيقي للحدود:

  • سلاسل حقن التعليمات فقط دون تجاوز للسياسة أو المصادقة أو العزل.
  • الادعاءات التي تفترض تشغيلًا عدائيًا متعدد المستأجرين على مضيف مشترك واحد أو إعداد مشترك.
  • الادعاءات التي تصنّف وصول المشغّل الطبيعي عبر مسار القراءة (على سبيل المثال sessions.list / sessions.preview / chat.history) على أنه IDOR في إعداد Gateway مشترك.
  • الادعاءات التي تتعامل مع وراثة السجل المتوقعة عبر context: "fork" على أنها تجاوز للحدود عندما يكون الطالب قد تفرّع صراحةً من ذلك السياق.
  • الادعاءات التي تتعامل مع وصول الأداة الواسع لدى الوكيل الفرعي على أنه تجاوز عندما يكون الملف الشخصي المهيأ أو قائمة السماح قد منحت تلك الأدوات عمدًا.
  • نتائج النشر المقتصر على localhost (على سبيل المثال HSTS على Gateway مقتصر على loopback فقط).
  • نتائج توقيع Discord inbound webhook للمسارات الواردة غير الموجودة في هذا المستودع.
  • التقارير التي تتعامل مع بيانات تعريف إقران Node على أنها طبقة موافقة ثانية مخفية لكل أمر من أجل system.run، بينما يظل حد التنفيذ الحقيقي هو سياسة أوامر Node العامة في Gateway بالإضافة إلى موافقات التنفيذ الخاصة بـ Node نفسها.
  • التقارير التي تتعامل مع gateway.nodes.pairing.autoApproveCidrs المهيأ على أنه ثغرة بحد ذاته. هذا الإعداد معطّل افتراضيًا، ويتطلب إدخالات CIDR/IP صريحة، ولا ينطبق إلا على إقران role: node لأول مرة دون نطاقات مطلوبة، ولا يوافق تلقائيًا على المشغّل/المتصفح/Control UI، أو WebChat، أو ترقيات الدور، أو ترقيات النطاق، أو تغييرات البيانات الوصفية، أو تغييرات المفتاح العام، أو مسارات ترويسة الوكيل الموثوق لنفس المضيف عبر loopback ما لم تكن مصادقة وكيل loopback الموثوق مفعّلة صراحةً.
  • نتائج "تفويض مفقود لكل مستخدم" التي تتعامل مع sessionKey على أنه رمز مصادقة.

خط أساس مقوّى خلال 60 ثانية

استخدم هذا الخط الأساسي أولًا، ثم أعد تمكين الأدوات انتقائيًا لكل وكيل موثوق:

{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "replace-with-long-random-token" },
  },
  session: {
    dmScope: "per-channel-peer",
  },
  tools: {
    profile: "messaging",
    deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
    fs: { workspaceOnly: true },
    exec: { security: "deny", ask: "always" },
    elevated: { enabled: false },
  },
  channels: {
    whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } },
  },
}

يبقي هذا Gateway محليًا فقط، ويعزل الرسائل الخاصة، ويعطّل أدوات مستوى التحكم/وقت التشغيل افتراضيًا.

قاعدة سريعة لصندوق الوارد المشترك

إذا كان بإمكان أكثر من شخص إرسال رسالة خاصة إلى البوت لديك:

  • اضبط session.dmScope: "per-channel-peer" (أو "per-account-channel-peer" للقنوات متعددة الحسابات).
  • أبقِ dmPolicy: "pairing" أو قوائم سماح صارمة.
  • لا تجمع أبدًا بين الرسائل الخاصة المشتركة ووصول واسع للأدوات.
  • هذا يقوّي صناديق الوارد التعاونية/المشتركة، لكنه غير مصمم كعزل عن مستأجر مشارك عدائي عندما يشارك المستخدمون وصول الكتابة إلى المضيف/الإعداد.

نموذج رؤية السياق

يفصل OpenClaw بين مفهومين:

  • تفويض التشغيل: من يمكنه تشغيل الوكيل (dmPolicy، groupPolicy، قوائم السماح، بوابات الإشارة).
  • رؤية السياق: ما السياق التكميلي الذي يُحقن في إدخال النموذج (نص الرد، النص المقتبس، تاريخ المحادثة، البيانات الوصفية المعاد توجيهها).

تتحكم قوائم السماح في التشغيل وتفويض الأوامر. يتحكم إعداد contextVisibility في كيفية ترشيح السياق التكميلي (الردود المقتبسة، جذور المحادثات، التاريخ المجلب):

  • contextVisibility: "all" (الافتراضي) يبقي السياق التكميلي كما ورد.
  • contextVisibility: "allowlist" يرشح السياق التكميلي إلى المرسلين المسموحين عبر فحوصات قائمة السماح النشطة.
  • contextVisibility: "allowlist_quote" يعمل مثل allowlist، لكنه يبقي ردًا مقتبسًا صريحًا واحدًا.

اضبط contextVisibility لكل قناة أو لكل غرفة/محادثة. راجع الدردشات الجماعية لتفاصيل الإعداد.

إرشادات فرز التنبيهات الأمنية:

  • الادعاءات التي تُظهر فقط أن "النموذج يمكنه رؤية نص مقتبس أو تاريخي من مرسلين غير مدرجين في قائمة السماح" هي نتائج تقوية يمكن معالجتها باستخدام contextVisibility، وليست بحد ذاتها تجاوزات لحدود المصادقة أو العزل.
  • لكي تكون التقارير ذات أثر أمني، ما زالت تحتاج إلى تجاوز مثبت لحدود الثقة (مصادقة، سياسة، عزل، موافقة، أو حد موثق آخر).

ما الذي يتحقق منه التدقيق (مستوى عالٍ)

  • الوصول الوارد (سياسات الرسائل الخاصة، سياسات المجموعات، قوائم السماح): هل يمكن للغرباء تشغيل البوت؟
  • نطاق تأثير الأدوات (الأدوات المرتفعة + الغرف المفتوحة): هل يمكن لحقن التعليمات أن يتحول إلى إجراءات shell/ملفات/شبكة؟
  • انحراف موافقة التنفيذ (security=full، وautoAllowSkills، وقوائم سماح المفسرات دون strictInlineEval): هل ما زالت حواجز حماية تنفيذ المضيف تعمل كما تظن؟
    • security="full" تحذير وضع واسع، وليس دليلًا على خطأ. إنه الافتراضي المختار لإعدادات المساعد الشخصي الموثوق؛ شدده فقط عندما يحتاج نموذج التهديد لديك إلى حواجز موافقة أو قوائم سماح.
  • التعرّض الشبكي (ربط/مصادقة Gateway، وTailscale Serve/Funnel، ورموز مصادقة ضعيفة/قصيرة).
  • تعرّض التحكم بالمتصفح (Nodes البعيدة، ومنافذ relay، ونقاط CDP البعيدة).
  • نظافة القرص المحلي (الأذونات، والروابط الرمزية، وتضمينات الإعداد، ومسارات "المجلد المتزامن").
  • Plugins (تُحمّل Plugins دون قائمة سماح صريحة).
  • انحراف/سوء تهيئة السياسة (إعدادات sandbox docker مهيأة لكن وضع sandbox متوقف؛ أنماط gateway.nodes.denyCommands غير فعالة لأن المطابقة تتم باسم الأمر الدقيق فقط (على سبيل المثال system.run) ولا تفحص نص shell؛ إدخالات gateway.nodes.allowCommands الخطرة؛ تجاوز tools.profile="minimal" العام بملفات تعريف لكل وكيل؛ أدوات مملوكة لـ Plugin يمكن الوصول إليها بموجب سياسة أدوات متساهلة).
  • انحراف توقعات وقت التشغيل (على سبيل المثال افتراض أن التنفيذ الضمني ما زال يعني sandbox عندما أصبح tools.exec.host افتراضيًا auto، أو ضبط tools.exec.host="sandbox" صراحةً بينما وضع sandbox متوقف).
  • نظافة النموذج (التحذير عندما تبدو النماذج المهيأة قديمة؛ ليس حظرًا صارمًا).

إذا شغّلت --deep، يحاول OpenClaw أيضًا إجراء فحص Gateway حي بأفضل جهد.

خريطة تخزين بيانات الاعتماد

استخدم هذا عند تدقيق الوصول أو تحديد ما يجب نسخه احتياطيًا:

  • WhatsApp: ~/.openclaw/credentials/whatsapp/<accountId>/creds.json
  • رمز بوت Telegram: config/env أو channels.telegram.tokenFile (ملف عادي فقط؛ تُرفض الروابط الرمزية)
  • رمز بوت Discord: config/env أو SecretRef (موفرو env/file/exec)
  • رموز Slack: config/env (channels.slack.*)
  • قوائم سماح الإقران:
    • ~/.openclaw/credentials/<channel>-allowFrom.json (الحساب الافتراضي)
    • ~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json (الحسابات غير الافتراضية)
  • ملفات تعريف مصادقة النموذج: ~/.openclaw/agents/<agentId>/agent/auth-profiles.json
  • حالة وقت تشغيل Codex: ~/.openclaw/agents/<agentId>/agent/codex-home/
  • حمولة الأسرار المدعومة بملف (اختياري): ~/.openclaw/secrets.json
  • استيراد OAuth القديم: ~/.openclaw/credentials/oauth.json

قائمة تحقق التدقيق الأمني

عندما يطبع التدقيق نتائج، تعامل مع هذا كترتيب أولوية:

  1. أي شيء "مفتوح" + الأدوات مفعلة: اقفل الرسائل الخاصة/المجموعات أولًا (الإقران/قوائم السماح)، ثم شدد سياسة الأدوات/العزل.
  2. التعرّض الشبكي العام (ربط LAN، وFunnel، وغياب المصادقة): أصلحه فورًا.
  3. تعرّض التحكم بالمتصفح عن بُعد: عامله كوصول مشغّل (tailnet فقط، أقرن Nodes عمدًا، وتجنب التعرّض العام).
  4. الأذونات: تأكد من أن الحالة/الإعداد/بيانات الاعتماد/المصادقة ليست قابلة للقراءة من المجموعة/العالم.
  5. Plugins: حمّل فقط ما تثق به صراحةً.
  6. اختيار النموذج: فضّل النماذج الحديثة والمقوّاة تجاه التعليمات لأي بوت لديه أدوات.

مسرد التدقيق الأمني

يرتبط كل اكتشاف تدقيق بمفتاح checkId منظم (على سبيل المثال gateway.bind_no_auth أو tools.exec.security_full_configured). فئات الشدة الحرجة الشائعة:

  • fs.* - أذونات نظام الملفات على الحالة، والإعداد، وبيانات الاعتماد، وملفات تعريف المصادقة.
  • gateway.* - وضع الربط، والمصادقة، وTailscale، وControl UI، وإعداد الوكيل الموثوق.
  • hooks.*، وbrowser.*، وsandbox.*، وtools.exec.* - تقوية لكل سطح.
  • plugins.*، وskills.* - سلسلة توريد Plugin/Skill ونتائج الفحص.
  • security.exposure.* - فحوصات شاملة حيث تلتقي سياسة الوصول بنطاق تأثير الأدوات.

راجع الكتالوج الكامل مع مستويات الشدة، ومفاتيح الإصلاح، ودعم الإصلاح التلقائي في فحوصات التدقيق الأمني.

Control UI عبر HTTP

تحتاج Control UI إلى سياق آمن (HTTPS أو localhost) لإنشاء هوية الجهاز. gateway.controlUi.allowInsecureAuth مفتاح توافق محلي:

  • على localhost، يسمح بمصادقة Control UI دون هوية جهاز عندما تُحمّل الصفحة عبر HTTP غير آمن.
  • لا يتجاوز فحوصات الإقران.
  • لا يخفف متطلبات هوية الجهاز البعيدة (غير localhost).

فضّل HTTPS (Tailscale Serve) أو افتح الواجهة على 127.0.0.1.

لسيناريوهات كسر الزجاج فقط، يعطّل gateway.controlUi.dangerouslyDisableDeviceAuth فحوصات هوية الجهاز بالكامل. هذا خفض أمني شديد؛ أبقِه متوقفًا ما لم تكن تصحح مشكلة بنشاط ويمكنك الرجوع بسرعة.

بمعزل عن تلك الأعلام الخطرة، يمكن لنجاح gateway.auth.mode: "trusted-proxy" أن يسمح بجلسات Control UI الخاصة بـ المشغّل دون هوية جهاز. هذا سلوك مقصود لوضع المصادقة، وليس اختصارًا لـ allowInsecureAuth، وما زال لا يمتد إلى جلسات Control UI بدور Node.

يحذر openclaw security audit عندما يكون هذا الإعداد مفعّلًا.

ملخص الأعلام غير الآمنة أو الخطرة

يرفع openclaw security audit نتيجة config.insecure_or_dangerous_flags عندما تكون مفاتيح تصحيح أخطاء معروفة بأنها غير آمنة/خطرة مفعّلة. أبقِ هذه غير مضبوطة في الإنتاج.

الأعلام التي يتتبعها التدقيق اليوم
  • gateway.controlUi.allowInsecureAuth=true
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true
  • gateway.controlUi.dangerouslyDisableDeviceAuth=true
  • hooks.gmail.allowUnsafeExternalContent=true
  • hooks.mappings[<index>].allowUnsafeExternalContent=true
  • tools.exec.applyPatch.workspaceOnly=false
  • plugins.entries.acpx.config.permissionMode=approve-all
كل مفاتيح `dangerous*` / `dangerously*` في مخطط الإعداد

Control UI والمتصفح:

  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
  • gateway.controlUi.dangerouslyDisableDeviceAuth
  • browser.ssrfPolicy.dangerouslyAllowPrivateNetwork

مطابقة أسماء القنوات (القنوات المضمّنة وقنوات Plugin؛ متاحة أيضًا لكل accounts.<accountId> حيثما ينطبق):

  • channels.discord.dangerouslyAllowNameMatching
  • channels.slack.dangerouslyAllowNameMatching
  • channels.googlechat.dangerouslyAllowNameMatching
  • channels.msteams.dangerouslyAllowNameMatching
  • channels.synology-chat.dangerouslyAllowNameMatching (قناة Plugin)
  • channels.synology-chat.dangerouslyAllowInheritedWebhookPath (قناة Plugin)
  • channels.zalouser.dangerouslyAllowNameMatching (قناة Plugin)
  • channels.irc.dangerouslyAllowNameMatching (قناة Plugin)
  • channels.mattermost.dangerouslyAllowNameMatching (قناة Plugin)

التعرّض الشبكي:

  • channels.telegram.network.dangerouslyAllowPrivateNetwork (أيضًا لكل حساب)

Sandbox Docker (الإعدادات الافتراضية + لكل وكيل):

  • agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargets
  • agents.defaults.sandbox.docker.dangerouslyAllowExternalBindSources
  • agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin

إعداد الوكيل العكسي

إذا كنت تشغّل Gateway خلف وكيل عكسي (nginx، Caddy، Traefik، إلخ)، فاضبط gateway.trustedProxies للتعامل الصحيح مع IP العميل الممرر.

عندما يكتشف Gateway ترويسات وكيل من عنوان غير موجود في trustedProxies، فلن يعامل الاتصالات على أنها عملاء محليون. إذا كانت مصادقة Gateway معطّلة، تُرفض تلك الاتصالات. يمنع هذا تجاوز المصادقة حيث كانت الاتصالات عبر الوكيل ستبدو خلاف ذلك وكأنها تأتي من localhost وتتلقى ثقة تلقائية.

gateway.trustedProxies يغذي أيضًا gateway.auth.mode: "trusted-proxy"، لكن وضع المصادقة هذا أكثر صرامة:

  • مصادقة trusted-proxy تفشل بإغلاق آمن افتراضيًا عند وجود وكلاء بمصدر loopback
  • يمكن لوكلاء reverse proxy عبر loopback على المضيف نفسه استخدام gateway.trustedProxies لاكتشاف العملاء المحليين ومعالجة عنوان IP المعاد توجيهه
  • لا يمكن لوكلاء reverse proxy عبر loopback على المضيف نفسه استيفاء gateway.auth.mode: "trusted-proxy" إلا عند تعيين gateway.auth.trustedProxy.allowLoopback = true؛ وإلا فاستخدم مصادقة الرمز/كلمة المرور
gateway:
  trustedProxies:
    - "10.0.0.1" # reverse proxy IP
  # Optional. Default false.
  # Only enable if your proxy cannot provide X-Forwarded-For.
  allowRealIpFallback: false
  auth:
    mode: password
    password: ${OPENCLAW_GATEWAY_PASSWORD}

عند تكوين trustedProxies، يستخدم Gateway الترويسة X-Forwarded-For لتحديد عنوان IP للعميل. يتم تجاهل X-Real-IP افتراضيًا ما لم يتم تعيين gateway.allowRealIpFallback: true صراحةً.

لا تجعل ترويسات الوكيل الموثوق إقران جهاز Node موثوقًا تلقائيًا. gateway.nodes.pairing.autoApproveCidrs سياسة مشغّل منفصلة ومعطّلة افتراضيًا. حتى عند تفعيلها، تُستثنى مسارات ترويسات trusted-proxy ذات مصدر loopback من الموافقة التلقائية على Node لأن المستدعين المحليين يمكنهم تزوير تلك الترويسات، بما في ذلك عندما تكون مصادقة trusted-proxy عبر loopback مفعّلة صراحةً.

سلوك reverse proxy الجيد (استبدال ترويسات التوجيه الواردة):

proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;

سلوك reverse proxy السيئ (إلحاق/الإبقاء على ترويسات توجيه غير موثوقة):

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

ملاحظات HSTS والأصل

  • Gateway الخاص بـ OpenClaw مصمم أولًا للاستخدام المحلي/عبر loopback. إذا أنهيت TLS عند reverse proxy، فعيّن HSTS على نطاق HTTPS المواجه للوكيل هناك.
  • إذا كان Gateway نفسه ينهي HTTPS، يمكنك تعيين gateway.http.securityHeaders.strictTransportSecurity لإرسال ترويسة HSTS من استجابات OpenClaw.
  • توجد إرشادات نشر مفصلة في مصادقة الوكيل الموثوق.
  • بالنسبة إلى عمليات نشر Control UI غير المعتمدة على loopback، يكون gateway.controlUi.allowedOrigins مطلوبًا افتراضيًا.
  • gateway.controlUi.allowedOrigins: ["*"] سياسة صريحة للسماح بكل أصول المتصفح، وليست إعدادًا افتراضيًا معزّزًا. تجنبها خارج الاختبارات المحلية ذات التحكم الصارم.
  • لا تزال إخفاقات مصادقة أصل المتصفح على loopback محدودة المعدل حتى عند تفعيل الإعفاء العام لـ loopback، لكن مفتاح القفل يكون مقيّدًا لكل قيمة Origin مطبّعة بدلًا من حاوية localhost مشتركة واحدة.
  • يفعّل gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true وضع الرجوع إلى أصل ترويسة Host؛ تعامل معه كسياسة خطرة اختارها المشغّل.
  • تعامل مع DNS rebinding وسلوك ترويسة مضيف الوكيل باعتبارهما من شواغل تعزيز النشر؛ أبقِ trustedProxies محدودة وتجنب كشف Gateway مباشرة للإنترنت العام.

سجلات الجلسات المحلية موجودة على القرص

يخزن OpenClaw نصوص الجلسات على القرص ضمن ~/.openclaw/agents/<agentId>/sessions/*.jsonl. هذا مطلوب لاستمرارية الجلسة و(اختياريًا) لفهرسة ذاكرة الجلسة، لكنه يعني أيضًا أن أي عملية/مستخدم لديه وصول إلى نظام الملفات يمكنه قراءة تلك السجلات. تعامل مع الوصول إلى القرص كحد الثقة، وشدّد الأذونات على ~/.openclaw (راجع قسم التدقيق أدناه). إذا كنت تحتاج عزلًا أقوى بين الوكلاء، فشغّلهم تحت مستخدمي نظام تشغيل منفصلين أو مضيفين منفصلين.

تنفيذ Node ‏(system.run)

إذا تم إقران Node يعمل على macOS، يمكن لـ Gateway استدعاء system.run على ذلك Node. هذا تنفيذ تعليمات برمجية عن بعد على Mac:

  • يتطلب إقران Node (موافقة + رمز).
  • إقران Node مع Gateway ليس سطح موافقة لكل أمر. إنه ينشئ هوية/ثقة Node وإصدار الرمز.
  • يطبّق Gateway سياسة أوامر Node عالمية وخشنة عبر gateway.nodes.allowCommands / denyCommands.
  • يتم التحكم به على Mac عبر Settings → Exec approvals (security + ask + allowlist).
  • سياسة system.run لكل Node هي ملف موافقات التنفيذ الخاص بـ Node (exec.approvals.node.*)، ويمكن أن تكون أكثر صرامة أو أكثر تساهلًا من سياسة معرّفات الأوامر العالمية في Gateway.
  • يتبع Node الذي يعمل مع security="full" وask="off" نموذج المشغّل الموثوق الافتراضي. تعامل مع ذلك كسلوك متوقع ما لم يتطلب نشرك صراحةً موقف موافقة أو قائمة سماح أكثر تشددًا.
  • يربط وضع الموافقة سياق الطلب الدقيق، وعند الإمكان، معامل ملف/سكربت محلي ملموس واحد. إذا تعذّر على OpenClaw تحديد ملف محلي مباشر واحد بالضبط لأمر مفسّر/وقت تشغيل، فسيُرفض التنفيذ المدعوم بالموافقة بدلًا من الوعد بتغطية دلالية كاملة.
  • بالنسبة إلى host=node، تخزن عمليات التشغيل المدعومة بالموافقة أيضًا systemRunPlan مُعدّة قانونية؛ تعيد عمليات التوجيه المعتمدة لاحقًا استخدام تلك الخطة المخزنة، ويرفض تحقق Gateway تعديلات المستدعي على سياق الأمر/cwd/الجلسة بعد إنشاء طلب الموافقة.
  • إذا كنت لا تريد التنفيذ عن بعد، فعيّن security إلى deny وأزل إقران Node لذلك Mac.

هذا التمييز مهم للفرز:

  • إن إعادة اتصال Node مقترن يعلن قائمة أوامر مختلفة ليست، بحد ذاتها، ثغرة إذا ظلت سياسة Gateway العالمية وموافقات التنفيذ المحلية الخاصة بـ Node تفرض حد التنفيذ الفعلي.
  • التقارير التي تعامل بيانات تعريف إقران Node كطبقة موافقة ثانية مخفية لكل أمر تكون عادةً التباسًا في السياسة/تجربة المستخدم، وليست تجاوزًا لحد أمني.

Skills ديناميكية (المراقب / العقد البعيدة)

يمكن لـ OpenClaw تحديث قائمة Skills أثناء الجلسة:

  • مراقب Skills: يمكن للتغييرات على SKILL.md تحديث لقطة Skills في دور الوكيل التالي.
  • العقد البعيدة: يمكن لاتصال Node يعمل على macOS جعل Skills الخاصة بـ macOS فقط مؤهلة (بناءً على فحص الثنائيات).

تعامل مع مجلدات Skills كـ تعليمات برمجية موثوقة وقيّد من يمكنه تعديلها.

نموذج التهديد

يمكن لمساعدك الذكي أن:

  • ينفذ أوامر shell عشوائية
  • يقرأ/يكتب الملفات
  • يصل إلى خدمات الشبكة
  • يرسل رسائل إلى أي شخص (إذا منحته وصول WhatsApp)

يمكن للأشخاص الذين يراسلونك أن:

  • يحاولوا خداع الذكاء الاصطناعي لديك لفعل أشياء سيئة
  • يستخدموا الهندسة الاجتماعية للوصول إلى بياناتك
  • يتحسسوا تفاصيل البنية التحتية

المفهوم الأساسي: التحكم في الوصول قبل الذكاء

معظم الإخفاقات هنا ليست استغلالات متقدمة - بل "أرسل شخص ما رسالة إلى الروبوت فنفذ الروبوت ما طلبه".

موقف OpenClaw:

  • الهوية أولًا: قرر من يمكنه التحدث إلى الروبوت (إقران الرسائل الخاصة / قوائم السماح / "open" الصريح).
  • النطاق بعد ذلك: قرر أين يُسمح للروبوت بالتصرف (قوائم سماح المجموعات + اشتراط الإشارة، الأدوات، العزل، أذونات الجهاز).
  • النموذج أخيرًا: افترض أن النموذج يمكن التلاعب به؛ صمّم بحيث يكون أثر التلاعب محدودًا.

نموذج تفويض الأوامر

لا تُحترم أوامر slash والتوجيهات إلا لـ المرسلين المصرح لهم. يُشتق التفويض من قوائم سماح/إقران القناة بالإضافة إلى commands.useAccessGroups (راجع التكوين وأوامر slash). إذا كانت قائمة سماح القناة فارغة أو تتضمن "*", فتكون الأوامر مفتوحة فعليًا لتلك القناة.

/exec وسيلة راحة للجلسة فقط للمشغّلين المصرح لهم. إنها لا تكتب التكوين أو تغيّر جلسات أخرى.

مخاطر أدوات مستوى التحكم

يمكن لأداتين مدمجتين إجراء تغييرات دائمة على مستوى التحكم:

  • يمكن لـ gateway فحص التكوين باستخدام config.schema.lookup / config.get، ويمكنه إجراء تغييرات دائمة باستخدام config.apply وconfig.patch وupdate.run.
  • يمكن لـ cron إنشاء مهام مجدولة تستمر في العمل بعد انتهاء الدردشة/المهمة الأصلية.

ما زالت أداة وقت التشغيل gateway المخصصة للمالك فقط ترفض إعادة كتابة tools.exec.ask أو tools.exec.security؛ ويتم تطبيع الأسماء المستعارة القديمة tools.bash.* إلى مسارات التنفيذ المحمية نفسها قبل الكتابة. تفشل تعديلات gateway config.apply وgateway config.patch المدفوعة بالوكيل بإغلاق آمن افتراضيًا: لا يمكن للوكيل ضبط إلا مجموعة ضيقة من مسارات المطالبات والنماذج واشتراط الإشارة. لذلك تكون أشجار التكوين الحساسة الجديدة محمية ما لم تُضف عمدًا إلى قائمة السماح.

بالنسبة إلى أي وكيل/سطح يتعامل مع محتوى غير موثوق، ارفض هذه افتراضيًا:

{
  tools: {
    deny: ["gateway", "cron", "sessions_spawn", "sessions_send"],
  },
}

لا يحظر commands.restart=false إلا إجراءات إعادة التشغيل. ولا يعطّل إجراءات تكوين/تحديث gateway.

Plugins

تعمل Plugins داخل العملية مع Gateway. تعامل معها كتعليمات برمجية موثوقة:

  • ثبّت Plugins فقط من مصادر تثق بها.
  • فضّل قوائم السماح الصريحة plugins.allow.
  • راجع تكوين Plugin قبل تفعيله.
  • أعد تشغيل Gateway بعد تغييرات Plugin.
  • إذا ثبّت أو حدّثت Plugins (openclaw plugins install <package>، openclaw plugins update <id>)، فتعامَل مع ذلك كتشغيل تعليمات برمجية غير موثوقة:
    • مسار التثبيت هو دليل كل Plugin ضمن جذر تثبيت Plugin النشط.
    • يشغّل OpenClaw فحصًا مدمجًا للتعليمات البرمجية الخطرة قبل التثبيت/التحديث. وتحظر نتائج critical افتراضيًا.
    • تشغّل تثبيتات Plugin عبر npm وgit تقارب اعتماد مدير الحزم فقط أثناء تدفق التثبيت/التحديث الصريح. تُعامل المسارات المحلية والأرشيفات كحزم Plugin مكتفية ذاتيًا؛ ينسخها/يشير إليها OpenClaw دون تشغيل npm install.
    • فضّل الإصدارات المثبّتة والدقيقة (@scope/[email protected])، وافحص التعليمات البرمجية المفكوكة على القرص قبل التفعيل.
    • --dangerously-force-unsafe-install مخصص لحالات الطوارئ فقط للإيجابيات الكاذبة في الفحص المدمج ضمن تدفقات تثبيت/تحديث Plugin. ولا يتجاوز حظر سياسة خطاف before_install الخاص بـ Plugin ولا يتجاوز إخفاقات الفحص.
    • تتبع عمليات تثبيت اعتماد Skills المدعومة من Gateway التقسيم نفسه بين الخطير/المشبوه: تحظر نتائج critical المدمجة ما لم يعيّن المستدعي صراحةً dangerouslyForceUnsafeInstall، بينما تظل النتائج المشبوهة تحذيرية فقط. يظل openclaw skills install تدفق تنزيل/تثبيت Skills المنفصل من ClawHub.

التفاصيل: Plugins

نموذج الوصول إلى الرسائل الخاصة: الإقران، قائمة السماح، open، معطّل

تدعم جميع القنوات الحالية القادرة على الرسائل الخاصة سياسة رسائل خاصة (dmPolicy أو *.dm.policy) تتحكم في الرسائل الخاصة الواردة قبل معالجة الرسالة:

  • pairing (افتراضي): يتلقى المرسلون غير المعروفين رمز إقران قصيرًا ويتجاهل الروبوت رسالتهم حتى تتم الموافقة. تنتهي صلاحية الرموز بعد ساعة واحدة؛ ولن تؤدي الرسائل الخاصة المتكررة إلى إعادة إرسال رمز حتى يتم إنشاء طلب جديد. تُحد الطلبات المعلقة إلى 3 لكل قناة افتراضيًا.
  • allowlist: يُحظر المرسلون غير المعروفين (بدون مصافحة إقران).
  • open: السماح لأي شخص بإرسال رسالة خاصة (عام). يتطلب أن تتضمن قائمة سماح القناة "*" (اشتراك صريح).
  • disabled: تجاهل الرسائل الخاصة الواردة بالكامل.

الموافقة عبر CLI:

openclaw pairing list <channel>
openclaw pairing approve <channel> <code>

التفاصيل + الملفات على القرص: الإقران

عزل جلسات الرسائل الخاصة (وضع متعدد المستخدمين)

افتراضيًا، يوجّه OpenClaw كل الرسائل الخاصة إلى الجلسة الرئيسية بحيث يحتفظ مساعدك بالاستمرارية عبر الأجهزة والقنوات. إذا كان عدة أشخاص يستطيعون إرسال رسائل خاصة إلى الروبوت (رسائل خاصة مفتوحة أو قائمة سماح متعددة الأشخاص)، ففكر في عزل جلسات الرسائل الخاصة:

{
  session: { dmScope: "per-channel-peer" },
}

يمنع هذا تسرب السياق بين المستخدمين مع إبقاء دردشات المجموعات معزولة.

هذا حد لسياق المراسلة، وليس حدًا لإدارة المضيف. إذا كان المستخدمون خصومًا متبادلين ويتشاركون مضيف/تكوين Gateway نفسه، فشغّل Gateways منفصلة لكل حد ثقة بدلًا من ذلك.

وضع الرسائل الخاصة الآمن (موصى به)

تعامل مع المقتطف أعلاه كـ وضع الرسائل الخاصة الآمن:

  • الافتراضي: session.dmScope: "main" (كل الرسائل الخاصة تشترك في جلسة واحدة للاستمرارية).
  • افتراضي إعداد CLI المحلي: يكتب session.dmScope: "per-channel-peer" عندما يكون غير معيّن (يحافظ على القيم الصريحة الموجودة).
  • وضع الرسائل الخاصة الآمن: session.dmScope: "per-channel-peer" (كل زوج قناة+مرسل يحصل على سياق رسالة خاصة معزول).
  • عزل النظير عبر القنوات: session.dmScope: "per-peer" (كل مرسل يحصل على جلسة واحدة عبر جميع القنوات من النوع نفسه).

إذا كنت تشغّل حسابات متعددة على القناة نفسها، فاستخدم per-account-channel-peer بدلاً من ذلك. إذا تواصل معك الشخص نفسه على قنوات متعددة، فاستخدم session.identityLinks لدمج جلسات الرسائل المباشرة تلك في هوية مرجعية واحدة. راجع إدارة الجلسات والإعدادات.

قوائم السماح للرسائل المباشرة والمجموعات

لدى OpenClaw طبقتان منفصلتان لسؤال "من يمكنه تشغيلي؟":

  • قائمة سماح الرسائل المباشرة (allowFrom / channels.discord.allowFrom / channels.slack.allowFrom؛ قديم: channels.discord.dm.allowFrom، channels.slack.dm.allowFrom): من يُسمح له بالتحدث إلى البوت في الرسائل المباشرة.
    • عند dmPolicy="pairing"، تُكتب الموافقات في مخزن قائمة سماح الاقتران ذات نطاق الحساب ضمن ~/.openclaw/credentials/ (<channel>-allowFrom.json للحساب الافتراضي، و<channel>-<accountId>-allowFrom.json للحسابات غير الافتراضية)، وتُدمج مع قوائم السماح في الإعدادات.
  • قائمة سماح المجموعات (خاصة بالقناة): أي المجموعات/القنوات/النقابات سيقبل البوت الرسائل منها أصلاً.
    • أنماط شائعة:
      • channels.whatsapp.groups، channels.telegram.groups، channels.imessage.groups: إعدادات افتراضية لكل مجموعة مثل requireMention؛ وعند ضبطها، تعمل أيضاً كقائمة سماح للمجموعات (أدرج "*" للإبقاء على سلوك السماح للجميع).
      • groupPolicy="allowlist" + groupAllowFrom: تقييد من يمكنه تشغيل البوت داخل جلسة مجموعة (WhatsApp/Telegram/Signal/iMessage/Microsoft Teams).
      • channels.discord.guilds / channels.slack.channels: قوائم سماح لكل سطح + إعدادات افتراضية للمنشن.
    • تُشغَّل فحوصات المجموعة بهذا الترتيب: groupPolicy/قوائم سماح المجموعات أولاً، ثم تفعيل المنشن/الرد ثانياً.
    • الرد على رسالة بوت (منشن ضمني) لا يتجاوز قوائم سماح المرسلين مثل groupAllowFrom.
    • ملاحظة أمنية: تعامل مع dmPolicy="open" وgroupPolicy="open" كإعدادات ملاذ أخير. ينبغي استخدامها نادراً جداً؛ فضّل الاقتران + قوائم السماح ما لم تكن تثق تماماً بكل عضو في الغرفة.

التفاصيل: الإعدادات والمجموعات

حقن المطالبات (ما هو، ولماذا يهم)

حقن المطالبات يحدث عندما يصوغ مهاجم رسالة تتلاعب بالنموذج ليفعل شيئاً غير آمن ("تجاهل تعليماتك"، "أخرج نظام الملفات لديك"، "اتبع هذا الرابط وشغّل الأوامر"، وغير ذلك).

حتى مع مطالبات نظام قوية، لم تُحل مشكلة حقن المطالبات. حواجز مطلب النظام هي إرشاد لين فقط؛ أما الإنفاذ الصارم فيأتي من سياسة الأدوات، وموافقات التنفيذ، والعزل، وقوائم سماح القنوات (ويمكن للمشغلين تعطيل هذه الأشياء قصداً). ما يفيد عملياً:

  • أبقِ الرسائل المباشرة الواردة مقفلة (الاقتران/قوائم السماح).
  • فضّل بوابة المنشن في المجموعات؛ وتجنب البوتات "الدائمة التشغيل" في الغرف العامة.
  • تعامل مع الروابط، والمرفقات، والتعليمات الملصوقة كمعادية افتراضياً.
  • شغّل تنفيذ الأدوات الحساسة في عزل؛ وأبقِ الأسرار خارج نظام الملفات الذي يمكن للوكيل الوصول إليه.
  • ملاحظة: العزل اختياري. إذا كان وضع العزل متوقفاً، فإن host=auto الضمني يُحل إلى مضيف Gateway. أما host=sandbox الصريح فيفشل بإغلاق آمن لأن وقت تشغيل العزل غير متاح. اضبط host=gateway إذا أردت أن يكون هذا السلوك صريحاً في الإعدادات.
  • احصر الأدوات عالية المخاطر (exec، browser، web_fetch، web_search) على الوكلاء الموثوقين أو قوائم سماح صريحة.
  • إذا أضفت المفسرات إلى قائمة السماح (python، node، ruby، perl، php، lua، osascript)، ففعّل tools.exec.strictInlineEval حتى تظل صيغ التقييم المضمن بحاجة إلى موافقة صريحة.
  • يرفض تحليل موافقة الصدفية أيضاً صيغ توسيع معاملات POSIX ($VAR، $?، $$، $1، $@، ${…}) داخل heredocs غير المقتبسة، بحيث لا يستطيع جسم heredoc الموجود في قائمة السماح تمرير توسيع الصدفية خفيةً بعد مراجعة قائمة السماح كنص عادي. اقتبس مُنهي heredoc (مثلاً <<'EOF') لاختيار دلالات الجسم الحرفية؛ وتُرفض heredocs غير المقتبسة التي كانت ستوسّع المتغيرات.
  • اختيار النموذج مهم: النماذج الأقدم/الأصغر/القديمة أقل متانة بكثير أمام حقن المطالبات وسوء استخدام الأدوات. بالنسبة إلى الوكلاء الممكّنين بالأدوات، استخدم أقوى نموذج متاح من أحدث جيل ومحصّن للتعليمات.

علامات تحذير يجب التعامل معها كمحتوى غير موثوق:

  • "اقرأ هذا الملف/URL وافعل بالضبط ما يقوله."
  • "تجاهل مطلب النظام أو قواعد السلامة لديك."
  • "اكشف تعليماتك المخفية أو مخرجات الأدوات."
  • "الصق المحتويات الكاملة لـ ~/.openclaw أو سجلاتك."

تنقية رموز المحتوى الخارجي الخاصة

يزيل OpenClaw القيم الحرفية الشائعة لرموز قوالب دردشة LLM الخاصة ذاتية الاستضافة من المحتوى الخارجي المغلف والبيانات الوصفية قبل وصولها إلى النموذج. تشمل عائلات العلامات المشمولة Qwen/ChatML، وLlama، وGemma، وMistral، وPhi، ورموز الدور/الدورة في GPT-OSS.

السبب:

  • قد تحتفظ الخلفيات المتوافقة مع OpenAI التي تواجه نماذج ذاتية الاستضافة أحياناً بالرموز الخاصة التي تظهر في نص المستخدم، بدلاً من إخفائها. بخلاف ذلك، يستطيع مهاجم قادر على الكتابة في محتوى خارجي وارد (صفحة مجلوبة، متن بريد إلكتروني، مخرج أداة محتويات ملف) حقن حد دور assistant أو system اصطناعي والإفلات من حواجز المحتوى المغلف.
  • تحدث التنقية في طبقة تغليف المحتوى الخارجي، لذلك تُطبَّق بشكل موحد عبر أدوات الجلب/القراءة ومحتوى القنوات الوارد بدلاً من أن تكون خاصة بكل مزود.
  • لدى استجابات النموذج الصادرة بالفعل منقٍّ منفصل يزيل تسريبات <tool_call>، و<function_calls>، و<system-reminder>، و<previous_response>، وما شابهها من هيكلة وقت التشغيل الداخلية من الردود المرئية للمستخدم عند حد التسليم النهائي إلى القناة. منقّي المحتوى الخارجي هو النظير الوارد لذلك.

هذا لا يستبدل وسائل التقوية الأخرى في هذه الصفحة - ما زالت dmPolicy، وقوائم السماح، وموافقات التنفيذ، والعزل، وcontextVisibility تقوم بالعمل الأساسي. إنه يغلق تجاوزاً محدداً في طبقة التقسيم إلى رموز ضد المكدسات ذاتية الاستضافة التي تمرر نص المستخدم مع الرموز الخاصة سليمة.

أعلام تجاوز المحتوى الخارجي غير الآمن

يتضمن OpenClaw أعلام تجاوز صريحة تعطل تغليف أمان المحتوى الخارجي:

  • hooks.mappings[].allowUnsafeExternalContent
  • hooks.gmail.allowUnsafeExternalContent
  • حقل حمولة Cron allowUnsafeExternalContent

الإرشادات:

  • أبقِ هذه غير مضبوطة/false في الإنتاج.
  • لا تفعّلها إلا مؤقتاً لتصحيح أخطاء ضيق النطاق.
  • إذا فُعّلت، فاعزل ذلك الوكيل (عزل + الحد الأدنى من الأدوات + مساحة أسماء جلسات مخصصة).

ملاحظة مخاطر Hooks:

  • حمولات Hook محتوى غير موثوق، حتى عندما يأتي التسليم من أنظمة تتحكم بها (يمكن لمحتوى البريد/المستندات/الويب أن يحمل حقن مطالبات).
  • تزيد مستويات النماذج الضعيفة هذا الخطر. بالنسبة إلى الأتمتة المدفوعة بـ Hook، فضّل مستويات نماذج حديثة قوية وأبقِ سياسة الأدوات مشددة (tools.profile: "messaging" أو أشد)، مع العزل حيثما أمكن.

حقن المطالبات لا يتطلب رسائل مباشرة عامة

حتى إذا كان أنت فقط من يستطيع مراسلة البوت، ما زال حقن المطالبات ممكناً عبر أي محتوى غير موثوق يقرأه البوت (نتائج بحث/جلب الويب، صفحات المتصفح، رسائل البريد الإلكتروني، المستندات، المرفقات، السجلات/الكود الملصوق). بعبارة أخرى: ليس المرسل هو سطح التهديد الوحيد؛ يمكن أن يحمل المحتوى نفسه تعليمات عدائية.

عند تفعيل الأدوات، يكون الخطر المعتاد هو تسريب السياق أو تشغيل استدعاءات الأدوات. قلّل نطاق الضرر عبر:

  • استخدام وكيل قارئ للقراءة فقط أو بلا أدوات لتلخيص المحتوى غير الموثوق، ثم تمرير الملخص إلى وكيلك الرئيسي.
  • إبقاء web_search / web_fetch / browser متوقفة للوكلاء الممكّنين بالأدوات ما لم تكن لازمة.
  • بالنسبة إلى مدخلات URL في OpenResponses (input_file / input_image)، اضبط gateway.http.endpoints.responses.files.urlAllowlist و gateway.http.endpoints.responses.images.urlAllowlist بإحكام، وأبقِ maxUrlParts منخفضاً. تُعامل قوائم السماح الفارغة كأنها غير مضبوطة؛ استخدم files.allowUrl: false / images.allowUrl: false إذا أردت تعطيل جلب URL بالكامل.
  • بالنسبة إلى مدخلات الملفات في OpenResponses، يظل نص input_file المفكك يُحقن كـ محتوى خارجي غير موثوق. لا تعتمد على كون نص الملف موثوقاً لمجرد أن Gateway فكّ ترميزه محلياً. ما زالت الكتلة المحقونة تحمل علامات حدود <<&lt;EXTERNAL_UNTRUSTED_CONTENT ...&gt;>> الصريحة مع بيانات وصفية Source: External، رغم أن هذا المسار يحذف لافتة SECURITY NOTICE: الأطول.
  • يُطبَّق التغليف نفسه المستند إلى العلامات عندما يستخرج فهم الوسائط النص من المستندات المرفقة قبل إلحاق ذلك النص بمطلب الوسائط.
  • تفعيل العزل وقوائم سماح أدوات صارمة لأي وكيل يلمس مدخلات غير موثوقة.
  • إبقاء الأسرار خارج المطالبات؛ ومرّرها عبر env/الإعدادات على مضيف Gateway بدلاً من ذلك.

خلفيات LLM ذاتية الاستضافة

يمكن أن تختلف الخلفيات ذاتية الاستضافة المتوافقة مع OpenAI مثل vLLM، وSGLang، وTGI، وLM Studio، أو مكدسات مقسّمات رموز Hugging Face المخصصة عن المزودين المستضافين في كيفية التعامل مع رموز قوالب الدردشة الخاصة. إذا كانت الخلفية تقسّم سلاسل حرفية مثل <|im_start|>، أو <|start_header_id|>، أو <start_of_turn> كـ رموز بنيوية لقوالب الدردشة داخل محتوى المستخدم، فيمكن للنص غير الموثوق أن يحاول تزوير حدود الأدوار في طبقة التقسيم إلى رموز.

يزيل OpenClaw القيم الحرفية الشائعة للرموز الخاصة لعائلات النماذج من المحتوى الخارجي المغلف قبل إرساله إلى النموذج. أبقِ تغليف المحتوى الخارجي مفعلاً، وفضّل إعدادات الخلفية التي تفصل أو تهرّب الرموز الخاصة في المحتوى المقدم من المستخدم عند توفرها. يطبق المزودون المستضافون مثل OpenAI وAnthropic بالفعل تنقيتهم الخاصة من جهة الطلب.

قوة النموذج (ملاحظة أمنية)

مقاومة حقن المطالبات ليست موحدة عبر مستويات النماذج. النماذج الأصغر/الأرخص عموماً أكثر عرضة لسوء استخدام الأدوات واختطاف التعليمات، خاصة تحت المطالبات العدائية.

التوصيات:

  • استخدم أحدث جيل وأفضل مستوى من النماذج لأي بوت يمكنه تشغيل أدوات أو لمس ملفات/شبكات.
  • لا تستخدم المستويات الأقدم/الأضعف/الأصغر للوكلاء الممكّنين بالأدوات أو صناديق الوارد غير الموثوقة؛ خطر حقن المطالبات مرتفع جداً.
  • إذا كان لا بد من استخدام نموذج أصغر، قلّل نطاق الضرر (أدوات للقراءة فقط، عزل قوي، وصول أدنى إلى نظام الملفات، قوائم سماح صارمة).
  • عند تشغيل نماذج صغيرة، فعّل العزل لكل الجلسات وعطّل web_search/web_fetch/browser ما لم تكن المدخلات مضبوطة بإحكام.
  • بالنسبة إلى المساعدين الشخصيين المقتصرين على الدردشة مع مدخلات موثوقة وبدون أدوات، تكون النماذج الأصغر مقبولة عادةً.

الاستدلال والمخرجات المطولة في المجموعات

يمكن أن تكشف /reasoning، و/verbose، و/trace الاستدلال الداخلي، أو مخرجات الأدوات، أو تشخيصات Plugin التي لم تكن مخصصة لقناة عامة. في إعدادات المجموعات، تعامل معها كـ تصحيح أخطاء فقط وأبقها متوقفة ما لم تكن تحتاجها صراحةً.

الإرشادات:

  • أبقِ /reasoning، و/verbose، و/trace معطلة في الغرف العامة.
  • إذا فعّلتها، فافعل ذلك فقط في رسائل مباشرة موثوقة أو غرف مضبوطة بإحكام.
  • تذكّر: يمكن أن تتضمن المخرجات المطولة ومخرجات التتبع وسائط الأدوات، وURLs، وتشخيصات Plugin، والبيانات التي رآها النموذج.

أمثلة تقوية الإعدادات

أذونات الملفات

أبقِ الإعدادات + الحالة خاصة على مضيف Gateway:

  • ~/.openclaw/openclaw.json: 600 (قراءة/كتابة للمستخدم فقط)
  • ~/.openclaw: 700 (للمستخدم فقط)

يمكن لـ openclaw doctor التحذير وعرض تشديد هذه الأذونات.

التعرض الشبكي (الربط، المنفذ، الجدار الناري)

يقوم Gateway بتجميع WebSocket + HTTP على منفذ واحد:

  • الافتراضي: 18789
  • الإعدادات/الأعلام/env: gateway.port، --port، OPENCLAW_GATEWAY_PORT

يشمل سطح HTTP هذا واجهة التحكم ومضيف اللوحة:

  • واجهة التحكم (أصول SPA) (مسار الأساس الافتراضي /)
  • مضيف اللوحة: /__openclaw__/canvas/ و/__openclaw__/a2ui/ (HTML/JS عشوائي؛ تعامل معه كمحتوى غير موثوق)

إذا حمّلت محتوى اللوحة في متصفح عادي، فتعامل معه مثل أي صفحة ويب أخرى غير موثوقة:

  • لا تعرّض مضيف اللوحة لشبكات/مستخدمين غير موثوقين.
  • لا تجعل محتوى اللوحة يشارك الأصل نفسه مع أسطح الويب ذات الامتيازات ما لم تكن تفهم الآثار تماماً.

يتحكم وضع الربط في المكان الذي يستمع فيه Gateway:

  • gateway.bind: "loopback" (الافتراضي): يمكن للعملاء المحليين فقط الاتصال.
  • عمليات الربط غير loopback ("lan" و"tailnet" و"custom") توسع سطح الهجوم. استخدمها فقط مع مصادقة Gateway (رمز/كلمة مرور مشتركة أو وكيل موثوق مكوّن بشكل صحيح) وجدار حماية حقيقي.

قواعد عامة:

  • فضّل Tailscale Serve على عمليات ربط LAN (يحافظ Serve على Gateway على loopback، وتتولى Tailscale الوصول).
  • إذا كان لا بد من الربط مع LAN، فاحم المنفذ بجدار حماية إلى قائمة سماح ضيقة لعناوين IP المصدر؛ ولا توجه المنفذ على نطاق واسع.
  • لا تعرض Gateway مطلقا بدون مصادقة على 0.0.0.0.

نشر منافذ Docker مع UFW

إذا شغلت OpenClaw باستخدام Docker على VPS، فتذكر أن منافذ الحاويات المنشورة (-p HOST:CONTAINER أو Compose ports:) تمر عبر سلاسل التوجيه الخاصة بـ Docker، وليس فقط عبر قواعد INPUT في المضيف.

لإبقاء حركة Docker متوافقة مع سياسة جدار الحماية لديك، طبّق القواعد في DOCKER-USER (تُقيّم هذه السلسلة قبل قواعد القبول الخاصة بـ Docker). في كثير من التوزيعات الحديثة، يستخدم iptables/ip6tables واجهة iptables-nft وتظل هذه القواعد مطبقة على خلفية nftables.

مثال حد أدنى لقائمة السماح (IPv4):

# /etc/ufw/after.rules (append as its own *filter section)
*filter
:DOCKER-USER - [0:0]
-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
-A DOCKER-USER -s 127.0.0.0/8 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 192.168.0.0/16 -j RETURN
-A DOCKER-USER -s 100.64.0.0/10 -j RETURN
-A DOCKER-USER -p tcp --dport 80 -j RETURN
-A DOCKER-USER -p tcp --dport 443 -j RETURN
-A DOCKER-USER -m conntrack --ctstate NEW -j DROP
-A DOCKER-USER -j RETURN
COMMIT

يملك IPv6 جداوله المنفصلة. أضف سياسة مطابقة في /etc/ufw/after6.rules إذا كان Docker IPv6 مفعلا.

تجنب ترميز أسماء الواجهات مثل eth0 بشكل ثابت في مقتطفات التوثيق. تختلف أسماء الواجهات بين صور VPS (ens3 وenp* وغير ذلك)، وقد تؤدي حالات عدم التطابق إلى تجاوز قاعدة المنع لديك عن غير قصد.

تحقق سريع بعد إعادة التحميل:

ufw reload
iptables -S DOCKER-USER
ip6tables -S DOCKER-USER
nmap -sT -p 1-65535 <public-ip> --open

يجب أن تكون المنافذ الخارجية المتوقعة هي فقط ما تعرضه عمدا (في معظم الإعدادات: SSH + منافذ الوكيل العكسي لديك).

اكتشاف mDNS/Bonjour

عند تمكين Plugin bonjour المضمن، يبث Gateway وجوده عبر mDNS (_openclaw-gw._tcp على المنفذ 5353) لاكتشاف الأجهزة المحلية. في الوضع الكامل، يتضمن ذلك سجلات TXT قد تكشف تفاصيل تشغيلية:

  • cliPath: المسار الكامل في نظام الملفات إلى ملف CLI الثنائي (يكشف اسم المستخدم وموقع التثبيت)
  • sshPort: يعلن توفر SSH على المضيف
  • displayName وlanHost: معلومات اسم المضيف

اعتبار أمان تشغيلي: بث تفاصيل البنية التحتية يجعل الاستطلاع أسهل لأي شخص على الشبكة المحلية. حتى المعلومات "غير الضارة" مثل مسارات نظام الملفات وتوفر SSH تساعد المهاجمين على رسم خريطة بيئتك.

التوصيات:

  1. أبق Bonjour معطلا ما لم تكن هناك حاجة لاكتشاف LAN. يبدأ Bonjour تلقائيا على مضيفي macOS ويكون اختياريا في غير ذلك؛ تتجنب عناوين URL المباشرة لـ Gateway أو Tailnet أو SSH أو DNS-SD واسع النطاق البث المتعدد المحلي.

  2. الوضع الأدنى (الافتراضي عند تمكين Bonjour، والموصى به للبوابات المكشوفة): احذف الحقول الحساسة من بث mDNS:

    {
  discovery: {
    mdns: { mode: "minimal" },
  },
}

  3. عطّل وضع mDNS إذا أردت إبقاء Plugin مفعلا مع منع اكتشاف الأجهزة المحلية:

    {
  discovery: {
    mdns: { mode: "off" },
  },
}

  4. الوضع الكامل (اختياري): أدرج cliPath + sshPort في سجلات TXT:

    {
  discovery: {
    mdns: { mode: "full" },
  },
}

  5. متغير البيئة (بديل): اضبط OPENCLAW_DISABLE_BONJOUR=1 لتعطيل mDNS بدون تغييرات في الإعداد.

عند تمكين Bonjour في الوضع الأدنى، يبث Gateway ما يكفي لاكتشاف الأجهزة (role وgatewayPort وtransport) لكنه يحذف cliPath وsshPort. يمكن للتطبيقات التي تحتاج معلومات مسار CLI جلبها عبر اتصال WebSocket المصادق عليه بدلا من ذلك.

تأمين Gateway WebSocket (المصادقة المحلية)

مصادقة Gateway مطلوبة افتراضيا. إذا لم يكن هناك مسار مصادقة Gateway صالح مكوّن، يرفض Gateway اتصالات WebSocket (يفشل بوضع مغلق).

ينشئ الإعداد الأولي رمزا افتراضيا (حتى مع loopback)، لذلك يجب أن يصادق العملاء المحليون.

اضبط رمزا بحيث يجب على كل عملاء WS المصادقة:

{
  gateway: {
    auth: { mode: "token", token: "your-token" },
  },
}

يمكن لـ Doctor إنشاء واحد لك: openclaw doctor --generate-gateway-token.

اختياري: ثبّت TLS البعيد باستخدام gateway.remote.tlsFingerprint عند استخدام wss://. نص ws:// غير المشفر مقصور على loopback افتراضيا. للمسارات الموثوقة في الشبكات الخاصة، اضبط OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1 على عملية العميل كخيار طوارئ. هذا يقتصر عمدا على بيئة العملية، وليس مفتاح إعداد openclaw.json. تكون مسارات اقتران الجوال وAndroid اليدوية أو الممسوحة لـ Gateway أكثر صرامة: يُقبل النص الواضح لـ loopback، لكن أسماء المضيف في private-LAN وlink-local و.local و الأسماء بلا نقاط يجب أن تستخدم TLS إلا إذا اخترت صراحة مسار النص الواضح الموثوق للشبكة الخاصة.

اقتران الجهاز المحلي:

  • تتم الموافقة تلقائيا على اقتران الجهاز لاتصالات local loopback المباشرة للحفاظ على سلاسة عمل العملاء على المضيف نفسه.
  • لدى OpenClaw أيضا مسار ضيق لاتصال ذاتي محلي في الخلفية/الحاوية لتدفقات المساعد الموثوقة ذات السر المشترك.
  • تُعامل اتصالات Tailnet وLAN، بما في ذلك عمليات ربط tailnet على المضيف نفسه، كاتصالات بعيدة للاقتران وتظل بحاجة إلى موافقة.
  • أدلة الرؤوس المعاد توجيهها في طلب loopback تلغي أهلية محلية loopback. الموافقة التلقائية لترقية البيانات الوصفية محدودة النطاق بدقة. راجع اقتران Gateway لكلا القاعدتين.

أوضاع المصادقة:

  • gateway.auth.mode: "token": رمز bearer مشترك (موصى به لمعظم الإعدادات).
  • gateway.auth.mode: "password": مصادقة بكلمة مرور (يفضل ضبطها عبر البيئة: OPENCLAW_GATEWAY_PASSWORD).
  • gateway.auth.mode: "trusted-proxy": الوثوق بوكيل عكسي مدرك للهوية لمصادقة المستخدمين وتمرير الهوية عبر الرؤوس (راجع مصادقة الوكيل الموثوق).

قائمة تحقق التدوير (رمز/كلمة مرور):

  1. أنشئ/اضبط سرا جديدا (gateway.auth.token أو OPENCLAW_GATEWAY_PASSWORD).
  2. أعد تشغيل Gateway (أو أعد تشغيل تطبيق macOS إذا كان يشرف على Gateway).
  3. حدّث أي عملاء بعيدين (gateway.remote.token / .password على الأجهزة التي تستدعي Gateway).
  4. تحقق من أنك لم تعد قادرا على الاتصال ببيانات الاعتماد القديمة.

رؤوس هوية Tailscale Serve

عندما تكون gateway.auth.allowTailscale بقيمة true (الافتراضي لـ Serve)، يقبل OpenClaw رؤوس هوية Tailscale Serve (tailscale-user-login) لمصادقة Control UI/WebSocket. يتحقق OpenClaw من الهوية عبر حل عنوان x-forwarded-for من خلال عفريت Tailscale المحلي (tailscale whois) ومطابقته مع الرأس. لا يُفعّل هذا إلا للطلبات التي تصل إلى loopback وتتضمن x-forwarded-for وx-forwarded-proto وx-forwarded-host كما تحقنها Tailscale. في مسار التحقق غير المتزامن من الهوية هذا، تُسلسل المحاولات الفاشلة لنفس {scope, ip} قبل أن يسجل المحدد الفشل. لذلك يمكن لإعادة المحاولات السيئة المتزامنة من عميل Serve واحد أن تقفل المحاولة الثانية فورا بدلا من أن تتسابق كعدم تطابقين عاديين. لا تستخدم نقاط نهاية HTTP API (مثلا /v1/* و/tools/invoke و/api/channels/*) مصادقة رؤوس هوية Tailscale. لا تزال تتبع وضع مصادقة HTTP المكوّن في Gateway.

ملاحظة حدود مهمة:

  • مصادقة bearer في Gateway HTTP تعني عمليا وصول مشغل كامل أو لا شيء.
  • تعامل مع بيانات الاعتماد التي يمكنها استدعاء /v1/chat/completions أو /v1/responses أو /api/channels/* كأسرار مشغل كاملة الوصول لذلك Gateway.
  • على سطح HTTP المتوافق مع OpenAI، تعيد مصادقة bearer بالسر المشترك نطاقات المشغل الافتراضية الكاملة (operator.admin وoperator.approvals وoperator.pairing وoperator.read وoperator.talk.secrets وoperator.write) ودلالات المالك لدورات الوكيل؛ لا تقلل قيم x-openclaw-scopes الأضيق ذلك المسار ذي السر المشترك.
  • لا تنطبق دلالات النطاق لكل طلب على HTTP إلا عندما يأتي الطلب من وضع يحمل هوية مثل مصادقة الوكيل الموثوق أو gateway.auth.mode="none" على مدخل خاص.
  • في تلك الأوضاع الحاملة للهوية، يؤدي حذف x-openclaw-scopes إلى الرجوع إلى مجموعة نطاقات المشغل الافتراضية العادية؛ أرسل الرأس صراحة عندما تريد مجموعة نطاقات أضيق.
  • يتبع /tools/invoke قاعدة السر المشترك نفسها: تُعامل مصادقة bearer بالرمز/كلمة المرور كوصول مشغل كامل هناك أيضا، بينما لا تزال الأوضاع الحاملة للهوية تحترم النطاقات المعلنة.
  • لا تشارك بيانات الاعتماد هذه مع مستدعين غير موثوقين؛ فضّل بوابات منفصلة لكل حد ثقة.

افتراض الثقة: تفترض مصادقة Serve بلا رمز أن مضيف Gateway موثوق. لا تتعامل مع هذا كحماية من عمليات معادية على المضيف نفسه. إذا كان من الممكن تشغيل كود محلي غير موثوق على مضيف Gateway، فعطّل gateway.auth.allowTailscale واطلب مصادقة صريحة بسر مشترك باستخدام gateway.auth.mode: "token" أو "password".

قاعدة أمان: لا تعيد توجيه هذه الرؤوس من وكيلك العكسي. إذا أنهيت TLS أو استخدمت وكيلا أمام Gateway، فعطّل gateway.auth.allowTailscale واستخدم مصادقة السر المشترك (gateway.auth.mode: "token" أو "password") أو مصادقة الوكيل الموثوق بدلا من ذلك.

الوكلاء الموثوقون:

  • إذا أنهيت TLS أمام Gateway، فاضبط gateway.trustedProxies على عناوين IP الخاصة بوكيلك.
  • سيثق OpenClaw بـ x-forwarded-for (أو x-real-ip) من تلك العناوين لتحديد IP العميل لفحوصات الاقتران المحلي ومصادقة HTTP/الفحوصات المحلية.
  • تأكد من أن وكيلك يستبدل x-forwarded-for ويحظر الوصول المباشر إلى منفذ Gateway.

راجع Tailscale ونظرة عامة على الويب.

التحكم في المتصفح عبر مضيف node (موصى به)

إذا كان Gateway لديك بعيدا لكن المتصفح يعمل على جهاز آخر، فشغّل مضيف node على جهاز المتصفح ودع Gateway يوكّل إجراءات المتصفح (راجع أداة المتصفح). عامل اقتران node مثل وصول المدير.

النمط الموصى به:

  • أبق Gateway ومضيف node على tailnet نفسها (Tailscale).
  • قم بإقران node بقصد؛ عطّل توجيه وكيل المتصفح إذا لم تكن بحاجة إليه.

تجنب:

  • عرض منافذ الترحيل/التحكم عبر LAN أو الإنترنت العام.
  • Tailscale Funnel لنقاط نهاية التحكم في المتصفح (تعريض عام).

الأسرار على القرص

افترض أن أي شيء ضمن ~/.openclaw/ (أو $OPENCLAW_STATE_DIR/) قد يحتوي أسرارا أو بيانات خاصة:

  • openclaw.json: قد يتضمن الإعداد رموزا (Gateway والبوابة البعيدة)، وإعدادات الموفر، وقوائم السماح.
  • credentials/**: بيانات اعتماد القنوات (مثال: بيانات اعتماد WhatsApp)، وقوائم سماح الاقتران، واستيرادات OAuth القديمة.
  • agents/<agentId>/agent/auth-profiles.json: مفاتيح API وملفات تعريف الرموز ورموز OAuth وkeyRef/tokenRef الاختيارية.
  • agents/<agentId>/agent/codex-home/**: حساب خادم تطبيق Codex لكل وكيل، والإعداد، وSkills، وPlugins، وحالة السلاسل الأصلية، والتشخيصات.
  • secrets.json (اختياري): حمولة سرية مدعومة بملف تستخدمها موفرو SecretRef من نوع file (secrets.providers).
  • agents/<agentId>/agent/auth.json: ملف توافق قديم. تُزال إدخالات api_key الثابتة عند اكتشافها.
  • agents/<agentId>/sessions/**: نصوص الجلسات (*.jsonl) + بيانات تعريف التوجيه (sessions.json) التي قد تحتوي رسائل خاصة ومخرجات أدوات.
  • حزم Plugin المضمنة: Plugins مثبتة (بالإضافة إلى node_modules/ الخاصة بها).
  • sandboxes/**: مساحات عمل صندوق أدوات؛ قد تتراكم فيها نسخ من الملفات التي تقرأها/تكتبها داخل صندوق الأدوات.

نصائح التقوية:

  • أبقِ الأذونات محكمة (700 على الأدلة، و600 على الملفات).
  • استخدم تشفير القرص بالكامل على مضيف Gateway.
  • فضّل حساب مستخدم مخصصًا في نظام التشغيل لـ Gateway إذا كان المضيف مشتركًا.

ملفات .env لمساحة العمل

يحمّل OpenClaw ملفات .env المحلية لمساحة العمل للوكلاء والأدوات، لكنه لا يسمح أبدًا لتلك الملفات بتجاوز عناصر التحكم في وقت تشغيل Gateway بصمت.

  • أي مفتاح يبدأ بـ OPENCLAW_* يتم حظره من ملفات .env غير الموثوقة في مساحة العمل.
  • تُحظر أيضًا إعدادات نقاط نهاية القنوات لـ Matrix وMattermost وIRC وSynology Chat من تجاوزات .env في مساحة العمل، لذلك لا يمكن لمساحات العمل المستنسخة إعادة توجيه حركة الموصلات المضمّنة عبر إعداد نقاط نهاية محلي. يجب أن تأتي مفاتيح بيئة نقاط النهاية (مثل MATRIX_HOMESERVER وMATTERMOST_URL وIRC_HOST وSYNOLOGY_CHAT_INCOMING_URL) من بيئة عملية Gateway أو env.shellEnv، لا من ملف .env محمّل من مساحة العمل.
  • الحظر مغلق عند الفشل: لا يمكن لمتغير تحكم في وقت التشغيل يُضاف في إصدار مستقبلي أن يُورث من ملف .env مُدرج في المستودع أو مقدّم من مهاجم؛ يتم تجاهل المفتاح ويحتفظ Gateway بقيمته الخاصة.
  • لا تزال متغيرات بيئة العملية/نظام التشغيل الموثوقة (صدفة Gateway الخاصة، وحدة launchd/systemd، حزمة التطبيق) سارية - هذا يقيّد فقط تحميل ملفات .env.

السبب: غالبًا ما تعيش ملفات .env الخاصة بمساحة العمل بجانب كود الوكيل، أو تُرتكب بالخطأ، أو تكتبها الأدوات. حظر بادئة OPENCLAW_* بالكامل يعني أن إضافة علم OPENCLAW_* جديد لاحقًا لا يمكن أبدًا أن تتراجع إلى وراثة صامتة من حالة مساحة العمل.

السجلات والنصوص (التنقيح والاحتفاظ)

يمكن أن تسرّب السجلات والنصوص معلومات حساسة حتى عندما تكون عناصر التحكم في الوصول صحيحة:

  • قد تتضمن سجلات Gateway ملخصات الأدوات والأخطاء وعناوين URL.
  • يمكن أن تتضمن نصوص الجلسات أسرارًا ملصقة، ومحتويات ملفات، ومخرجات أوامر، وروابط.

التوصيات:

  • أبقِ تنقيح السجلات والنصوص مفعّلًا (logging.redactSensitive: "tools"؛ الافتراضي).
  • أضف أنماطًا مخصصة لبيئتك عبر logging.redactPatterns (الرموز المميزة، أسماء المضيفين، عناوين URL الداخلية).
  • عند مشاركة التشخيصات، فضّل openclaw status --all (قابلًا للصق، مع تنقيح الأسرار) بدلًا من السجلات الخام.
  • قلّم نصوص الجلسات القديمة وملفات السجلات إذا لم تكن بحاجة إلى احتفاظ طويل.

التفاصيل: التسجيل

الرسائل المباشرة: الاقتران افتراضيًا

{
  channels: { whatsapp: { dmPolicy: "pairing" } },
}

المجموعات: طلب الإشارة في كل مكان

{
  "channels": {
    "whatsapp": {
      "groups": {
        "*": { "requireMention": true }
      }
    }
  },
  "agents": {
    "list": [
      {
        "id": "main",
        "groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] }
      }
    ]
  }
}

في محادثات المجموعات، لا ترد إلا عند الإشارة إليك صراحةً.

أرقام منفصلة (WhatsApp، Signal، Telegram)

بالنسبة إلى القنوات المستندة إلى أرقام الهاتف، فكّر في تشغيل الذكاء الاصطناعي الخاص بك على رقم هاتف منفصل عن رقمك الشخصي:

  • الرقم الشخصي: تبقى محادثاتك خاصة
  • رقم البوت: يتعامل الذكاء الاصطناعي مع هذه المحادثات، مع حدود مناسبة

وضع القراءة فقط (عبر صندوق العزل والأدوات)

يمكنك بناء ملف تعريف للقراءة فقط من خلال الجمع بين:

  • agents.defaults.sandbox.workspaceAccess: "ro" (أو "none" لعدم وجود وصول إلى مساحة العمل)
  • قوائم السماح/الحظر للأدوات التي تحظر write وedit وapply_patch وexec وprocess وما إلى ذلك.

خيارات تقوية إضافية:

  • tools.exec.applyPatch.workspaceOnly: true (افتراضي): يضمن أن apply_patch لا يمكنه الكتابة/الحذف خارج دليل مساحة العمل حتى عند إيقاف صندوق العزل. اضبطه على false فقط إذا كنت تريد عمدًا أن يلمس apply_patch ملفات خارج مساحة العمل.
  • tools.fs.workspaceOnly: true (اختياري): يقيّد مسارات read/write/edit/apply_patch ومسارات التحميل التلقائي لصور المطالبات الأصلية بدليل مساحة العمل (مفيد إذا كنت تسمح بالمسارات المطلقة اليوم وتريد حاجز حماية واحدًا).
  • أبقِ جذور نظام الملفات ضيقة: تجنب الجذور الواسعة مثل دليلك المنزلي لمساحات عمل الوكلاء/مساحات عمل صندوق العزل. يمكن للجذور الواسعة أن تكشف ملفات محلية حساسة (على سبيل المثال الحالة/الإعدادات تحت ~/.openclaw) لأدوات نظام الملفات.

خط أساس آمن (نسخ/لصق)

إعداد "افتراضي آمن" واحد يبقي Gateway خاصًا، ويتطلب اقتران الرسائل المباشرة، ويتجنب بوتات المجموعات العاملة دائمًا:

{
  gateway: {
    mode: "local",
    bind: "loopback",
    port: 18789,
    auth: { mode: "token", token: "your-long-random-token" },
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } },
    },
  },
}

إذا كنت تريد تنفيذ أدوات "أكثر أمانًا افتراضيًا" أيضًا، فأضف صندوق عزل + احظر الأدوات الخطرة لأي وكيل غير مالك (مثال أدناه ضمن "ملفات تعريف الوصول لكل وكيل").

خط الأساس المضمّن لأدوار الوكيل المدفوعة بالدردشة: لا يمكن للمرسلين غير المالكين استخدام أدوات cron أو gateway.

صندوق العزل (موصى به)

مستند مخصص: صندوق العزل

نهجان متكاملان:

  • تشغيل Gateway بالكامل في Docker (حد الحاوية): Docker
  • صندوق عزل الأدوات (agents.defaults.sandbox، Gateway مضيف + أدوات معزولة بصندوق عزل؛ Docker هو الواجهة الخلفية الافتراضية): صندوق العزل

ضع في اعتبارك أيضًا وصول مساحة عمل الوكيل داخل صندوق العزل:

  • agents.defaults.sandbox.workspaceAccess: "none" (افتراضي) يبقي مساحة عمل الوكيل خارج الحدود؛ تعمل الأدوات مقابل مساحة عمل صندوق عزل تحت ~/.openclaw/sandboxes
  • agents.defaults.sandbox.workspaceAccess: "ro" يركّب مساحة عمل الوكيل للقراءة فقط عند /agent (يعطّل write/edit/apply_patch)
  • agents.defaults.sandbox.workspaceAccess: "rw" يركّب مساحة عمل الوكيل للقراءة/الكتابة عند /workspace
  • يتم التحقق من sandbox.docker.binds الإضافية مقابل مسارات مصدر مُطبّعة ومحوّلة إلى صيغة معيارية. لا تزال حيل الروابط الرمزية للأصل وأسماء المنزل المستعارة المعيارية تفشل مغلقة إذا تم حلها إلى جذور محظورة مثل /etc أو /var/run أو أدلة بيانات الاعتماد تحت منزل نظام التشغيل.

حاجز حماية تفويض الوكلاء الفرعيين

إذا كنت تسمح بأدوات الجلسة، فتعامل مع تشغيلات الوكلاء الفرعيين المفوضة كقرار حدود آخر:

  • احظر sessions_spawn ما لم يكن الوكيل بحاجة فعلية إلى التفويض.
  • أبقِ agents.defaults.subagents.allowAgents وأي تجاوزات لكل وكيل في agents.list[].subagents.allowAgents مقيدة بوكلاء هدف معروفين بأنهم آمنون.
  • لأي سير عمل يجب أن يبقى معزولًا بصندوق عزل، استدعِ sessions_spawn مع sandbox: "require" (الافتراضي هو inherit).
  • يفشل sandbox: "require" بسرعة عندما لا يكون وقت تشغيل الطفل الهدف معزولًا بصندوق عزل.

مخاطر التحكم في المتصفح

يمنح تفعيل التحكم في المتصفح النموذج القدرة على قيادة متصفح حقيقي. إذا كان ملف تعريف ذلك المتصفح يحتوي بالفعل على جلسات مسجلة الدخول، فيمكن للنموذج الوصول إلى تلك الحسابات والبيانات. تعامل مع ملفات تعريف المتصفح باعتبارها حالة حساسة:

  • فضّل ملف تعريف مخصصًا للوكيل (ملف تعريف openclaw الافتراضي).
  • تجنب توجيه الوكيل إلى ملف تعريفك الشخصي اليومي.
  • أبقِ التحكم في متصفح المضيف معطلًا للوكلاء المعزولين بصندوق عزل ما لم تثق بهم.
  • لا تكرّم واجهة API المستقلة للتحكم في المتصفح عبر loopback إلا مصادقة السر المشترك (مصادقة حامل رمز Gateway أو كلمة مرور Gateway). لا تستهلك ترويسات هوية الوكيل الموثوق أو Tailscale Serve.
  • تعامل مع تنزيلات المتصفح كمدخلات غير موثوقة؛ فضّل دليل تنزيلات معزولًا.
  • عطّل مزامنة المتصفح/مديري كلمات المرور في ملف تعريف الوكيل إن أمكن (يقلل نطاق الضرر).
  • بالنسبة إلى البوابات البعيدة، افترض أن "التحكم في المتصفح" يكافئ "وصول المشغّل" إلى أي شيء يمكن لذلك الملف الشخصي الوصول إليه.
  • أبقِ مضيفي Gateway وnode مقتصرين على tailnet؛ تجنب كشف منافذ التحكم في المتصفح للشبكة المحلية أو الإنترنت العامة.
  • عطّل توجيه وكيل المتصفح عندما لا تحتاج إليه (gateway.nodes.browser.mode="off").
  • وضع الجلسة الحالية في Chrome MCP ليس "أكثر أمانًا"؛ يمكنه التصرف بصفتك في أي شيء يمكن لملف تعريف Chrome على ذلك المضيف الوصول إليه.

سياسة SSRF للمتصفح (صارمة افتراضيًا)

سياسة تنقل المتصفح في OpenClaw صارمة افتراضيًا: تظل الوجهات الخاصة/الداخلية محظورة ما لم تشترك صراحةً.

  • الافتراضي: browser.ssrfPolicy.dangerouslyAllowPrivateNetwork غير معيّن، لذلك يحافظ تنقل المتصفح على حظر الوجهات الخاصة/الداخلية/ذات الاستخدام الخاص.
  • الاسم المستعار القديم: لا يزال browser.ssrfPolicy.allowPrivateNetwork مقبولًا للتوافق.
  • وضع الاشتراك: عيّن browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: true للسماح بالوجهات الخاصة/الداخلية/ذات الاستخدام الخاص.
  • في الوضع الصارم، استخدم hostnameAllowlist (أنماط مثل *.example.com) وallowedHostnames (استثناءات مضيف دقيقة، بما في ذلك الأسماء المحظورة مثل localhost) للاستثناءات الصريحة.
  • يتم التحقق من التنقل قبل الطلب، ويُعاد التحقق بأفضل جهد على عنوان URL النهائي http(s) بعد التنقل لتقليل التحولات المستندة إلى إعادة التوجيه.

مثال على سياسة صارمة:

{
  browser: {
    ssrfPolicy: {
      dangerouslyAllowPrivateNetwork: false,
      hostnameAllowlist: ["*.example.com", "example.com"],
      allowedHostnames: ["localhost"],
    },
  },
}

ملفات تعريف الوصول لكل وكيل (متعدد الوكلاء)

مع توجيه متعدد الوكلاء، يمكن لكل وكيل أن يملك صندوق عزل + سياسة أدوات خاصة به: استخدم هذا لمنح وصول كامل أو قراءة فقط أو عدم وصول لكل وكيل. راجع صندوق عزل وأدوات متعددة الوكلاء للحصول على التفاصيل الكاملة وقواعد الأسبقية.

حالات استخدام شائعة:

  • وكيل شخصي: وصول كامل، بلا صندوق عزل
  • وكيل العائلة/العمل: معزول بصندوق عزل + أدوات قراءة فقط
  • وكيل عام: معزول بصندوق عزل + بلا أدوات نظام ملفات/صدفة

مثال: وصول كامل (بلا صندوق عزل)

{
  agents: {
    list: [
      {
        id: "personal",
        workspace: "~/.openclaw/workspace-personal",
        sandbox: { mode: "off" },
      },
    ],
  },
}

مثال: أدوات قراءة فقط + مساحة عمل قراءة فقط

{
  agents: {
    list: [
      {
        id: "family",
        workspace: "~/.openclaw/workspace-family",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "ro",
        },
        tools: {
          allow: ["read"],
          deny: ["write", "edit", "apply_patch", "exec", "process", "browser"],
        },
      },
    ],
  },
}

مثال: بلا وصول إلى نظام الملفات/الصدفة (مع السماح برسائل المزود)

{
  agents: {
    list: [
      {
        id: "public",
        workspace: "~/.openclaw/workspace-public",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "none",
        },
        // Session tools can reveal sensitive data from transcripts. By default OpenClaw limits these tools
        // to the current session + spawned subagent sessions, but you can clamp further if needed.
        // See `tools.sessions.visibility` in the configuration reference.
        tools: {
          sessions: { visibility: "tree" }, // self | tree | agent | all
          allow: [
            "sessions_list",
            "sessions_history",
            "sessions_send",
            "sessions_spawn",
            "session_status",
            "whatsapp",
            "telegram",
            "slack",
            "discord",
          ],
          deny: [
            "read",
            "write",
            "edit",
            "apply_patch",
            "exec",
            "process",
            "browser",
            "canvas",
            "nodes",
            "cron",
            "gateway",
            "image",
          ],
        },
      },
    ],
  },
}

الاستجابة للحوادث

إذا فعل الذكاء الاصطناعي الخاص بك شيئًا سيئًا:

احتواء

  1. أوقفه: أوقف تطبيق macOS (إذا كان يشرف على Gateway) أو أنهِ عملية openclaw gateway لديك.
  2. أغلق التعرض: اضبط gateway.bind: "loopback" (أو عطّل Tailscale Funnel/Serve) حتى تفهم ما حدث.
  3. جمّد الوصول: حوّل الرسائل المباشرة/المجموعات الخطرة إلى dmPolicy: "disabled" / اشترط الإشارات، وأزِل إدخالات السماح للجميع "*" إذا كانت لديك.

التدوير (افترض الاختراق إذا تسرّبت الأسرار)

  1. دوّر مصادقة Gateway (gateway.auth.token / OPENCLAW_GATEWAY_PASSWORD) وأعِد التشغيل.
  2. دوّر أسرار العميل البعيد (gateway.remote.token / .password) على أي جهاز يمكنه استدعاء Gateway.
  3. دوّر بيانات اعتماد المزوّد/API (بيانات اعتماد WhatsApp، رموز Slack/Discord، مفاتيح النموذج/API في auth-profiles.json، وقيم حمولة الأسرار المشفّرة عند استخدامها).

التدقيق

  1. تحقق من سجلات Gateway: /tmp/openclaw/openclaw-YYYY-MM-DD.log (أو logging.file).
  2. راجع النصوص ذات الصلة للجلسات: ~/.openclaw/agents/<agentId>/sessions/*.jsonl.
  3. راجع تغييرات الإعدادات الأخيرة (أي شيء كان يمكن أن يوسّع الوصول: gateway.bind، gateway.auth، سياسات الرسائل المباشرة/المجموعات، tools.elevated، تغييرات Plugin).
  4. أعد تشغيل openclaw security audit --deep وتأكد من حل النتائج الحرجة.

اجمع لتقرير

  • الطابع الزمني، نظام تشغيل مضيف Gateway + إصدار OpenClaw
  • نصوص الجلسات + ذيل سجل قصير (بعد التنقيح)
  • ما أرسله المهاجم + ما فعله الوكيل
  • ما إذا كان Gateway مكشوفًا خارج loopback (LAN/Tailscale Funnel/Serve)

فحص الأسرار

تشغّل CI خطاف pre-commit detect-private-key على المستودع. إذا فشل، فأزِل مادة المفتاح المُلتزمة أو دوّرها، ثم أعِد إنتاج ذلك محليًا:

pre-commit run --all-files detect-private-key

الإبلاغ عن المشكلات الأمنية

هل وجدت ثغرة أمنية في OpenClaw؟ يُرجى الإبلاغ عنها بمسؤولية:

  1. البريد الإلكتروني: [email protected]
  2. لا تنشر علنًا حتى يتم الإصلاح
  3. سننسب الفضل إليك (ما لم تفضّل إخفاء هويتك)