English简体中文繁體中文日本語EspañolPortuguês (BR)한국어DeutschFrançaisالعربيةItalianoTiếng ViệtNederlandsTürkçeУкраїнськаBahasa IndonesiaPolskiفارسیไทย

Gateway

Bảo mật

Xác định phạm vi trước: mô hình bảo mật trợ lý cá nhân

Hướng dẫn bảo mật OpenClaw giả định một triển khai trợ lý cá nhân: một ranh giới người vận hành đáng tin cậy, có thể có nhiều agent.

  • Tư thế bảo mật được hỗ trợ: một người dùng/ranh giới tin cậy cho mỗi Gateway (ưu tiên một người dùng OS/máy chủ/VPS cho mỗi ranh giới).
  • Không phải ranh giới bảo mật được hỗ trợ: một Gateway/agent dùng chung bởi các người dùng không tin cậy lẫn nhau hoặc đối kháng.
  • Nếu cần cách ly người dùng đối kháng, hãy tách theo ranh giới tin cậy (Gateway + thông tin xác thực riêng, và lý tưởng là người dùng OS/máy chủ riêng).
  • Nếu nhiều người dùng không tin cậy có thể nhắn tin cho một agent có bật công cụ, hãy xem họ như đang chia sẻ cùng thẩm quyền công cụ được ủy quyền cho agent đó.

Trang này giải thích cách gia cố trong mô hình đó. Nó không tuyên bố có khả năng cách ly đa đối tượng thuê thù địch trên một Gateway dùng chung.

Kiểm tra nhanh: openclaw security audit

Xem thêm: Xác minh hình thức (Mô hình bảo mật)

Chạy lệnh này thường xuyên (đặc biệt sau khi thay đổi cấu hình hoặc mở các bề mặt mạng):

openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --json

security audit --fix được cố ý giữ phạm vi hẹp: nó chuyển các chính sách nhóm mở thường gặp thành danh sách cho phép, khôi phục logging.redactSensitive: "tools", siết chặt quyền trạng thái/cấu hình/tệp include, và dùng đặt lại ACL của Windows thay vì POSIX chmod khi chạy trên Windows.

Nó đánh dấu các lỗi cấu hình thường gặp (phơi lộ xác thực Gateway, phơi lộ điều khiển trình duyệt, danh sách cho phép đặc quyền nâng cao, quyền hệ thống tệp, phê duyệt exec quá rộng, và phơi lộ công cụ qua kênh mở).

OpenClaw vừa là một sản phẩm vừa là một thử nghiệm: bạn đang nối hành vi của mô hình tiên tiến vào các bề mặt nhắn tin thật và công cụ thật. Không có thiết lập nào "an toàn tuyệt đối". Mục tiêu là chủ động quyết định về:

  • ai có thể nói chuyện với bot của bạn
  • bot được phép hành động ở đâu
  • bot có thể chạm vào những gì

Bắt đầu với mức truy cập nhỏ nhất vẫn hoạt động, rồi mở rộng khi bạn tự tin hơn.

Triển khai và độ tin cậy của máy chủ

OpenClaw giả định máy chủ và ranh giới cấu hình là đáng tin cậy:

  • Nếu ai đó có thể sửa đổi trạng thái/cấu hình máy chủ Gateway (~/.openclaw, bao gồm openclaw.json), hãy xem họ là người vận hành đáng tin cậy.
  • Chạy một Gateway cho nhiều người vận hành không tin cậy lẫn nhau/đối kháng không phải là thiết lập được khuyến nghị.
  • Với các nhóm có mức tin cậy hỗn hợp, hãy tách ranh giới tin cậy bằng các Gateway riêng (hoặc tối thiểu là người dùng OS/máy chủ riêng).
  • Mặc định được khuyến nghị: một người dùng cho mỗi máy/máy chủ (hoặc VPS), một Gateway cho người dùng đó, và một hoặc nhiều agent trong Gateway đó.
  • Bên trong một phiên bản Gateway, quyền truy cập của người vận hành đã xác thực là vai trò mặt phẳng điều khiển đáng tin cậy, không phải vai trò đối tượng thuê theo từng người dùng.
  • Mã định danh phiên (sessionKey, ID phiên, nhãn) là bộ chọn định tuyến, không phải token ủy quyền.
  • Nếu nhiều người có thể nhắn tin cho một agent có bật công cụ, mỗi người trong số họ đều có thể điều khiển cùng một tập quyền đó. Cách ly phiên/bộ nhớ theo người dùng giúp bảo vệ quyền riêng tư, nhưng không biến một agent dùng chung thành ủy quyền máy chủ theo từng người dùng.

Thao tác tệp an toàn

OpenClaw dùng @openclaw/fs-safe cho truy cập tệp giới hạn theo gốc, ghi nguyên tử, giải nén kho lưu trữ, không gian làm việc tạm thời, và trình trợ giúp tệp bí mật. OpenClaw mặc định tắt trình trợ giúp Python POSIX tùy chọn của fs-safe; chỉ đặt OPENCLAW_FS_SAFE_PYTHON_MODE=auto hoặc require khi bạn muốn gia cố thêm thao tác thay đổi tương đối theo fd và có thể hỗ trợ runtime Python.

Chi tiết: Thao tác tệp an toàn.

Workspace Slack dùng chung: rủi ro thực tế

Nếu "mọi người trong Slack đều có thể nhắn tin cho bot", rủi ro cốt lõi là thẩm quyền công cụ được ủy quyền:

  • bất kỳ người gửi được phép nào cũng có thể kích hoạt các lệnh gọi công cụ (exec, trình duyệt, công cụ mạng/tệp) trong phạm vi chính sách của agent;
  • tiêm prompt/nội dung từ một người gửi có thể gây ra các hành động ảnh hưởng đến trạng thái, thiết bị hoặc đầu ra dùng chung;
  • nếu một agent dùng chung có thông tin xác thực/tệp nhạy cảm, bất kỳ người gửi được phép nào cũng có thể có khả năng điều khiển việc rò rỉ dữ liệu thông qua sử dụng công cụ.

Dùng agent/Gateway riêng với công cụ tối thiểu cho quy trình làm việc nhóm; giữ agent chứa dữ liệu cá nhân ở chế độ riêng tư.

Agent dùng chung trong công ty: mẫu chấp nhận được

Điều này chấp nhận được khi mọi người dùng agent đó đều nằm trong cùng một ranh giới tin cậy (ví dụ một nhóm công ty) và agent được giới hạn nghiêm ngặt cho công việc.

  • chạy nó trên một máy/VM/container chuyên dụng;
  • dùng một người dùng OS chuyên dụng + trình duyệt/hồ sơ/tài khoản chuyên dụng cho runtime đó;
  • không đăng nhập runtime đó vào tài khoản Apple/Google cá nhân hoặc hồ sơ trình quản lý mật khẩu/trình duyệt cá nhân.

Nếu bạn trộn danh tính cá nhân và công ty trên cùng một runtime, bạn làm sụp đổ sự tách biệt và tăng rủi ro phơi lộ dữ liệu cá nhân.

Khái niệm tin cậy Gateway và node

Xem Gateway và node là một miền tin cậy của người vận hành, với các vai trò khác nhau:

  • Gateway là mặt phẳng điều khiển và bề mặt chính sách (gateway.auth, chính sách công cụ, định tuyến).
  • Node là bề mặt thực thi từ xa được ghép nối với Gateway đó (lệnh, hành động thiết bị, khả năng cục bộ của máy chủ).
  • Một bên gọi đã xác thực với Gateway được tin cậy trong phạm vi Gateway. Sau khi ghép nối, các hành động node là hành động của người vận hành đáng tin cậy trên node đó.
  • Các cấp phạm vi của người vận hành và kiểm tra tại thời điểm phê duyệt được tóm tắt trong Phạm vi người vận hành.
  • Các máy khách backend loopback trực tiếp được xác thực bằng token/mật khẩu Gateway dùng chung có thể thực hiện RPC mặt phẳng điều khiển nội bộ mà không cần trình bày danh tính thiết bị người dùng. Đây không phải là cách vượt qua ghép nối từ xa hoặc trình duyệt: các máy khách mạng, máy khách node, máy khách token thiết bị, và danh tính thiết bị rõ ràng vẫn đi qua ghép nối và thực thi nâng cấp phạm vi.
  • sessionKey là lựa chọn định tuyến/ngữ cảnh, không phải xác thực theo từng người dùng.
  • Phê duyệt exec (danh sách cho phép + hỏi) là hàng rào bảo vệ ý định của người vận hành, không phải cách ly đa đối tượng thuê thù địch.
  • Mặc định sản phẩm của OpenClaw cho thiết lập một người vận hành đáng tin cậy là exec trên máy chủ ở gateway/node được phép mà không có lời nhắc phê duyệt (security="full", ask="off" trừ khi bạn siết chặt). Mặc định đó là UX có chủ ý, tự thân nó không phải lỗ hổng.
  • Phê duyệt exec ràng buộc ngữ cảnh yêu cầu chính xác và các toán hạng tệp cục bộ trực tiếp theo khả năng tốt nhất; chúng không mô hình hóa về mặt ngữ nghĩa mọi đường dẫn loader runtime/trình thông dịch. Dùng sandboxing và cách ly máy chủ cho các ranh giới mạnh.

Nếu bạn cần cách ly người dùng thù địch, hãy tách ranh giới tin cậy theo người dùng OS/máy chủ và chạy các Gateway riêng.

Ma trận ranh giới tin cậy

Dùng phần này làm mô hình nhanh khi phân loại rủi ro:

Ranh giới hoặc điều khiển Ý nghĩa Cách hiểu nhầm thường gặp
gateway.auth (token/password/trusted-proxy/device auth) Xác thực bên gọi tới API Gateway "Cần chữ ký theo từng tin nhắn trên mọi frame để an toàn"
sessionKey Khóa định tuyến để chọn ngữ cảnh/phiên "Khóa phiên là ranh giới xác thực người dùng"
Hàng rào bảo vệ prompt/nội dung Giảm rủi ro lạm dụng mô hình "Chỉ riêng prompt injection đã chứng minh bypass xác thực"
canvas.eval / đánh giá trình duyệt Khả năng có chủ ý của người vận hành khi được bật "Bất kỳ primitive JS eval nào cũng tự động là lỗ hổng trong mô hình tin cậy này"
Shell ! trong TUI cục bộ Thực thi cục bộ do người vận hành kích hoạt rõ ràng "Lệnh tiện lợi của shell cục bộ là tiêm lệnh từ xa"
Ghép nối Node và lệnh node Thực thi từ xa cấp người vận hành trên thiết bị đã ghép nối "Điều khiển thiết bị từ xa nên được xem là quyền truy cập người dùng không tin cậy theo mặc định"
gateway.nodes.pairing.autoApproveCidrs Chính sách ghi danh node trên mạng đáng tin cậy theo lựa chọn bật "Một danh sách cho phép mặc định tắt là lỗ hổng ghép nối tự động"

Ranh giới đa agent và sub-agent

OpenClaw có thể chạy nhiều agent bên trong một Gateway, nhưng các agent đó vẫn nằm trong cùng ranh giới người vận hành đáng tin cậy trừ khi bạn tách triển khai theo Gateway, người dùng OS, máy chủ, hoặc sandbox. Xem việc ủy quyền sub-agent là quyết định về chính sách công cụ và sandboxing, không phải lớp ủy quyền đa đối tượng thuê thù địch.

Hành vi kỳ vọng bên trong một Gateway đáng tin cậy:

  • Một người vận hành đã xác thực có thể định tuyến công việc tới các phiên và agent mà họ được phép sử dụng theo cấu hình.
  • sessionKey, ID phiên, nhãn, và khóa phiên sub-agent chọn ngữ cảnh hội thoại. Chúng không phải thông tin xác thực bearer và không phải ranh giới ủy quyền theo từng người dùng.
  • Sub-agent có các phiên riêng theo mặc định. sessions_spawn gốc dùng ngữ cảnh cách ly trừ khi bên gọi yêu cầu rõ context: "fork"; các phiên tiếp nối gắn với luồng dùng ngữ cảnh fork vì chúng tiếp tục luồng hội thoại.
  • Một sub-agent được fork có thể thấy ngữ cảnh bản ghi cuộc trò chuyện mà nó được cố ý cung cấp. Điều đó là hành vi kỳ vọng. Nó chỉ trở thành vấn đề bảo mật nếu nhận ngữ cảnh mà chính sách nói rằng nó không được nhận.
  • Quyền truy cập công cụ đến từ hồ sơ hiệu lực, chính sách kênh/nhóm/nhà cung cấp, chính sách sandbox, chính sách theo từng agent, và lớp hạn chế sub-agent. Một hồ sơ công cụ rộng cố ý cấp năng lực rộng.
  • Hồ sơ xác thực sub-agent được phân giải theo ID agent mục tiêu. Xác thực của agent chính có thể có sẵn làm fallback trừ khi bạn tách thông tin xác thực/triển khai; đừng chỉ dựa vào danh tính sub-agent để cách ly bí mật mạnh.

Những gì được tính là bypass ranh giới thực sự:

  • sessions_spawn hoạt động dù chính sách công cụ hiệu lực đã từ chối nó.
  • Một child chạy không sandbox dù requester đang sandbox hoặc lệnh gọi yêu cầu sandbox: "require".
  • Một child nhận công cụ phiên, công cụ hệ thống, hoặc quyền truy cập agent mục tiêu mà cấu hình đã phân giải đã từ chối.
  • Một sub-agent lá kiểm soát, kết thúc, điều khiển hoặc nhắn tin cho các phiên ngang hàng mà nó không tạo ra.
  • Một sub-agent thấy bản ghi cuộc trò chuyện, bộ nhớ, thông tin xác thực, hoặc tệp đã bị loại trừ bởi chính sách rõ ràng hoặc ranh giới sandbox.
  • Một bên gọi Gateway/API không có xác thực Gateway bắt buộc hoặc danh tính trusted-proxy/device có thể kích hoạt thực thi agent hoặc công cụ.

Các nút gia cố:

  • Giữ sessions_spawn ở trạng thái bị từ chối trừ khi một agent thật sự cần ủy quyền.
  • Ưu tiên tools.profile: "messaging" hoặc một hồ sơ hẹp khác cho các agent nói chuyện với kênh bên ngoài.
  • Đặt agents.list[].subagents.requireAgentId: true cho các agent có thể tạo công việc, để việc chọn mục tiêu là rõ ràng.
  • Giữ agents.defaults.subagents.allowAgentsagents.list[].subagents.allowAgents ở phạm vi hẹp; tránh ["*"] cho các agent nhận đầu vào không tin cậy.
  • Dùng tools.subagents.tools.allow để biến công cụ sub-agent thành chỉ cho phép thay vì kế thừa hồ sơ cha rộng.
  • Với các quy trình làm việc phải duy trì sandbox, dùng sessions_spawn với sandbox: "require".
  • Dùng các Gateway, người dùng OS, máy chủ, hồ sơ trình duyệt, và thông tin xác thực riêng khi agent hoặc người dùng không tin cậy lẫn nhau.

Không phải lỗ hổng theo thiết kế

Các phát hiện phổ biến nằm ngoài phạm vi

Các mẫu này thường được báo cáo và thường được đóng là không cần hành động trừ khi chứng minh được có bypass ranh giới thực sự:

  • Các chuỗi chỉ khai thác prompt injection mà không vượt qua chính sách, xác thực hoặc môi trường cách ly.
  • Các tuyên bố giả định hoạt động đa đối tượng thuê độc hại trên một máy chủ hoặc cấu hình dùng chung.
  • Các tuyên bố phân loại quyền truy cập đường đọc bình thường của người vận hành (ví dụ sessions.list / sessions.preview / chat.history) là IDOR trong một thiết lập Gateway dùng chung.
  • Các tuyên bố xem việc kế thừa bản ghi hội thoại dự kiến của context: "fork" là vượt qua ranh giới khi bên yêu cầu đã chủ động fork ngữ cảnh đó.
  • Các tuyên bố xem quyền truy cập công cụ rộng của sub-agent là một kiểu vượt qua khi hồ sơ hoặc allowlist đã cấu hình cố ý cấp các công cụ đó.
  • Các phát hiện triển khai chỉ trên localhost (ví dụ HSTS trên một Gateway chỉ dùng loopback).
  • Các phát hiện chữ ký Webhook đầu vào của Discord cho các đường dẫn đầu vào không tồn tại trong repo này.
  • Các báo cáo xem siêu dữ liệu ghép đôi Node là một lớp phê duyệt thứ hai ẩn theo từng lệnh cho system.run, trong khi ranh giới thực thi thực tế vẫn là chính sách lệnh Node toàn cục của Gateway cộng với các phê duyệt exec riêng của Node.
  • Các báo cáo xem gateway.nodes.pairing.autoApproveCidrs đã cấu hình là một lỗ hổng tự thân. Thiết lập này bị tắt theo mặc định, yêu cầu các mục CIDR/IP rõ ràng, chỉ áp dụng cho lần ghép đôi đầu tiên với role: node khi không có phạm vi được yêu cầu, và không tự động phê duyệt người vận hành/trình duyệt/Giao diện Điều khiển, WebChat, nâng cấp vai trò, nâng cấp phạm vi, thay đổi siêu dữ liệu, thay đổi khóa công khai, hoặc các đường dẫn header proxy tin cậy loopback cùng máy chủ trừ khi xác thực proxy tin cậy loopback đã được bật rõ ràng.
  • Các phát hiện "thiếu ủy quyền theo người dùng" xem sessionKey là một token xác thực.

Đường cơ sở được gia cố trong 60 giây

Trước tiên dùng đường cơ sở này, rồi bật lại có chọn lọc các công cụ cho từng agent tin cậy:

{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "replace-with-long-random-token" },
  },
  session: {
    dmScope: "per-channel-peer",
  },
  tools: {
    profile: "messaging",
    deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
    fs: { workspaceOnly: true },
    exec: { security: "deny", ask: "always" },
    elevated: { enabled: false },
  },
  channels: {
    whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } },
  },
}

Điều này giữ Gateway chỉ chạy cục bộ, cô lập tin nhắn trực tiếp và tắt các công cụ mặt phẳng điều khiển/runtime theo mặc định.

Quy tắc nhanh cho hộp thư dùng chung

Nếu có nhiều hơn một người có thể nhắn trực tiếp cho bot của bạn:

  • Đặt session.dmScope: "per-channel-peer" (hoặc "per-account-channel-peer" cho các kênh nhiều tài khoản).
  • Giữ dmPolicy: "pairing" hoặc allowlist nghiêm ngặt.
  • Không bao giờ kết hợp DM dùng chung với quyền truy cập công cụ rộng.
  • Điều này gia cố các hộp thư hợp tác/dùng chung, nhưng không được thiết kế để cô lập đồng thuê độc hại khi người dùng chia sẻ quyền ghi máy chủ/cấu hình.

Mô hình hiển thị ngữ cảnh

OpenClaw tách hai khái niệm:

  • Ủy quyền kích hoạt: ai có thể kích hoạt agent (dmPolicy, groupPolicy, allowlist, cổng yêu cầu nhắc tên).
  • Hiển thị ngữ cảnh: ngữ cảnh bổ sung nào được chèn vào đầu vào mô hình (nội dung trả lời, văn bản được trích dẫn, lịch sử luồng, siêu dữ liệu chuyển tiếp).

Allowlist kiểm soát kích hoạt và ủy quyền lệnh. Thiết lập contextVisibility kiểm soát cách lọc ngữ cảnh bổ sung (trả lời được trích dẫn, gốc luồng, lịch sử được lấy):

  • contextVisibility: "all" (mặc định) giữ ngữ cảnh bổ sung như đã nhận.
  • contextVisibility: "allowlist" lọc ngữ cảnh bổ sung theo những người gửi được các kiểm tra allowlist đang hoạt động cho phép.
  • contextVisibility: "allowlist_quote" hoạt động như allowlist, nhưng vẫn giữ một trả lời được trích dẫn rõ ràng.

Đặt contextVisibility theo từng kênh hoặc từng phòng/cuộc trò chuyện. Xem Trò chuyện nhóm để biết chi tiết thiết lập.

Hướng dẫn phân loại advisory:

  • Các tuyên bố chỉ cho thấy "mô hình có thể thấy văn bản được trích dẫn hoặc văn bản lịch sử từ người gửi không có trong allowlist" là các phát hiện gia cố có thể xử lý bằng contextVisibility, tự thân không phải là vượt qua ranh giới xác thực hoặc sandbox.
  • Để có tác động bảo mật, báo cáo vẫn cần chứng minh được việc vượt qua ranh giới tin cậy (xác thực, chính sách, sandbox, phê duyệt hoặc một ranh giới được ghi tài liệu khác).

Kiểm toán kiểm tra những gì (mức cao)

  • Truy cập đầu vào (chính sách DM, chính sách nhóm, allowlist): người lạ có thể kích hoạt bot không?
  • Phạm vi ảnh hưởng của công cụ (công cụ nâng quyền + phòng mở): prompt injection có thể biến thành hành động shell/tệp/mạng không?
  • Độ lệch phê duyệt exec (security=full, autoAllowSkills, allowlist trình thông dịch không có strictInlineEval): các rào chắn host-exec có còn hoạt động như bạn nghĩ không?
    • security="full" là cảnh báo tư thế rộng, không phải bằng chứng về lỗi. Đây là mặc định được chọn cho các thiết lập trợ lý cá nhân tin cậy; chỉ siết chặt khi mô hình mối đe dọa của bạn cần rào chắn phê duyệt hoặc allowlist.
  • Phơi bày mạng (bind/xác thực Gateway, Tailscale Serve/Funnel, token xác thực yếu/ngắn).
  • Phơi bày điều khiển trình duyệt (Node từ xa, cổng chuyển tiếp, endpoint CDP từ xa).
  • Vệ sinh ổ đĩa cục bộ (quyền, symlink, include cấu hình, đường dẫn "thư mục đồng bộ").
  • Plugins (plugin tải mà không có allowlist rõ ràng).
  • Độ lệch chính sách/cấu hình sai (thiết lập docker sandbox được cấu hình nhưng chế độ sandbox đang tắt; các mẫu gateway.nodes.denyCommands không hiệu quả vì chỉ khớp chính xác tên lệnh (ví dụ system.run) và không kiểm tra văn bản shell; các mục gateway.nodes.allowCommands nguy hiểm; tools.profile="minimal" toàn cục bị hồ sơ theo agent ghi đè; các công cụ do plugin sở hữu có thể truy cập dưới chính sách công cụ dễ dãi).
  • Độ lệch kỳ vọng runtime (ví dụ giả định exec ngầm vẫn có nghĩa là sandbox khi tools.exec.host hiện mặc định là auto, hoặc đặt rõ tools.exec.host="sandbox" trong khi chế độ sandbox đang tắt).
  • Vệ sinh mô hình (cảnh báo khi mô hình đã cấu hình có vẻ lỗi thời; không phải chặn cứng).

Nếu bạn chạy --deep, OpenClaw cũng cố gắng thăm dò Gateway trực tiếp theo best-effort.

Bản đồ lưu trữ thông tin xác thực

Dùng phần này khi kiểm toán quyền truy cập hoặc quyết định cần sao lưu gì:

  • WhatsApp: ~/.openclaw/credentials/whatsapp/<accountId>/creds.json
  • Token bot Telegram: cấu hình/env hoặc channels.telegram.tokenFile (chỉ tệp thông thường; symlink bị từ chối)
  • Token bot Discord: cấu hình/env hoặc SecretRef (nhà cung cấp env/file/exec)
  • Token Slack: cấu hình/env (channels.slack.*)
  • Allowlist ghép đôi:
    • ~/.openclaw/credentials/<channel>-allowFrom.json (tài khoản mặc định)
    • ~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json (tài khoản không mặc định)
  • Hồ sơ xác thực mô hình: ~/.openclaw/agents/<agentId>/agent/auth-profiles.json
  • Trạng thái runtime Codex: ~/.openclaw/agents/<agentId>/agent/codex-home/
  • Payload bí mật dựa trên tệp (tùy chọn): ~/.openclaw/secrets.json
  • Nhập OAuth cũ: ~/.openclaw/credentials/oauth.json

Danh sách kiểm tra kiểm toán bảo mật

Khi kiểm toán in ra phát hiện, hãy xem đây là thứ tự ưu tiên:

  1. Bất kỳ thứ gì "mở" + công cụ được bật: khóa DM/nhóm trước (ghép đôi/allowlist), rồi siết chính sách công cụ/sandboxing.
  2. Phơi bày mạng công khai (bind LAN, Funnel, thiếu xác thực): sửa ngay.
  3. Phơi bày điều khiển trình duyệt từ xa: xử lý như quyền truy cập của người vận hành (chỉ tailnet, ghép đôi Node có chủ ý, tránh phơi bày công khai).
  4. Quyền: bảo đảm trạng thái/cấu hình/thông tin xác thực/xác thực không thể đọc bởi nhóm/toàn thế giới.
  5. Plugins: chỉ tải những gì bạn tin cậy rõ ràng.
  6. Lựa chọn mô hình: ưu tiên mô hình hiện đại, được gia cố theo chỉ dẫn cho bất kỳ bot nào có công cụ.

Bảng thuật ngữ kiểm toán bảo mật

Mỗi phát hiện kiểm toán được định danh bằng một checkId có cấu trúc (ví dụ gateway.bind_no_auth hoặc tools.exec.security_full_configured). Các lớp mức độ nghiêm trọng phổ biến:

  • fs.* - quyền hệ thống tệp đối với trạng thái, cấu hình, thông tin xác thực, hồ sơ xác thực.
  • gateway.* - chế độ bind, xác thực, Tailscale, Giao diện điều khiển, thiết lập proxy tin cậy.
  • hooks.*, browser.*, sandbox.*, tools.exec.* - gia cố theo từng bề mặt.
  • plugins.*, skills.* - chuỗi cung ứng plugin/skill và các phát hiện quét.
  • security.exposure.* - các kiểm tra xuyên suốt nơi chính sách truy cập giao với phạm vi tác động của công cụ.

Xem danh mục đầy đủ với các mức độ nghiêm trọng, khóa sửa lỗi và hỗ trợ tự sửa tại Các kiểm tra kiểm toán bảo mật.

Giao diện điều khiển qua HTTP

Giao diện điều khiển cần một ngữ cảnh bảo mật (HTTPS hoặc localhost) để tạo danh tính thiết bị. gateway.controlUi.allowInsecureAuth là một công tắc tương thích cục bộ:

  • Trên localhost, nó cho phép xác thực Giao diện điều khiển mà không cần danh tính thiết bị khi trang được tải qua HTTP không bảo mật.
  • Nó không bỏ qua các kiểm tra ghép cặp.
  • Nó không nới lỏng yêu cầu danh tính thiết bị từ xa (không phải localhost).

Ưu tiên HTTPS (Tailscale Serve) hoặc mở UI trên 127.0.0.1.

Chỉ dành cho các tình huống khẩn cấp, gateway.controlUi.dangerouslyDisableDeviceAuth tắt hoàn toàn các kiểm tra danh tính thiết bị. Đây là một sự hạ cấp bảo mật nghiêm trọng; hãy tắt nó trừ khi bạn đang chủ động gỡ lỗi và có thể hoàn nguyên nhanh chóng.

Tách biệt với những cờ nguy hiểm đó, gateway.auth.mode: "trusted-proxy" thành công có thể chấp nhận các phiên Giao diện điều khiển của operator mà không cần danh tính thiết bị. Đó là một hành vi cố ý của chế độ xác thực, không phải lối tắt allowInsecureAuth, và nó vẫn không mở rộng sang các phiên Giao diện điều khiển vai trò node.

openclaw security audit cảnh báo khi thiết lập này được bật.

Tóm tắt các cờ không bảo mật hoặc nguy hiểm

openclaw security audit đưa ra config.insecure_or_dangerous_flags khi các công tắc gỡ lỗi không bảo mật/nguy hiểm đã biết được bật. Không đặt các công tắc này trong production.

Các cờ được kiểm toán theo dõi hiện nay
  • gateway.controlUi.allowInsecureAuth=true
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true
  • gateway.controlUi.dangerouslyDisableDeviceAuth=true
  • hooks.gmail.allowUnsafeExternalContent=true
  • hooks.mappings[<index>].allowUnsafeExternalContent=true
  • tools.exec.applyPatch.workspaceOnly=false
  • plugins.entries.acpx.config.permissionMode=approve-all
Tất cả khóa `dangerous*` / `dangerously*` trong schema cấu hình

Giao diện điều khiển và trình duyệt:

  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
  • gateway.controlUi.dangerouslyDisableDeviceAuth
  • browser.ssrfPolicy.dangerouslyAllowPrivateNetwork

So khớp tên kênh (các kênh đi kèm và kênh plugin; cũng có sẵn theo từng accounts.<accountId> khi áp dụng):

  • channels.discord.dangerouslyAllowNameMatching
  • channels.slack.dangerouslyAllowNameMatching
  • channels.googlechat.dangerouslyAllowNameMatching
  • channels.msteams.dangerouslyAllowNameMatching
  • channels.synology-chat.dangerouslyAllowNameMatching (kênh plugin)
  • channels.synology-chat.dangerouslyAllowInheritedWebhookPath (kênh plugin)
  • channels.zalouser.dangerouslyAllowNameMatching (kênh plugin)
  • channels.irc.dangerouslyAllowNameMatching (kênh plugin)
  • channels.mattermost.dangerouslyAllowNameMatching (kênh plugin)

Phơi lộ mạng:

  • channels.telegram.network.dangerouslyAllowPrivateNetwork (cũng theo từng tài khoản)

Sandbox Docker (mặc định + theo từng agent):

  • agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargets
  • agents.defaults.sandbox.docker.dangerouslyAllowExternalBindSources
  • agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin

Cấu hình proxy ngược

Nếu bạn chạy Gateway sau một proxy ngược (nginx, Caddy, Traefik, v.v.), hãy cấu hình gateway.trustedProxies để xử lý đúng IP client được chuyển tiếp.

Khi Gateway phát hiện các header proxy từ một địa chỉ không nằm trong trustedProxies, nó sẽ không coi các kết nối là client cục bộ. Nếu xác thực gateway bị tắt, các kết nối đó sẽ bị từ chối. Điều này ngăn việc bỏ qua xác thực trong đó các kết nối qua proxy nếu không sẽ trông như đến từ localhost và nhận được tin cậy tự động.

gateway.trustedProxies cũng cấp dữ liệu cho gateway.auth.mode: "trusted-proxy", nhưng chế độ xác thực đó nghiêm ngặt hơn:

  • xác thực trusted-proxy mặc định từ chối an toàn với các proxy có nguồn loopback
  • reverse proxy loopback cùng máy chủ có thể dùng gateway.trustedProxies để phát hiện client cục bộ và xử lý IP được chuyển tiếp
  • reverse proxy loopback cùng máy chủ chỉ có thể thỏa mãn gateway.auth.mode: "trusted-proxy" khi gateway.auth.trustedProxy.allowLoopback = true; nếu không, hãy dùng xác thực bằng token/mật khẩu
gateway:
  trustedProxies:
    - "10.0.0.1" # reverse proxy IP
  # Optional. Default false.
  # Only enable if your proxy cannot provide X-Forwarded-For.
  allowRealIpFallback: false
  auth:
    mode: password
    password: ${OPENCLAW_GATEWAY_PASSWORD}

Khi trustedProxies được cấu hình, Gateway dùng X-Forwarded-For để xác định IP của client. Theo mặc định, X-Real-IP bị bỏ qua trừ khi gateway.allowRealIpFallback: true được đặt rõ ràng.

Các header proxy đáng tin cậy không khiến việc ghép đôi thiết bị node tự động được tin cậy. gateway.nodes.pairing.autoApproveCidrs là một chính sách vận hành riêng, mặc định bị tắt. Ngay cả khi được bật, các đường dẫn header trusted-proxy có nguồn loopback vẫn bị loại khỏi tự động phê duyệt node vì caller cục bộ có thể giả mạo các header đó, kể cả khi xác thực trusted-proxy loopback được bật rõ ràng.

Hành vi reverse proxy tốt (ghi đè các header chuyển tiếp đến):

proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;

Hành vi reverse proxy xấu (nối thêm/giữ nguyên các header chuyển tiếp không đáng tin cậy):

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

Ghi chú HSTS và origin

  • Gateway OpenClaw ưu tiên cục bộ/loopback. Nếu bạn kết thúc TLS tại reverse proxy, hãy đặt HSTS trên miền HTTPS hướng về proxy ở đó.
  • Nếu chính gateway kết thúc HTTPS, bạn có thể đặt gateway.http.securityHeaders.strictTransportSecurity để phát header HSTS từ phản hồi của OpenClaw.
  • Hướng dẫn triển khai chi tiết nằm trong Xác thực Proxy đáng tin cậy.
  • Với các triển khai Control UI không phải loopback, mặc định cần có gateway.controlUi.allowedOrigins.
  • gateway.controlUi.allowedOrigins: ["*"] là chính sách cho phép mọi browser-origin một cách rõ ràng, không phải mặc định được gia cố. Tránh dùng bên ngoài môi trường kiểm thử cục bộ được kiểm soát chặt chẽ.
  • Các lỗi xác thực browser-origin trên loopback vẫn bị giới hạn tốc độ ngay cả khi miễn trừ loopback chung được bật, nhưng khóa lockout được phạm vi hóa theo từng giá trị Origin đã chuẩn hóa thay vì một bucket localhost dùng chung.
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true bật chế độ dự phòng origin bằng Host header; hãy xem đó là một chính sách nguy hiểm do người vận hành chọn.
  • Xem DNS rebinding và hành vi proxy-host header là các mối quan tâm gia cố triển khai; giữ trustedProxies chặt chẽ và tránh phơi bày gateway trực tiếp ra internet công cộng.

Nhật ký phiên cục bộ nằm trên đĩa

OpenClaw lưu bản ghi phiên trên đĩa dưới ~/.openclaw/agents/<agentId>/sessions/*.jsonl. Điều này cần thiết cho tính liên tục của phiên và (tùy chọn) lập chỉ mục bộ nhớ phiên, nhưng cũng có nghĩa là bất kỳ tiến trình/người dùng nào có quyền truy cập hệ thống tệp đều có thể đọc các nhật ký đó. Hãy xem quyền truy cập đĩa là ranh giới tin cậy và siết chặt quyền trên ~/.openclaw (xem phần kiểm toán bên dưới). Nếu bạn cần cách ly mạnh hơn giữa các agent, hãy chạy chúng dưới các người dùng hệ điều hành riêng hoặc trên các máy chủ riêng.

Thực thi Node (system.run)

Nếu một node macOS đã được ghép đôi, Gateway có thể gọi system.run trên node đó. Đây là thực thi mã từ xa trên máy Mac:

  • Yêu cầu ghép đôi node (phê duyệt + token).
  • Ghép đôi node của Gateway không phải là bề mặt phê duyệt theo từng lệnh. Nó thiết lập danh tính/độ tin cậy của node và việc cấp token.
  • Gateway áp dụng một chính sách lệnh node toàn cục thô thông qua gateway.nodes.allowCommands / denyCommands.
  • Được kiểm soát trên máy Mac qua Settings → Exec approvals (security + ask + allowlist).
  • Chính sách system.run theo từng node là tệp phê duyệt exec riêng của node (exec.approvals.node.*), có thể nghiêm ngặt hơn hoặc lỏng hơn chính sách command-ID toàn cục của gateway.
  • Một node chạy với security="full"ask="off" đang tuân theo mô hình người vận hành đáng tin cậy mặc định. Hãy xem đó là hành vi dự kiến trừ khi triển khai của bạn yêu cầu rõ ràng lập trường phê duyệt hoặc allowlist chặt hơn.
  • Chế độ phê duyệt ràng buộc đúng ngữ cảnh yêu cầu và, khi có thể, một toán hạng tệp/script cục bộ cụ thể. Nếu OpenClaw không thể xác định chính xác một tệp cục bộ trực tiếp cho lệnh interpreter/runtime, việc thực thi dựa trên phê duyệt sẽ bị từ chối thay vì hứa hẹn bao phủ đầy đủ về mặt ngữ nghĩa.
  • Với host=node, các lần chạy dựa trên phê duyệt cũng lưu một systemRunPlan chuẩn đã chuẩn bị; các lần chuyển tiếp đã phê duyệt sau đó tái sử dụng kế hoạch đã lưu đó, và xác thực của gateway từ chối các chỉnh sửa của caller đối với ngữ cảnh command/cwd/session sau khi yêu cầu phê duyệt được tạo.
  • Nếu bạn không muốn thực thi từ xa, hãy đặt security thành deny và xóa ghép đôi node cho máy Mac đó.

Sự phân biệt này quan trọng cho việc phân loại:

  • Một node đã ghép đôi kết nối lại và quảng bá danh sách lệnh khác không tự nó là lỗ hổng nếu chính sách toàn cục của Gateway và phê duyệt exec cục bộ của node vẫn thực thi ranh giới thực thi thực tế.
  • Các báo cáo coi metadata ghép đôi node là một lớp phê duyệt theo từng lệnh ẩn thứ hai thường là nhầm lẫn về chính sách/UX, không phải bỏ qua ranh giới bảo mật.

Skills động (watcher / node từ xa)

OpenClaw có thể làm mới danh sách Skills giữa phiên:

  • Skills watcher: các thay đổi đối với SKILL.md có thể cập nhật snapshot Skills ở lượt agent tiếp theo.
  • Node từ xa: việc kết nối một node macOS có thể làm cho Skills chỉ dành cho macOS đủ điều kiện (dựa trên dò tìm bin).

Hãy xem thư mục skill là mã đáng tin cậy và hạn chế người có thể sửa đổi chúng.

Mô hình mối đe dọa

Trợ lý AI của bạn có thể:

  • Thực thi lệnh shell tùy ý
  • Đọc/ghi tệp
  • Truy cập dịch vụ mạng
  • Gửi tin nhắn cho bất kỳ ai (nếu bạn cấp cho nó quyền truy cập WhatsApp)

Những người nhắn tin cho bạn có thể:

  • Cố lừa AI của bạn làm những việc xấu
  • Dùng kỹ thuật xã hội để truy cập dữ liệu của bạn
  • Thăm dò chi tiết hạ tầng

Khái niệm cốt lõi: kiểm soát truy cập trước trí tuệ

Hầu hết lỗi ở đây không phải là khai thác tinh vi - mà là "ai đó nhắn cho bot và bot làm theo yêu cầu."

Lập trường của OpenClaw:

  • Danh tính trước: quyết định ai có thể nói chuyện với bot (ghép đôi DM / allowlist / "open" rõ ràng).
  • Phạm vi tiếp theo: quyết định bot được phép hành động ở đâu (allowlist nhóm + cổng nhắc tên, công cụ, sandboxing, quyền thiết bị).
  • Mô hình sau cùng: giả định mô hình có thể bị thao túng; thiết kế sao cho thao túng có phạm vi ảnh hưởng hạn chế.

Mô hình ủy quyền lệnh

Slash command và directive chỉ được tôn trọng với người gửi được ủy quyền. Ủy quyền được suy ra từ allowlist/ghép đôi của kênh cộng với commands.useAccessGroups (xem Cấu hìnhSlash command). Nếu allowlist của một kênh trống hoặc bao gồm "*", các lệnh về cơ bản được mở cho kênh đó.

/exec là tiện ích chỉ trong phiên dành cho người vận hành được ủy quyền. Nó không ghi cấu hình hoặc thay đổi các phiên khác.

Rủi ro công cụ control plane

Hai công cụ tích hợp có thể tạo thay đổi control-plane lâu dài:

  • gateway có thể kiểm tra cấu hình bằng config.schema.lookup / config.get, và có thể tạo thay đổi lâu dài bằng config.apply, config.patch, và update.run.
  • cron có thể tạo các job đã lên lịch tiếp tục chạy sau khi chat/tác vụ ban đầu kết thúc.

Công cụ runtime gateway chỉ dành cho chủ sở hữu vẫn từ chối ghi lại tools.exec.ask hoặc tools.exec.security; các alias cũ tools.bash.* được chuẩn hóa thành cùng các đường dẫn exec được bảo vệ trước khi ghi. Các chỉnh sửa gateway config.applygateway config.patch do agent điều khiển mặc định từ chối an toàn: chỉ một tập hẹp các đường dẫn prompt, model và mention-gating có thể được agent điều chỉnh. Do đó, các cây cấu hình nhạy cảm mới được bảo vệ trừ khi chúng được cố ý thêm vào allowlist.

Với bất kỳ agent/bề mặt nào xử lý nội dung không đáng tin cậy, hãy mặc định từ chối các công cụ này:

{
  tools: {
    deny: ["gateway", "cron", "sessions_spawn", "sessions_send"],
  },
}

commands.restart=false chỉ chặn hành động khởi động lại. Nó không vô hiệu hóa các hành động cấu hình/cập nhật của gateway.

Plugins

Plugins chạy trong cùng tiến trình với Gateway. Hãy xem chúng là mã đáng tin cậy:

  • Chỉ cài đặt plugins từ nguồn bạn tin tưởng.
  • Ưu tiên allowlist plugins.allow rõ ràng.
  • Rà soát cấu hình plugin trước khi bật.
  • Khởi động lại Gateway sau khi thay đổi plugin.
  • Nếu bạn cài đặt hoặc cập nhật plugins (openclaw plugins install <package>, openclaw plugins update <id>), hãy xem việc đó như chạy mã không đáng tin cậy:
    • Đường dẫn cài đặt là thư mục theo từng plugin dưới gốc cài đặt plugin đang hoạt động.
    • OpenClaw chạy một lượt quét mã nguy hiểm tích hợp trước khi cài đặt/cập nhật. Các phát hiện critical mặc định sẽ chặn.
    • Các lượt cài đặt plugin từ npm và git chỉ chạy hội tụ phụ thuộc bằng trình quản lý gói trong luồng cài đặt/cập nhật rõ ràng. Đường dẫn cục bộ và archive được xem là các gói plugin tự chứa; OpenClaw sao chép/tham chiếu chúng mà không chạy npm install.
    • Ưu tiên phiên bản ghim, chính xác (@scope/[email protected]), và kiểm tra mã đã giải nén trên đĩa trước khi bật.
    • --dangerously-force-unsafe-install chỉ là phương án phá kính cho false positive của lượt quét tích hợp trong các luồng cài đặt/cập nhật plugin. Nó không bỏ qua các khối chính sách hook before_install của plugin và không bỏ qua lỗi quét.
    • Cài đặt phụ thuộc skill dựa trên Gateway tuân theo cùng phân tách nguy hiểm/đáng ngờ: phát hiện critical tích hợp sẽ chặn trừ khi caller đặt rõ ràng dangerouslyForceUnsafeInstall, trong khi phát hiện đáng ngờ vẫn chỉ cảnh báo. openclaw skills install vẫn là luồng tải xuống/cài đặt skill ClawHub riêng.

Chi tiết: Plugins

Mô hình truy cập DM: ghép đôi, allowlist, open, disabled

Tất cả các kênh hiện có khả năng DM đều hỗ trợ chính sách DM (dmPolicy hoặc *.dm.policy) chặn DM đến trước khi tin nhắn được xử lý:

  • pairing (mặc định): người gửi không xác định nhận một mã ghép đôi ngắn và bot bỏ qua tin nhắn của họ cho đến khi được phê duyệt. Mã hết hạn sau 1 giờ; các DM lặp lại sẽ không gửi lại mã cho đến khi một yêu cầu mới được tạo. Các yêu cầu đang chờ được giới hạn ở 3 mỗi kênh theo mặc định.
  • allowlist: người gửi không xác định bị chặn (không có bắt tay ghép đôi).
  • open: cho phép bất kỳ ai DM (công khai). Yêu cầu allowlist của kênh bao gồm "*" (opt-in rõ ràng).
  • disabled: bỏ qua hoàn toàn DM đến.

Phê duyệt qua CLI:

openclaw pairing list <channel>
openclaw pairing approve <channel> <code>

Chi tiết + tệp trên đĩa: Ghép đôi

Cách ly phiên DM (chế độ nhiều người dùng)

Theo mặc định, OpenClaw định tuyến tất cả DM vào phiên chính để trợ lý của bạn có tính liên tục giữa các thiết bị và kênh. Nếu nhiều người có thể DM bot (DM mở hoặc allowlist nhiều người), hãy cân nhắc cách ly phiên DM:

{
  session: { dmScope: "per-channel-peer" },
}

Điều này ngăn rò rỉ ngữ cảnh giữa người dùng trong khi vẫn giữ chat nhóm được cách ly.

Đây là ranh giới ngữ cảnh nhắn tin, không phải ranh giới quản trị máy chủ. Nếu người dùng có quan hệ đối địch lẫn nhau và dùng chung cùng máy chủ/cấu hình Gateway, hãy chạy các gateway riêng theo từng ranh giới tin cậy.

Chế độ DM an toàn (khuyến nghị)

Xem đoạn cấu hình ở trên là chế độ DM an toàn:

  • Mặc định: session.dmScope: "main" (tất cả DM chia sẻ một phiên để duy trì tính liên tục).
  • Mặc định onboarding CLI cục bộ: ghi session.dmScope: "per-channel-peer" khi chưa đặt (giữ nguyên các giá trị rõ ràng hiện có).
  • Chế độ DM an toàn: session.dmScope: "per-channel-peer" (mỗi cặp kênh+người gửi có một ngữ cảnh DM cách ly).
  • Cách ly peer liên kênh: session.dmScope: "per-peer" (mỗi người gửi có một phiên trên tất cả các kênh cùng loại).

Nếu bạn chạy nhiều tài khoản trên cùng một kênh, hãy dùng per-account-channel-peer thay thế. Nếu cùng một người liên hệ với bạn trên nhiều kênh, hãy dùng session.identityLinks để gộp các phiên tin nhắn trực tiếp đó vào một danh tính chuẩn. Xem Quản lý phiênCấu hình.

Danh sách cho phép cho tin nhắn trực tiếp và nhóm

OpenClaw có hai lớp "ai có thể kích hoạt tôi?" riêng biệt:

  • Danh sách cho phép tin nhắn trực tiếp (allowFrom / channels.discord.allowFrom / channels.slack.allowFrom; cũ: channels.discord.dm.allowFrom, channels.slack.dm.allowFrom): ai được phép nói chuyện với bot trong tin nhắn trực tiếp.
    • Khi dmPolicy="pairing", các phê duyệt được ghi vào kho danh sách cho phép ghép nối theo phạm vi tài khoản dưới ~/.openclaw/credentials/ (<channel>-allowFrom.json cho tài khoản mặc định, <channel>-<accountId>-allowFrom.json cho tài khoản không mặc định), được hợp nhất với các danh sách cho phép trong cấu hình.
  • Danh sách cho phép nhóm (theo từng kênh): những nhóm/kênh/guild nào bot sẽ chấp nhận tin nhắn.
    • Các mẫu thường gặp:
      • channels.whatsapp.groups, channels.telegram.groups, channels.imessage.groups: mặc định theo từng nhóm như requireMention; khi được đặt, nó cũng đóng vai trò là danh sách cho phép nhóm (bao gồm "*" để giữ hành vi cho phép tất cả).
      • groupPolicy="allowlist" + groupAllowFrom: giới hạn ai có thể kích hoạt bot bên trong một phiên nhóm (WhatsApp/Telegram/Signal/iMessage/Microsoft Teams).
      • channels.discord.guilds / channels.slack.channels: danh sách cho phép theo từng bề mặt + mặc định nhắc đến.
    • Kiểm tra nhóm chạy theo thứ tự này: groupPolicy/danh sách cho phép nhóm trước, kích hoạt bằng nhắc đến/trả lời sau.
    • Việc trả lời một tin nhắn của bot (nhắc đến ngầm định) không bỏ qua danh sách cho phép người gửi như groupAllowFrom.
    • Ghi chú bảo mật: hãy xem dmPolicy="open"groupPolicy="open" là các thiết lập chỉ dùng khi không còn lựa chọn nào khác. Chúng hầu như không nên được dùng; ưu tiên ghép nối + danh sách cho phép trừ khi bạn hoàn toàn tin tưởng mọi thành viên trong phòng.

Chi tiết: Cấu hìnhNhóm

Chèn nhắc lệnh (đó là gì, vì sao quan trọng)

Chèn nhắc lệnh là khi kẻ tấn công tạo một tin nhắn thao túng mô hình làm điều gì đó không an toàn ("bỏ qua hướng dẫn của bạn", "đổ toàn bộ hệ thống tệp của bạn", "theo liên kết này và chạy lệnh", v.v.).

Ngay cả với nhắc lệnh hệ thống mạnh, chèn nhắc lệnh chưa được giải quyết. Các rào chắn trong nhắc lệnh hệ thống chỉ là hướng dẫn mềm; việc thực thi cứng đến từ chính sách công cụ, phê duyệt thực thi, sandbox, và danh sách cho phép kênh (và người vận hành có thể tắt các cơ chế này theo thiết kế). Những điều hữu ích trong thực tế:

  • Khóa chặt tin nhắn trực tiếp đến (ghép nối/danh sách cho phép).
  • Ưu tiên cổng nhắc đến trong nhóm; tránh bot "luôn bật" trong phòng công khai.
  • Mặc định xem liên kết, tệp đính kèm, và hướng dẫn được dán là thù địch.
  • Chạy thực thi công cụ nhạy cảm trong sandbox; giữ bí mật ngoài hệ thống tệp mà tác tử có thể chạm tới.
  • Lưu ý: sandbox là tùy chọn bật. Nếu chế độ sandbox tắt, host=auto ngầm định phân giải về máy chủ gateway. host=sandbox rõ ràng vẫn đóng lỗi vì không có runtime sandbox khả dụng. Đặt host=gateway nếu bạn muốn hành vi đó rõ ràng trong cấu hình.
  • Giới hạn các công cụ rủi ro cao (exec, browser, web_fetch, web_search) cho tác tử đáng tin cậy hoặc danh sách cho phép rõ ràng.
  • Nếu bạn đưa trình thông dịch vào danh sách cho phép (python, node, ruby, perl, php, lua, osascript), hãy bật tools.exec.strictInlineEval để các dạng eval nội tuyến vẫn cần phê duyệt rõ ràng.
  • Phân tích phê duyệt shell cũng từ chối các dạng mở rộng tham số POSIX ($VAR, $?, $$, $1, $@, ${…}) bên trong heredoc không được trích dẫn, vì vậy phần thân heredoc nằm trong danh sách cho phép không thể lén mở rộng shell qua bước xem xét danh sách cho phép như văn bản thuần. Trích dẫn dấu kết thúc heredoc (ví dụ <<'EOF') để chọn ngữ nghĩa phần thân nguyên văn; heredoc không trích dẫn có khả năng mở rộng biến sẽ bị từ chối.
  • Lựa chọn mô hình rất quan trọng: các mô hình cũ/nhỏ/đời cũ kém vững chắc hơn đáng kể trước chèn nhắc lệnh và lạm dụng công cụ. Với tác tử có bật công cụ, hãy dùng mô hình thế hệ mới nhất, mạnh nhất, được gia cố theo hướng dẫn hiện có.

Các dấu hiệu cảnh báo cần xem là không đáng tin cậy:

  • "Đọc tệp/URL này và làm đúng những gì nó nói."
  • "Bỏ qua nhắc lệnh hệ thống hoặc quy tắc an toàn của bạn."
  • "Tiết lộ hướng dẫn ẩn hoặc đầu ra công cụ của bạn."
  • "Dán toàn bộ nội dung của ~/.openclaw hoặc nhật ký của bạn."

Làm sạch mã thông báo đặc biệt trong nội dung bên ngoài

OpenClaw loại bỏ các literal mã thông báo đặc biệt dạng mẫu trò chuyện LLM tự lưu trữ phổ biến khỏi nội dung bên ngoài được bọc và siêu dữ liệu trước khi chúng tới mô hình. Các họ dấu mốc được bao phủ bao gồm Qwen/ChatML, Llama, Gemma, Mistral, Phi, và mã thông báo vai trò/lượt GPT-OSS.

Lý do:

  • Các backend tương thích OpenAI đứng trước mô hình tự lưu trữ đôi khi giữ lại mã thông báo đặc biệt xuất hiện trong văn bản người dùng, thay vì che chúng. Nếu không, kẻ tấn công có thể ghi vào nội dung bên ngoài đi vào (một trang được tìm nạp, nội dung email, đầu ra công cụ nội dung tệp) và chèn một ranh giới vai trò assistant hoặc system tổng hợp để thoát khỏi rào chắn nội dung được bọc.
  • Việc làm sạch diễn ra ở lớp bọc nội dung bên ngoài, nên nó áp dụng đồng nhất trên các công cụ tìm nạp/đọc và nội dung kênh đi vào thay vì theo từng nhà cung cấp.
  • Phản hồi mô hình đi ra đã có một bộ làm sạch riêng loại bỏ <tool_call>, <function_calls>, <system-reminder>, <previous_response>, và giàn giáo runtime nội bộ tương tự bị rò rỉ khỏi trả lời người dùng nhìn thấy ở ranh giới phân phối kênh cuối cùng. Bộ làm sạch nội dung bên ngoài là phần tương ứng cho chiều đi vào.

Điều này không thay thế các biện pháp gia cố khác trên trang này - dmPolicy, danh sách cho phép, phê duyệt thực thi, sandbox, và contextVisibility vẫn làm phần việc chính. Nó đóng một đường vượt qua cụ thể ở lớp tokenizer đối với các ngăn xếp tự lưu trữ chuyển tiếp văn bản người dùng với mã thông báo đặc biệt còn nguyên.

Cờ bỏ qua nội dung bên ngoài không an toàn

OpenClaw bao gồm các cờ bỏ qua rõ ràng để tắt bọc an toàn nội dung bên ngoài:

  • hooks.mappings[].allowUnsafeExternalContent
  • hooks.gmail.allowUnsafeExternalContent
  • Trường payload Cron allowUnsafeExternalContent

Hướng dẫn:

  • Giữ các cờ này chưa đặt/sai trong production.
  • Chỉ bật tạm thời cho gỡ lỗi có phạm vi rất hẹp.
  • Nếu bật, hãy cô lập tác tử đó (sandbox + công cụ tối thiểu + namespace phiên riêng).

Ghi chú rủi ro hooks:

  • Payload hook là nội dung không đáng tin cậy, ngay cả khi việc phân phối đến từ hệ thống bạn kiểm soát (nội dung thư/tài liệu/web có thể mang chèn nhắc lệnh).
  • Tầng mô hình yếu làm tăng rủi ro này. Với tự động hóa điều khiển bằng hook, ưu tiên các tầng mô hình hiện đại mạnh và giữ chính sách công cụ chặt (tools.profile: "messaging" hoặc nghiêm hơn), cộng với sandbox khi có thể.

Chèn nhắc lệnh không cần tin nhắn trực tiếp công khai

Ngay cả khi chỉ bạn có thể nhắn tin cho bot, chèn nhắc lệnh vẫn có thể xảy ra qua bất kỳ nội dung không đáng tin cậy nào mà bot đọc (kết quả tìm kiếm/tìm nạp web, trang trình duyệt, email, tài liệu, tệp đính kèm, nhật ký/mã được dán). Nói cách khác: người gửi không phải là bề mặt đe dọa duy nhất; chính nội dung có thể mang hướng dẫn đối nghịch.

Khi công cụ được bật, rủi ro điển hình là rò rỉ ngữ cảnh hoặc kích hoạt lệnh gọi công cụ. Giảm phạm vi ảnh hưởng bằng cách:

  • Dùng tác tử đọc chỉ đọc hoặc tắt công cụ để tóm tắt nội dung không đáng tin cậy, rồi chuyển bản tóm tắt cho tác tử chính của bạn.
  • Tắt web_search / web_fetch / browser cho tác tử có bật công cụ trừ khi cần.
  • Với đầu vào URL OpenResponses (input_file / input_image), đặt chặt gateway.http.endpoints.responses.files.urlAllowlistgateway.http.endpoints.responses.images.urlAllowlist, đồng thời giữ maxUrlParts thấp. Danh sách cho phép rỗng được xem như chưa đặt; dùng files.allowUrl: false / images.allowUrl: false nếu bạn muốn tắt hoàn toàn việc tìm nạp URL.
  • Với đầu vào tệp OpenResponses, văn bản input_file đã giải mã vẫn được chèn như nội dung bên ngoài không đáng tin cậy. Đừng dựa vào việc văn bản tệp là đáng tin chỉ vì Gateway đã giải mã nó cục bộ. Khối được chèn vẫn mang các dấu mốc ranh giới rõ ràng <<&lt;EXTERNAL_UNTRUSTED_CONTENT ...&gt;>> cộng với siêu dữ liệu Source: External, mặc dù đường này bỏ qua biểu ngữ SECURITY NOTICE: dài hơn.
  • Cùng cơ chế bọc dựa trên dấu mốc được áp dụng khi hiểu phương tiện trích xuất văn bản từ tài liệu đính kèm trước khi nối văn bản đó vào nhắc lệnh phương tiện.
  • Bật sandbox và danh sách cho phép công cụ nghiêm ngặt cho mọi tác tử chạm vào đầu vào không đáng tin cậy.
  • Giữ bí mật ngoài nhắc lệnh; thay vào đó truyền chúng qua env/cấu hình trên máy chủ gateway.

Backend LLM tự lưu trữ

Các backend tự lưu trữ tương thích OpenAI như vLLM, SGLang, TGI, LM Studio, hoặc ngăn xếp tokenizer Hugging Face tùy chỉnh có thể khác với nhà cung cấp lưu trữ ở cách xử lý mã thông báo đặc biệt dạng mẫu trò chuyện. Nếu một backend tokenize các chuỗi literal như <|im_start|>, <|start_header_id|>, hoặc <start_of_turn> thành mã thông báo mẫu trò chuyện có cấu trúc bên trong nội dung người dùng, văn bản không đáng tin cậy có thể cố giả mạo ranh giới vai trò ở lớp tokenizer.

OpenClaw loại bỏ các literal mã thông báo đặc biệt theo họ mô hình phổ biến khỏi nội dung bên ngoài được bọc trước khi gửi nó tới mô hình. Giữ bật bọc nội dung bên ngoài, và ưu tiên thiết lập backend tách hoặc escape mã thông báo đặc biệt trong nội dung do người dùng cung cấp khi có. Các nhà cung cấp lưu trữ như OpenAI và Anthropic đã áp dụng cơ chế làm sạch phía yêu cầu riêng của họ.

Độ mạnh của mô hình (ghi chú bảo mật)

Khả năng kháng chèn nhắc lệnh không đồng đều giữa các tầng mô hình. Các mô hình nhỏ hơn/rẻ hơn thường dễ bị lạm dụng công cụ và chiếm quyền hướng dẫn hơn, đặc biệt dưới nhắc lệnh đối nghịch.

Khuyến nghị:

  • Dùng mô hình thế hệ mới nhất, tầng tốt nhất cho bất kỳ bot nào có thể chạy công cụ hoặc chạm vào tệp/mạng.
  • Không dùng các tầng cũ/yếu hơn/nhỏ hơn cho tác tử có bật công cụ hoặc hộp thư đến không đáng tin cậy; rủi ro chèn nhắc lệnh quá cao.
  • Nếu bạn buộc phải dùng mô hình nhỏ hơn, giảm phạm vi ảnh hưởng (công cụ chỉ đọc, sandbox mạnh, quyền truy cập hệ thống tệp tối thiểu, danh sách cho phép nghiêm ngặt).
  • Khi chạy mô hình nhỏ, bật sandbox cho mọi phiêntắt web_search/web_fetch/browser trừ khi đầu vào được kiểm soát chặt.
  • Với trợ lý cá nhân chỉ trò chuyện có đầu vào đáng tin cậy và không có công cụ, các mô hình nhỏ hơn thường ổn.

Suy luận và đầu ra chi tiết trong nhóm

/reasoning, /verbose, và /trace có thể phơi bày suy luận nội bộ, đầu ra công cụ, hoặc chẩn đoán Plugin không dành cho kênh công khai. Trong môi trường nhóm, hãy xem chúng là chỉ để gỡ lỗi và tắt chúng trừ khi bạn thật sự cần.

Hướng dẫn:

  • Giữ /reasoning, /verbose, và /trace bị tắt trong phòng công khai.
  • Nếu bạn bật chúng, chỉ làm vậy trong tin nhắn trực tiếp đáng tin cậy hoặc phòng được kiểm soát chặt.
  • Hãy nhớ: đầu ra chi tiết và truy vết có thể bao gồm đối số công cụ, URL, chẩn đoán Plugin, và dữ liệu mô hình đã thấy.

Ví dụ gia cố cấu hình

Quyền tệp

Giữ cấu hình + trạng thái riêng tư trên máy chủ gateway:

  • ~/.openclaw/openclaw.json: 600 (chỉ người dùng đọc/ghi)
  • ~/.openclaw: 700 (chỉ người dùng)

openclaw doctor có thể cảnh báo và đề nghị siết chặt các quyền này.

Phơi bày mạng (bind, port, firewall)

Gateway ghép kênh WebSocket + HTTP trên một cổng duy nhất:

  • Mặc định: 18789
  • Cấu hình/cờ/env: gateway.port, --port, OPENCLAW_GATEWAY_PORT

Bề mặt HTTP này bao gồm Control UI và máy chủ canvas:

  • Control UI (tài nguyên SPA) (đường dẫn cơ sở mặc định /)
  • Máy chủ canvas: /__openclaw__/canvas//__openclaw__/a2ui/ (HTML/JS tùy ý; xem như nội dung không đáng tin cậy)

Nếu bạn tải nội dung canvas trong trình duyệt thông thường, hãy xem nó như mọi trang web không đáng tin cậy khác:

  • Đừng phơi bày máy chủ canvas cho mạng/người dùng không đáng tin cậy.
  • Đừng để nội dung canvas dùng chung origin với các bề mặt web đặc quyền trừ khi bạn hiểu đầy đủ hệ quả.

Chế độ bind kiểm soát nơi Gateway lắng nghe:

  • gateway.bind: "loopback" (mặc định): chỉ các máy khách cục bộ mới có thể kết nối.
  • Các kiểu bind không phải loopback ("lan", "tailnet", "custom") mở rộng bề mặt tấn công. Chỉ sử dụng chúng với xác thực gateway (token/mật khẩu dùng chung hoặc proxy tin cậy được cấu hình đúng) và tường lửa thật.

Nguyên tắc kinh nghiệm:

  • Ưu tiên Tailscale Serve thay vì bind LAN (Serve giữ Gateway trên loopback, và Tailscale xử lý quyền truy cập).
  • Nếu bạn phải bind vào LAN, hãy giới hạn cổng bằng tường lửa theo danh sách cho phép chặt chẽ các IP nguồn; đừng chuyển tiếp cổng đó rộng rãi.
  • Không bao giờ để lộ Gateway không xác thực trên 0.0.0.0.

Công bố cổng Docker với UFW

Nếu bạn chạy OpenClaw bằng Docker trên VPS, hãy nhớ rằng các cổng container được công bố (-p HOST:CONTAINER hoặc Compose ports:) được định tuyến qua các chuỗi chuyển tiếp của Docker, không chỉ qua các quy tắc INPUT của máy chủ.

Để giữ lưu lượng Docker phù hợp với chính sách tường lửa của bạn, hãy áp dụng quy tắc trong DOCKER-USER (chuỗi này được đánh giá trước các quy tắc chấp nhận riêng của Docker). Trên nhiều bản phân phối hiện đại, iptables/ip6tables dùng giao diện iptables-nft và vẫn áp dụng các quy tắc này vào backend nftables.

Ví dụ danh sách cho phép tối thiểu (IPv4):

# /etc/ufw/after.rules (append as its own *filter section)
*filter
:DOCKER-USER - [0:0]
-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
-A DOCKER-USER -s 127.0.0.0/8 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 192.168.0.0/16 -j RETURN
-A DOCKER-USER -s 100.64.0.0/10 -j RETURN
-A DOCKER-USER -p tcp --dport 80 -j RETURN
-A DOCKER-USER -p tcp --dport 443 -j RETURN
-A DOCKER-USER -m conntrack --ctstate NEW -j DROP
-A DOCKER-USER -j RETURN
COMMIT

IPv6 có các bảng riêng. Thêm một chính sách tương ứng trong /etc/ufw/after6.rules nếu Docker IPv6 được bật.

Tránh hardcode tên giao diện như eth0 trong các đoạn tài liệu mẫu. Tên giao diện khác nhau giữa các image VPS (ens3, enp*, v.v.) và việc không khớp có thể vô tình bỏ qua quy tắc từ chối của bạn.

Xác thực nhanh sau khi tải lại:

ufw reload
iptables -S DOCKER-USER
ip6tables -S DOCKER-USER
nmap -sT -p 1-65535 <public-ip> --open

Các cổng bên ngoài dự kiến chỉ nên là những gì bạn cố ý để lộ (với hầu hết thiết lập: SSH + các cổng reverse proxy của bạn).

Phát hiện mDNS/Bonjour

Khi Plugin bonjour đi kèm được bật, Gateway phát sự hiện diện của nó qua mDNS (_openclaw-gw._tcp trên cổng 5353) để phát hiện thiết bị cục bộ. Ở chế độ đầy đủ, phần này bao gồm các bản ghi TXT có thể để lộ chi tiết vận hành:

  • cliPath: đường dẫn hệ thống tệp đầy đủ tới tệp nhị phân CLI (tiết lộ tên người dùng và vị trí cài đặt)
  • sshPort: quảng bá khả năng SSH trên máy chủ
  • displayName, lanHost: thông tin tên máy chủ

Cân nhắc bảo mật vận hành: Việc phát chi tiết hạ tầng giúp bất kỳ ai trên mạng cục bộ dễ trinh sát hơn. Ngay cả thông tin "vô hại" như đường dẫn hệ thống tệp và khả năng SSH cũng giúp kẻ tấn công lập bản đồ môi trường của bạn.

Khuyến nghị:

  1. Giữ Bonjour tắt trừ khi cần phát hiện LAN. Bonjour tự khởi động trên máy chủ macOS và là tùy chọn bật ở nơi khác; URL Gateway trực tiếp, Tailnet, SSH, hoặc DNS-SD diện rộng tránh multicast cục bộ.

  2. Chế độ tối thiểu (mặc định khi Bonjour được bật, khuyến nghị cho gateway bị phơi lộ): bỏ qua các trường nhạy cảm khỏi bản phát mDNS:

    {
  discovery: {
    mdns: { mode: "minimal" },
  },
}

  3. Tắt chế độ mDNS nếu bạn muốn giữ Plugin được bật nhưng chặn phát hiện thiết bị cục bộ:

    {
  discovery: {
    mdns: { mode: "off" },
  },
}

  4. Chế độ đầy đủ (tùy chọn bật): bao gồm cliPath + sshPort trong các bản ghi TXT:

    {
  discovery: {
    mdns: { mode: "full" },
  },
}

  5. Biến môi trường (phương án thay thế): đặt OPENCLAW_DISABLE_BONJOUR=1 để tắt mDNS mà không cần thay đổi cấu hình.

Khi Bonjour được bật ở chế độ tối thiểu, Gateway phát đủ thông tin để phát hiện thiết bị (role, gatewayPort, transport) nhưng bỏ qua cliPathsshPort. Ứng dụng cần thông tin đường dẫn CLI có thể lấy thông tin đó qua kết nối WebSocket đã xác thực thay thế.

Khóa chặt WebSocket Gateway (xác thực cục bộ)

Xác thực Gateway là bắt buộc theo mặc định. Nếu không cấu hình đường dẫn xác thực gateway hợp lệ, Gateway sẽ từ chối kết nối WebSocket (đóng khi lỗi).

Quy trình onboarding tạo token theo mặc định (ngay cả với loopback), vì vậy máy khách cục bộ phải xác thực.

Đặt token để tất cả máy khách WS phải xác thực:

{
  gateway: {
    auth: { mode: "token", token: "your-token" },
  },
}

Doctor có thể tạo token cho bạn: openclaw doctor --generate-gateway-token.

Tùy chọn: ghim TLS từ xa bằng gateway.remote.tlsFingerprint khi dùng wss://. Plaintext ws:// mặc định chỉ dành cho loopback. Với các đường dẫn mạng riêng tin cậy, đặt OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1 trên tiến trình máy khách như biện pháp khẩn cấp. Điều này cố ý chỉ là môi trường tiến trình, không phải khóa cấu hình openclaw.json. Ghép đôi di động và các tuyến gateway thủ công hoặc quét trên Android nghiêm ngặt hơn: cleartext được chấp nhận cho loopback, nhưng private-LAN, link-local, .local, và tên máy chủ không có dấu chấm phải dùng TLS trừ khi bạn rõ ràng chọn đường dẫn cleartext mạng riêng tin cậy.

Ghép đôi thiết bị cục bộ:

  • Ghép đôi thiết bị được tự động phê duyệt cho các kết nối trực tiếp qua local loopback để giữ máy khách cùng máy chủ hoạt động mượt mà.
  • OpenClaw cũng có một đường tự kết nối backend/container-local hẹp cho các luồng trợ giúp bằng shared secret tin cậy.
  • Kết nối Tailnet và LAN, bao gồm các bind tailnet cùng máy chủ, được xem là từ xa khi ghép đôi và vẫn cần phê duyệt.
  • Bằng chứng header được chuyển tiếp trên một yêu cầu loopback làm mất tư cách cục bộ loopback. Tự động phê duyệt nâng cấp metadata có phạm vi hẹp. Xem Ghép đôi Gateway để biết cả hai quy tắc.

Chế độ xác thực:

  • gateway.auth.mode: "token": bearer token dùng chung (khuyến nghị cho hầu hết thiết lập).
  • gateway.auth.mode: "password": xác thực bằng mật khẩu (ưu tiên đặt qua env: OPENCLAW_GATEWAY_PASSWORD).
  • gateway.auth.mode: "trusted-proxy": tin tưởng một reverse proxy nhận biết danh tính để xác thực người dùng và truyền danh tính qua header (xem Xác thực proxy tin cậy).

Danh sách kiểm tra luân chuyển (token/mật khẩu):

  1. Tạo/đặt secret mới (gateway.auth.token hoặc OPENCLAW_GATEWAY_PASSWORD).
  2. Khởi động lại Gateway (hoặc khởi động lại ứng dụng macOS nếu nó giám sát Gateway).
  3. Cập nhật mọi máy khách từ xa (gateway.remote.token / .password trên các máy gọi vào Gateway).
  4. Xác minh bạn không còn có thể kết nối bằng thông tin xác thực cũ.

Header danh tính Tailscale Serve

Khi gateway.auth.allowTailscaletrue (mặc định cho Serve), OpenClaw chấp nhận header danh tính Tailscale Serve (tailscale-user-login) cho xác thực Control UI/WebSocket. OpenClaw xác minh danh tính bằng cách phân giải địa chỉ x-forwarded-for qua daemon Tailscale cục bộ (tailscale whois) và khớp nó với header. Điều này chỉ kích hoạt cho các yêu cầu đi vào loopback và bao gồm x-forwarded-for, x-forwarded-proto, và x-forwarded-host như được Tailscale chèn vào. Với đường kiểm tra danh tính bất đồng bộ này, các lần thử thất bại cho cùng {scope, ip} được tuần tự hóa trước khi bộ giới hạn ghi nhận lỗi. Vì vậy, các lần thử lại sai đồng thời từ một máy khách Serve có thể khóa lần thử thứ hai ngay lập tức thay vì chạy đua qua như hai lần không khớp thông thường. Các endpoint HTTP API (ví dụ /v1/*, /tools/invoke, và /api/channels/*) không dùng xác thực header danh tính Tailscale. Chúng vẫn tuân theo chế độ xác thực HTTP đã cấu hình của gateway.

Ghi chú ranh giới quan trọng:

  • Xác thực bearer HTTP của Gateway về thực chất là quyền truy cập vận hành tất cả-hoặc-không-gì-cả.
  • Xem thông tin xác thực có thể gọi /v1/chat/completions, /v1/responses, hoặc /api/channels/* là secret vận hành toàn quyền cho gateway đó.
  • Trên bề mặt HTTP tương thích OpenAI, xác thực bearer bằng shared secret khôi phục toàn bộ phạm vi vận hành mặc định (operator.admin, operator.approvals, operator.pairing, operator.read, operator.talk.secrets, operator.write) và ngữ nghĩa owner cho lượt agent; các giá trị x-openclaw-scopes hẹp hơn không làm giảm đường shared-secret đó.
  • Ngữ nghĩa phạm vi theo từng yêu cầu trên HTTP chỉ áp dụng khi yêu cầu đến từ chế độ mang danh tính như xác thực proxy tin cậy hoặc gateway.auth.mode="none" trên ingress riêng.
  • Trong các chế độ mang danh tính đó, việc bỏ qua x-openclaw-scopes sẽ fallback về tập phạm vi vận hành mặc định bình thường; gửi header rõ ràng khi bạn muốn tập phạm vi hẹp hơn.
  • /tools/invoke tuân theo cùng quy tắc shared-secret: xác thực bearer bằng token/mật khẩu cũng được xem là quyền truy cập vận hành đầy đủ ở đó, trong khi các chế độ mang danh tính vẫn tôn trọng phạm vi đã khai báo.
  • Không chia sẻ các thông tin xác thực này với bên gọi không tin cậy; ưu tiên gateway riêng cho từng ranh giới tin cậy.

Giả định tin cậy: xác thực Serve không cần token giả định máy chủ gateway là đáng tin cậy. Đừng xem đây là biện pháp bảo vệ trước các tiến trình cùng máy chủ độc hại. Nếu mã cục bộ không tin cậy có thể chạy trên máy chủ gateway, hãy tắt gateway.auth.allowTailscale và yêu cầu xác thực shared-secret rõ ràng bằng gateway.auth.mode: "token" hoặc "password".

Quy tắc bảo mật: không chuyển tiếp các header này từ reverse proxy của riêng bạn. Nếu bạn kết thúc TLS hoặc proxy trước gateway, hãy tắt gateway.auth.allowTailscale và dùng xác thực shared-secret (gateway.auth.mode: "token" hoặc "password") hoặc Xác thực proxy tin cậy thay thế.

Proxy tin cậy:

  • Nếu bạn kết thúc TLS trước Gateway, đặt gateway.trustedProxies thành IP proxy của bạn.
  • OpenClaw sẽ tin x-forwarded-for (hoặc x-real-ip) từ các IP đó để xác định IP máy khách cho kiểm tra ghép đôi cục bộ và kiểm tra xác thực/cục bộ HTTP.
  • Đảm bảo proxy của bạn ghi đè x-forwarded-for và chặn truy cập trực tiếp vào cổng Gateway.

Xem TailscaleTổng quan Web.

Điều khiển trình duyệt qua node host (khuyến nghị)

Nếu Gateway của bạn ở xa nhưng trình duyệt chạy trên máy khác, hãy chạy một node host trên máy có trình duyệt và để Gateway proxy các thao tác trình duyệt (xem Công cụ trình duyệt). Xem việc ghép đôi node như quyền truy cập quản trị.

Mẫu khuyến nghị:

  • Giữ Gateway và node host trên cùng tailnet (Tailscale).
  • Ghép đôi node có chủ đích; tắt định tuyến proxy trình duyệt nếu bạn không cần.

Tránh:

  • Để lộ các cổng relay/điều khiển qua LAN hoặc Internet công cộng.
  • Tailscale Funnel cho các endpoint điều khiển trình duyệt (phơi lộ công khai).

Secret trên đĩa

Giả định mọi thứ dưới ~/.openclaw/ (hoặc $OPENCLAW_STATE_DIR/) có thể chứa secret hoặc dữ liệu riêng tư:

  • openclaw.json: cấu hình có thể bao gồm token (gateway, gateway từ xa), thiết lập provider, và danh sách cho phép.
  • credentials/**: thông tin xác thực kênh (ví dụ: thông tin xác thực WhatsApp), danh sách cho phép ghép đôi, import OAuth cũ.
  • agents/<agentId>/agent/auth-profiles.json: khóa API, hồ sơ token, token OAuth, và keyRef/tokenRef tùy chọn.
  • agents/<agentId>/agent/codex-home/**: tài khoản app-server Codex theo từng agent, cấu hình, Skills, plugins, trạng thái thread native, và chẩn đoán.
  • secrets.json (tùy chọn): payload secret dựa trên tệp được dùng bởi các provider SecretRef file (secrets.providers).
  • agents/<agentId>/agent/auth.json: tệp tương thích cũ. Các mục api_key tĩnh được loại bỏ khi phát hiện.
  • agents/<agentId>/sessions/**: bản ghi phiên (*.jsonl) + metadata định tuyến (sessions.json) có thể chứa tin nhắn riêng tư và đầu ra công cụ.
  • gói Plugin đi kèm: plugins đã cài đặt (cộng với node_modules/ của chúng).
  • sandboxes/**: workspace sandbox công cụ; có thể tích lũy bản sao của các tệp bạn đọc/ghi bên trong sandbox.

Mẹo tăng cường bảo mật:

  • Giữ quyền truy cập chặt chẽ (700 cho thư mục, 600 cho tệp).
  • Dùng mã hóa toàn bộ đĩa trên máy chủ Gateway.
  • Ưu tiên một tài khoản người dùng hệ điều hành riêng cho Gateway nếu máy chủ được dùng chung.

Các tệp .env của workspace

OpenClaw tải các tệp .env cục bộ theo workspace cho agent và công cụ, nhưng không bao giờ cho phép các tệp đó âm thầm ghi đè các điều khiển runtime của gateway.

  • Bất kỳ khóa nào bắt đầu bằng OPENCLAW_* đều bị chặn khỏi các tệp .env workspace không đáng tin cậy.
  • Thiết lập endpoint kênh cho Matrix, Mattermost, IRC và Synology Chat cũng bị chặn khỏi ghi đè .env của workspace, nên các workspace được sao chép không thể chuyển hướng lưu lượng connector đi kèm qua cấu hình endpoint cục bộ. Các khóa env endpoint (như MATRIX_HOMESERVER, MATTERMOST_URL, IRC_HOST, SYNOLOGY_CHAT_INCOMING_URL) phải đến từ môi trường tiến trình gateway hoặc env.shellEnv, không phải từ .env được tải từ workspace.
  • Cơ chế chặn là fail-closed: một biến điều khiển runtime mới được thêm trong bản phát hành tương lai không thể được kế thừa từ .env đã được commit hoặc do kẻ tấn công cung cấp; khóa đó bị bỏ qua và gateway giữ giá trị riêng của nó.
  • Các biến môi trường tiến trình/hệ điều hành đáng tin cậy (shell riêng của gateway, đơn vị launchd/systemd, app bundle) vẫn có hiệu lực - điều này chỉ giới hạn việc tải tệp .env.

Lý do: các tệp .env workspace thường nằm cạnh mã agent, bị commit do nhầm lẫn, hoặc được công cụ ghi vào. Chặn toàn bộ tiền tố OPENCLAW_* nghĩa là việc thêm một cờ OPENCLAW_* mới sau này sẽ không bao giờ hồi quy thành kế thừa âm thầm từ trạng thái workspace.

Nhật ký và bản ghi phiên (ẩn dữ liệu nhạy cảm và lưu giữ)

Nhật ký và bản ghi phiên có thể làm lộ thông tin nhạy cảm ngay cả khi kiểm soát truy cập đã đúng:

  • Nhật ký Gateway có thể bao gồm tóm tắt công cụ, lỗi và URL.
  • Bản ghi phiên có thể bao gồm bí mật được dán vào, nội dung tệp, đầu ra lệnh và liên kết.

Khuyến nghị:

  • Bật ẩn dữ liệu nhạy cảm trong nhật ký và bản ghi phiên (logging.redactSensitive: "tools"; mặc định).
  • Thêm các mẫu tùy chỉnh cho môi trường của bạn qua logging.redactPatterns (token, hostname, URL nội bộ).
  • Khi chia sẻ chẩn đoán, ưu tiên openclaw status --all (dễ dán, bí mật đã được ẩn) thay vì nhật ký thô.
  • Dọn các bản ghi phiên và tệp nhật ký cũ nếu bạn không cần lưu giữ lâu.

Chi tiết: Ghi nhật ký

DM: ghép đôi theo mặc định

{
  channels: { whatsapp: { dmPolicy: "pairing" } },
}

Nhóm: yêu cầu nhắc tên ở mọi nơi

{
  "channels": {
    "whatsapp": {
      "groups": {
        "*": { "requireMention": true }
      }
    }
  },
  "agents": {
    "list": [
      {
        "id": "main",
        "groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] }
      }
    ]
  }
}

Trong cuộc trò chuyện nhóm, chỉ phản hồi khi được nhắc tên rõ ràng.

Số riêng biệt (WhatsApp, Signal, Telegram)

Đối với các kênh dựa trên số điện thoại, hãy cân nhắc chạy AI của bạn trên một số điện thoại khác với số cá nhân:

  • Số cá nhân: Các cuộc trò chuyện của bạn vẫn riêng tư
  • Số bot: AI xử lý các cuộc trò chuyện này, với ranh giới phù hợp

Chế độ chỉ đọc (qua sandbox và công cụ)

Bạn có thể tạo một hồ sơ chỉ đọc bằng cách kết hợp:

  • agents.defaults.sandbox.workspaceAccess: "ro" (hoặc "none" để không có quyền truy cập workspace)
  • danh sách cho phép/từ chối công cụ chặn write, edit, apply_patch, exec, process, v.v.

Tùy chọn tăng cường bảo mật bổ sung:

  • tools.exec.applyPatch.workspaceOnly: true (mặc định): bảo đảm apply_patch không thể ghi/xóa bên ngoài thư mục workspace ngay cả khi sandboxing bị tắt. Chỉ đặt thành false nếu bạn cố ý muốn apply_patch chạm vào tệp bên ngoài workspace.
  • tools.fs.workspaceOnly: true (tùy chọn): giới hạn các đường dẫn read/write/edit/apply_patch và đường dẫn tự động tải ảnh prompt gốc trong thư mục workspace (hữu ích nếu hiện nay bạn cho phép đường dẫn tuyệt đối và muốn một guardrail duy nhất).
  • Giữ gốc hệ thống tệp hẹp: tránh các gốc rộng như thư mục home của bạn cho workspace/sandbox workspace của agent. Gốc rộng có thể phơi bày các tệp cục bộ nhạy cảm (ví dụ trạng thái/cấu hình dưới ~/.openclaw) cho công cụ hệ thống tệp.

Đường cơ sở bảo mật (sao chép/dán)

Một cấu hình "mặc định an toàn" giữ Gateway riêng tư, yêu cầu ghép đôi DM, và tránh bot nhóm luôn bật:

{
  gateway: {
    mode: "local",
    bind: "loopback",
    port: 18789,
    auth: { mode: "token", token: "your-long-random-token" },
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } },
    },
  },
}

Nếu bạn cũng muốn thực thi công cụ "an toàn hơn theo mặc định", hãy thêm sandbox + từ chối các công cụ nguy hiểm cho mọi agent không phải chủ sở hữu (ví dụ bên dưới trong "Hồ sơ truy cập theo từng agent").

Đường cơ sở tích hợp sẵn cho lượt agent do chat điều khiển: người gửi không phải chủ sở hữu không thể dùng các công cụ cron hoặc gateway.

Sandboxing (khuyến nghị)

Tài liệu riêng: Sandboxing

Hai cách tiếp cận bổ trợ:

  • Chạy toàn bộ Gateway trong Docker (ranh giới container): Docker
  • Tool sandbox (agents.defaults.sandbox, gateway máy chủ + công cụ được cô lập bằng sandbox; Docker là backend mặc định): Sandboxing

Cũng hãy cân nhắc quyền truy cập workspace của agent bên trong sandbox:

  • agents.defaults.sandbox.workspaceAccess: "none" (mặc định) giữ workspace của agent ngoài phạm vi truy cập; công cụ chạy trên một workspace sandbox dưới ~/.openclaw/sandboxes
  • agents.defaults.sandbox.workspaceAccess: "ro" mount workspace của agent chỉ đọc tại /agent (vô hiệu hóa write/edit/apply_patch)
  • agents.defaults.sandbox.workspaceAccess: "rw" mount workspace của agent đọc/ghi tại /workspace
  • Các sandbox.docker.binds bổ sung được xác thực theo đường dẫn nguồn đã chuẩn hóa và canonical hóa. Các thủ thuật symlink cha và alias home canonical vẫn fail closed nếu chúng phân giải vào các gốc bị chặn như /etc, /var/run, hoặc thư mục thông tin xác thực dưới home của hệ điều hành.

Guardrail ủy quyền sub-agent

Nếu bạn cho phép công cụ phiên, hãy xem các lượt chạy sub-agent được ủy quyền như một quyết định ranh giới khác:

  • Từ chối sessions_spawn trừ khi agent thực sự cần ủy quyền.
  • Giữ agents.defaults.subagents.allowAgents và mọi ghi đè agents.list[].subagents.allowAgents theo từng agent giới hạn ở các agent đích đã biết là an toàn.
  • Với bất kỳ workflow nào phải luôn nằm trong sandbox, gọi sessions_spawn với sandbox: "require" (mặc định là inherit).
  • sandbox: "require" thất bại nhanh khi runtime con đích không được sandbox.

Rủi ro điều khiển trình duyệt

Bật điều khiển trình duyệt cho mô hình khả năng điều khiển một trình duyệt thật. Nếu hồ sơ trình duyệt đó đã có các phiên đăng nhập, mô hình có thể truy cập các tài khoản và dữ liệu đó. Hãy xem hồ sơ trình duyệt là trạng thái nhạy cảm:

  • Ưu tiên một hồ sơ riêng cho agent (hồ sơ openclaw mặc định).
  • Tránh trỏ agent đến hồ sơ cá nhân dùng hằng ngày của bạn.
  • Giữ điều khiển trình duyệt trên máy chủ tắt cho các agent được sandbox trừ khi bạn tin tưởng chúng.
  • API điều khiển trình duyệt loopback độc lập chỉ tôn trọng xác thực shared-secret (xác thực bearer token của gateway hoặc mật khẩu gateway). Nó không sử dụng header danh tính trusted-proxy hoặc Tailscale Serve.
  • Xem các tệp tải xuống từ trình duyệt là đầu vào không đáng tin cậy; ưu tiên một thư mục tải xuống cô lập.
  • Tắt đồng bộ trình duyệt/trình quản lý mật khẩu trong hồ sơ agent nếu có thể (giảm phạm vi ảnh hưởng).
  • Với gateway từ xa, hãy giả định "điều khiển trình duyệt" tương đương với "quyền truy cập của người vận hành" đến bất cứ thứ gì hồ sơ đó có thể chạm tới.
  • Giữ Gateway và máy chủ node chỉ trong tailnet; tránh phơi bày cổng điều khiển trình duyệt ra LAN hoặc Internet công cộng.
  • Tắt định tuyến proxy trình duyệt khi bạn không cần (gateway.nodes.browser.mode="off").
  • Chế độ phiên hiện có của Chrome MCP không "an toàn hơn"; nó có thể hành động như bạn trong bất cứ nơi nào hồ sơ Chrome trên máy chủ đó có thể chạm tới.

Chính sách SSRF của trình duyệt (nghiêm ngặt theo mặc định)

Chính sách điều hướng trình duyệt của OpenClaw nghiêm ngặt theo mặc định: các đích riêng tư/nội bộ vẫn bị chặn trừ khi bạn chọn bật rõ ràng.

  • Mặc định: browser.ssrfPolicy.dangerouslyAllowPrivateNetwork không được đặt, nên điều hướng trình duyệt tiếp tục chặn các đích riêng tư/nội bộ/dùng mục đích đặc biệt.
  • Alias cũ: browser.ssrfPolicy.allowPrivateNetwork vẫn được chấp nhận để tương thích.
  • Chế độ chọn bật: đặt browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: true để cho phép các đích riêng tư/nội bộ/dùng mục đích đặc biệt.
  • Ở chế độ nghiêm ngặt, dùng hostnameAllowlist (mẫu như *.example.com) và allowedHostnames (ngoại lệ máy chủ chính xác, bao gồm tên bị chặn như localhost) cho các ngoại lệ rõ ràng.
  • Điều hướng được kiểm tra trước yêu cầu và được kiểm tra lại theo best-effort trên URL http(s) cuối cùng sau điều hướng để giảm các điểm xoay dựa trên chuyển hướng.

Ví dụ chính sách nghiêm ngặt:

{
  browser: {
    ssrfPolicy: {
      dangerouslyAllowPrivateNetwork: false,
      hostnameAllowlist: ["*.example.com", "example.com"],
      allowedHostnames: ["localhost"],
    },
  },
}

Hồ sơ truy cập theo từng agent (đa agent)

Với định tuyến đa agent, mỗi agent có thể có sandbox + chính sách công cụ riêng: dùng điều này để cấp toàn quyền truy cập, chỉ đọc, hoặc không có quyền truy cập theo từng agent. Xem Sandbox & Công cụ Đa Agent để biết đầy đủ chi tiết và quy tắc ưu tiên.

Trường hợp sử dụng phổ biến:

  • Agent cá nhân: toàn quyền truy cập, không sandbox
  • Agent gia đình/công việc: được sandbox + công cụ chỉ đọc
  • Agent công khai: được sandbox + không có công cụ hệ thống tệp/shell

Ví dụ: toàn quyền truy cập (không sandbox)

{
  agents: {
    list: [
      {
        id: "personal",
        workspace: "~/.openclaw/workspace-personal",
        sandbox: { mode: "off" },
      },
    ],
  },
}

Ví dụ: công cụ chỉ đọc + workspace chỉ đọc

{
  agents: {
    list: [
      {
        id: "family",
        workspace: "~/.openclaw/workspace-family",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "ro",
        },
        tools: {
          allow: ["read"],
          deny: ["write", "edit", "apply_patch", "exec", "process", "browser"],
        },
      },
    ],
  },
}

Ví dụ: không có quyền truy cập hệ thống tệp/shell (cho phép nhắn tin provider)

{
  agents: {
    list: [
      {
        id: "public",
        workspace: "~/.openclaw/workspace-public",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "none",
        },
        // Session tools can reveal sensitive data from transcripts. By default OpenClaw limits these tools
        // to the current session + spawned subagent sessions, but you can clamp further if needed.
        // See `tools.sessions.visibility` in the configuration reference.
        tools: {
          sessions: { visibility: "tree" }, // self | tree | agent | all
          allow: [
            "sessions_list",
            "sessions_history",
            "sessions_send",
            "sessions_spawn",
            "session_status",
            "whatsapp",
            "telegram",
            "slack",
            "discord",
          ],
          deny: [
            "read",
            "write",
            "edit",
            "apply_patch",
            "exec",
            "process",
            "browser",
            "canvas",
            "nodes",
            "cron",
            "gateway",
            "image",
          ],
        },
      },
    ],
  },
}

Ứng phó sự cố

Nếu AI của bạn làm điều gì đó xấu:

Cô lập

  1. Dừng lại: dừng ứng dụng macOS (nếu ứng dụng đó giám sát Gateway) hoặc kết thúc tiến trình openclaw gateway của bạn.
  2. Đóng điểm phơi nhiễm: đặt gateway.bind: "loopback" (hoặc tắt Tailscale Funnel/Serve) cho đến khi bạn hiểu điều gì đã xảy ra.
  3. Đóng băng quyền truy cập: chuyển các DM/nhóm rủi ro sang dmPolicy: "disabled" / yêu cầu nhắc tên, và xóa các mục cho phép tất cả "*" nếu bạn đã có chúng.

Luân chuyển (giả định đã bị xâm phạm nếu bí mật bị rò rỉ)

  1. Luân chuyển xác thực Gateway (gateway.auth.token / OPENCLAW_GATEWAY_PASSWORD) và khởi động lại.
  2. Luân chuyển bí mật máy khách từ xa (gateway.remote.token / .password) trên bất kỳ máy nào có thể gọi Gateway.
  3. Luân chuyển thông tin xác thực nhà cung cấp/API (thông tin xác thực WhatsApp, token Slack/Discord, khóa mô hình/API trong auth-profiles.json, và giá trị payload bí mật đã mã hóa khi được sử dụng).

Kiểm tra

  1. Kiểm tra nhật ký Gateway: /tmp/openclaw/openclaw-YYYY-MM-DD.log (hoặc logging.file).
  2. Xem lại (các) bản ghi phiên liên quan: ~/.openclaw/agents/<agentId>/sessions/*.jsonl.
  3. Xem lại các thay đổi cấu hình gần đây (bất kỳ thứ gì có thể đã mở rộng quyền truy cập: gateway.bind, gateway.auth, chính sách DM/nhóm, tools.elevated, thay đổi plugin).
  4. Chạy lại openclaw security audit --deep và xác nhận các phát hiện nghiêm trọng đã được xử lý.

Thu thập cho báo cáo

  • Dấu thời gian, hệ điều hành máy chủ Gateway + phiên bản OpenClaw
  • (Các) bản ghi phiên + phần cuối nhật ký ngắn (sau khi biên tập lại)
  • Kẻ tấn công đã gửi gì + agent đã làm gì
  • Gateway có bị phơi bày vượt ngoài loopback hay không (LAN/Tailscale Funnel/Serve)

Quét bí mật

CI chạy hook detect-private-key của pre-commit trên kho lưu trữ. Nếu hook này thất bại, hãy xóa hoặc luân chuyển vật liệu khóa đã commit, sau đó tái hiện cục bộ:

pre-commit run --all-files detect-private-key

Báo cáo vấn đề bảo mật

Bạn phát hiện lỗ hổng trong OpenClaw? Vui lòng báo cáo một cách có trách nhiệm:

  1. Email: [email protected]
  2. Đừng đăng công khai cho đến khi đã được sửa
  3. Chúng tôi sẽ ghi công bạn (trừ khi bạn muốn ẩn danh)