官方 Trust / 安全信息页
- 原始链接:https://trust.openclaw.ai/
- 来源章节:1. 官方入口
- 来源小节:无
- 抓取方式:jina:https://r.jina.ai/http://trust.openclaw.ai/
- 抓取时间:2026-04-05 13:47:10
- 状态:ok
中文内容
安全态势、路线图以及我们如何看待可以采取实际行动的代理。
计算安全的新时代
在过去的 20 年里,安全模型是围绕锁定设备和应用程序构建的 - 设置进程间通信之间的边界,将互联网与本地、沙箱不可信代码分开。这些原则仍然很重要。
但人工智能代理代表了根本性的转变。
与完全按照代码指示执行的传统软件不同,人工智能代理解释自然语言并做出有关操作的决策。它们模糊了用户意图和机器执行之间的界限。它们可以通过语言本身来操纵。
我们知道,像 OpenClaw 这样的工具具有巨大的实用性,同时也伴随着巨大的责任。如果做得不对,人工智能代理就会承担责任。如果做得好,我们可以让个人计算变得更好。
这个安全程序的存在是为了让它正确。
上下文
OpenClaw 是一个人工智能代理平台。与仅生成文本的聊天机器人不同,OpenClaw 代理可以:
- 在宿主机上执行shell命令
- 通过 WhatsApp、Telegram、Discord、Slack 和其他渠道发送消息
- 读写工作空间中的文件
- 从互联网上获取任意 URL
- 安排自动化任务
- 访问连接的服务和 API
正是这种功能使得 OpenClaw 变得有用。这也是安全至关重要的原因。
可以采取现实世界行动的人工智能代理会带来传统软件所没有的风险:
- 及时注入 - 恶意用户可以制作消息来操纵 AI 执行意外操作
- 间接注入 - 获取的 URL、电子邮件或文档中的恶意内容可以劫持代理行为
- 工具滥用 - 即使没有注入,错误配置的代理也可能通过过于宽松的设置造成损坏
- 身份风险 - 代理可以以您的身份发送消息,可能会损害关系或声誉
这些都不是理论上的。它们记录了影响所有人工智能代理系统的攻击模式。
范围
该安全计划涵盖整个 OpenClaw 生态系统。 没有什么超出范围。
核心平台
- OpenClaw CLI 和网关 (
openclaw) - 代理执行引擎
- 工具实现
- 渠道集成(WhatsApp、Telegram、Discord、Slack、Signal 等)
应用
- macOS 桌面应用程序
- iOS 移动应用程序
- 安卓移动应用程序
- 网页界面
服务
- ClawHub (clawhub.ai) - 技能市场和注册中心
- 文档 (docs.openclaw.ai)
- 任何托管基础设施
扩展
- 官方扩展(
extensions/) - 插件SDK和第三方插件
- 通过ClawHub分发技能
人
- 核心维护者和贡献者
- 安全流程和响应程序
- 供应链和依赖管理
计划概述
我们正在建立一个正式的安全功能,分为四个阶段:
1
透明度
通过社区贡献公开开发威胁模型
2
产品安全路线图
定义防御工程目标并公开跟踪
3
代码审查
对整个代码库进行手动安全审查
4
安全分类
处理漏洞报告的正式流程
第一阶段:透明度
目标
公开开发和发布我们的威胁模型,邀请社区贡献,以便用户了解风险并可以就其部署做出明智的决策。
为什么
通过默默无闻来保证安全是行不通的。攻击者已经知道这些技术 - 它们记录在学术论文、安全博客和会议演讲中。缺少的是与用户的清晰沟通:
- 存在哪些风险
- 我们正在对他们做些什么
- 用户应该如何保护自己
通过公开开发威胁模型,我们可以从集体专业知识中受益,并通过透明度建立信任。
威胁模型覆盖范围
| 类别 | 涵盖的风险 |
|---|---|
| 一个。输入操作 | 直接提示注入、间接注入、工具参数注入、上下文操作 |
| B。身份验证和访问 | AllowFrom绕过、权限提升、跨会话访问、API密钥暴露 |
| C。数据安全 | 系统提示泄露、工作区暴露、内存泄露、数据泄露 |
| D。基础设施 | SSRF、网关暴露、依赖漏洞、文件权限 |
| E。运营 | 记录敏感数据、监控不足、资源耗尽、配置错误 |
| F。供应链 | ClawHub技能完整性、扩展安全性、依赖漏洞 |
威胁模型范围
| 组件 | 为什么包含它 |
|---|---|
| 核心平台(CLI、网关、代理、工具) | 主要攻击面 |
| ClawHub (clawhub.ai) | 技能市场-供应链风险 |
| 移动应用程序(iOS、Android) | 代理控制接口、凭证存储 |
| 桌面应用程序 (macOS) | 网关主机、系统集成 |
| 扩展和插件 | 第三方代码执行 |
| 构建并发布管道 | 诚信经销 |
威胁模型中的每个风险将包括描述和严重性评级、攻击示例、当前缓解措施、已知差距和用户建议。
威胁模型将通过拉取请求开放供社区贡献。
第 2 阶段:产品安全路线图
目标
创建一个公共产品安全路线图,定义防御性工程目标,作为 GitHub 问题进行跟踪,以便社区可以跟踪进度、提供输入和做出贡献。
防御工程目标
| 类别 | 目标 | 描述 |
|---|---|---|
| 即时注射保护 | 输入验证 | 注射尝试的模式检测和警报 |
| 工具确认 | 敏感行为需要明确批准 | |
| 上下文隔离 | 防止跨会话污染 | |
| 隐私增强 | 系统提示保护 | 防止系统提示泄露 |
| 数据最小化 | 减少不必要的数据保留 | |
| 审计日志 | 代理操作清晰可见 | |
| 访问控制 | 细粒度权限 | 每个工具、每个会话的访问控制 |
| 速率限制 | 防止资源耗尽 | |
| 支出控制 | API 成本的硬性限制 | |
| 供应链 | 技能验证 | ClawHub 技能的完整性检查 |
| 依赖性审计 | 自动漏洞扫描 | |
| 签名发布 | 更新的加密验证 |
具体的优先问题将通过第 3 阶段的代码审查来确定,并在发现和分类时添加到公共路线图中。
第 3 阶段:代码审查
目标
虽然社区已经全天候工作来查找和解决缺陷 - 我们感谢每一个贡献 - 我们认识到这是一个开源项目,贡献者尽了最大努力。第三阶段是专门的、全面的安全评估,专门用于解决根深蒂固的系统问题并提高整体代码质量和用户安全。
范围
代码审查涵盖整个 OpenClaw 代码库和生态系统:
| 面积 | 路径 | 为什么 |
|---|---|---|
| 代理执行 | src/agents/ | 核心攻击面-代理如何运行 |
| 工具实现 | src/agents/tools/ | 代理可以做什么 - 执行、消息传递、网络 |
| 消息处理 | src/自动回复/ | 所有用户输入的入口点 |
| 安全实用程序 | src/安全/ | 现有的安全控制 |
| 网关服务器 | src/网关/ | 网络暴露组件 |
| 认证 | src/*/auth* | 凭证处理、API 密钥 |
| 会话管理 | src/config/sessions.ts | 跨会话隔离 |
| 配对和访问控制 | src/pairing/、src/*/access-control* | DM 和群组门控 |
| 外部内容处理 | src/security/external-content.ts | 注射防御 |
| macOS 桌面应用程序 | 应用程序/macos/ | 网关主机、系统集成 |
| iOS 移动应用 | 应用程序/ios/ | 代理控制、凭证存储 |
| 安卓移动应用 | 应用程序/android/ | 代理控制、凭证存储 |
| 爪轮 | 爪轮.ai | 技能登记-供应链风险 |
| 官方扩展 | 扩展/ | 第一方插件 |
| 构建并发布管道 | CI/CD、脚本 | 诚信经销、签约 |
### 方法
- 手动代码审查 - 安全关键路径的人机交互分析
- 自动扫描 - 静态分析、依赖审计、秘密检测
- 动态测试 - 尝试针对正在运行的系统记录攻击模式
- 架构审查 - 评估信任边界和数据流
披露
- 所有关键和重要发现均在公开披露前修复
- 修复后发布调查结果摘要
- 可根据要求提供完整报告
- 在适用的情况下分配的 CVE
第 4 阶段:安全分类功能
目标
建立接收、分类和响应安全漏洞报告的正式流程。
报告漏洞
我们认真对待安全报告。直接向问题所在的存储库报告漏洞:
- 核心 CLI 和网关 - openclaw/openclaw
- macOS 桌面应用程序 - openclaw/openclaw (apps/macos)
- iOS 应用程序 - openclaw/openclaw (apps/ios)
- Android 应用程序 - openclaw/openclaw (apps/android)
- ClawHub - openclaw/clawhub
- 信任和威胁模型 - openclaw/trust
对于不适合特定存储库的问题,或者如果您不确定,请发送电子邮件至 security@openclaw.ai,我们将进行路由。
报告中必需的
标题 严重性评估 影响 受影响的组件 技术复制 已证实的影响 环境补救建议
没有复制步骤、已证明的影响和补救建议的报告将被取消优先级。考虑到人工智能生成的扫描仪结果的数量,我们必须确保收到来自了解这些问题的研究人员的经过审查的报告。
响应 SLA
| 严重性 | 定义 | 第一反应 | 分流 | 固定目标 |
|---|---|---|---|---|
| 关键 | RCE、身份验证绕过、海量数据泄露 | 24小时 | 48小时 | 7 天 |
| 高 | 影响重大,单用户范围 | 48小时 | 5 天 | 30 天 |
| 中 | 影响有限,需要特定条件 | 5 天 | 14 天 | 90 天 |
| 低 | 小问题,深度防御 | 14 天 | 30 天 | 尽最大努力 |
我们的承诺
- 48 小时内确认所有完整报告
- 至少每 14 天提供一次状态更新
- 咨询中的信用研究人员(除非要求匿名)
- 不对善意的安全研究采取法律行动
- 考虑对关键/高发现结果进行奖励(具体情况具体分析)
安全与信任
Jamieson O'Reilly (@theonejvo) 是 OpenClaw 的安全与信任部门。
Jamieson 是 Dvuln 的创始人、Aether AI(世界上最危险的 AI,就在你的角落)的联合创始人、CREST 顾问委员会成员,在攻击性安全、渗透测试和安全程序开发方面拥有丰富的经验。
职责
- 主导威胁建模和风险评估
- 范围和监督代码审查
- 建立分类流程和响应程序
- 审查安全关键代码更改
- 提供安全架构决策指导
当前的安全状况
OpenClaw 已经实施了安全控制。了解现有内容有助于用户正确配置其部署。
默认安全
DM 政策:配对
未知发件人必须使用过期代码完成配对流程
执行安全:拒绝
默认情况下,不在允许列表中的命令会被拒绝,提示用户批准
默认AllowFrom:仅限自身
如果没有配置,只有您自己的号码可以DM给代理
会话隔离
每个会话密钥都隔离对话
SSRF 保护
内部 IP 和 localhost 在 web_fetch 中被阻止
需要网关身份验证
WebSocket 连接必须进行身份验证
验证您的设置
openclaw 安全审计 --deep
需要验证的关键项目:
- DM 策略是“配对”或“允许名单”(不是“开放”)
- 为您的频道配置了“allowFrom”
- 除非有意,否则 Exec 安全性不会设置为“完整”
- 网关绑定到环回或后面的身份验证
- 工作区不包含秘密
时间轴
第 1-2 周:第 1 阶段 - 透明度 ├── 威胁模型开发开始(开放贡献) ├── 安全配置指南起草 ├── 视觉概览已创建 └── 公告发布
第 3-4 周:第 2 阶段 - 产品安全路线图 ├── 为防御性工程目标创建的 GitHub 问题 ├── 安全标签及里程碑设定 ├── 社区征集期开启 └── 首次安保工作开始
第 5-8 周:第 3 阶段 - 代码审查准备 ├── 范围最终确定(整个代码库) ├── 审核开始 └── 初步发现
第 8-12 周:第 3 阶段 - 代码审查执行 ├── 人工审核完成 ├── 记录调查结果 ├── 严重/高的修复 └── 验证完成
第 8 周以上:第 4 阶段 - 分类功能 ├── security@openclaw.ai 直播 ├── PGP密钥发布 ├── 公开政策公布 └── 第一建议(如果需要)
正在进行: ├── 每月安全更新 ├── 持续细化威胁模型 ├── 定期依赖审计 └── 社区参与
常见问题解答
“OpenClaw 现在可以安全使用吗?”
是的,只要配置正确。 OpenClaw 默认启用安全控制:
- DM 策略:默认为“配对” - 未知发件人必须使用过期代码完成配对流程
- 执行安全:默认为“拒绝”和“询问:on-miss” - 危险命令需要批准
- AllowFrom:如果没有配置,默认为self-only
- 网关身份验证:默认需要
运行“openclaw security audit --deep”来验证您的设置。请参阅docs.openclaw.ai/gateway/security
“为什么要公开开发威胁模型?”
这些攻击技术已经是公共知识——记录在论文、博客和演讲中。公开开发受益于集体专业知识,通过透明度建立信任,并让我们承担责任。
“为什么需要在漏洞报告中提供修复建议?”
我们收到来自自动扫描仪和人工智能工具的报告,这些报告标记了理论问题,但并不理解它们。通过要求记者提出修复方案,我们可以过滤掉扫描仪噪音,从了解问题的研究人员那里获得可操作的报告,并通过专家的输入加快修复速度。
“那爪轮呢?”
ClawHub (clawhub.ai) 涵盖整个安全计划 - 威胁模型、代码审查和持续监控。技能是在代理环境中运行的代码 - 供应链安全至关重要。
“移动应用程序和桌面应用程序怎么样?”
所有应用都在范围内。 iOS 应用程序、Android 应用程序和 macOS 桌面应用程序都将受到代码审查并包含在威胁模型中。没有什么是超出范围的。
“我可以帮忙吗?”
- 通过拉取请求为威胁模型做出贡献
- 对安全标签问题进行审查和评论
- 向相关仓库报告漏洞(如果不确定,请发送电子邮件至 security@openclaw.ai)
- 帮助改进安全文档