安全最佳实践
通过令牌、白名单和安全控制保护你的 OpenClaw 部署。
概述
OpenClaw 提供多层安全保护。由于采用自托管,你对访问和数据拥有完全控制权。
访问控制
白名单
限制哪些用户可以与你的 Agent 交互:
{
"channels": {
"whatsapp": {
"allowFrom": ["+15555550123", "+15555550456"]
},
"telegram": {
"dmPolicy": "allowlist",
"allowFrom": ["tg:123456789"]
}
}
}配对
新用户必须先被批准才能开始聊天:
# 列出待处理的配对请求
openclaw pairing list
# 批准请求
openclaw pairing approve <CODE>
# 拒绝请求
openclaw pairing reject <CODE>API 密钥安全
环境变量
不要在配置文件中硬编码 API 密钥。使用环境变量:
export OPENAI_API_KEY="sk-..."
export ANTHROPIC_API_KEY="sk-ant-..."
export TELEGRAM_BOT_TOKEN="123:abc..."文件权限
保护你的配置文件:
chmod 600 ~/.openclaw/openclaw.json网络安全
绑定到本地
默认情况下,Gateway 绑定到 127.0.0.1:
{
"gateway": {
"host": "127.0.0.1",
"port": 18789
}
}远程访问
使用 Tailscale 或 SSH 隧道远程访问,避免将 Gateway 公开暴露。
群聊安全
@提及要求
在群组中要求 @提及才能激活 Agent:
{
"channels": {
"telegram": {
"groups": {
"*": {
"requireMention": true
}
}
}
},
"messages": {
"groupChat": {
"mentionPatterns": ["@openclaw"]
}
}
}最佳实践清单
- ✅ 为所有渠道使用白名单或配对
- ✅ 将 API 密钥存储在环境变量中
- ✅ 将 Gateway 绑定到 localhost
- ✅ 使用 SSH/Tailscale 远程访问
- ✅ 在群聊中要求@提及
- ✅ 设置适当的文件权限
- ✅ 定期更新 OpenClaw
下一步
- Gateway 配置 — 网络设置
- AI Agent — Agent 配置
- 快速开始 — 初始设置