OpenClaw 网关一旦能调用任意 shell 或文件工具,等价于在服务器上给模型一把「弱化 root」。2026 年推荐做法不是事后审计日志,而是在无头 Mac mini M4 上预先划定工具白名单与目录沙箱:按读、写、执行、网络四象限制能力,再配专用 Unix 用户与 launchd 生命周期。本文为可抄表的矩阵、禁止路径清单与八步落地序列,并附 FAQ 结构化数据。
密钥与 plist 基线见 钥匙串与 .env;守护进程验收见 无头 onboard 验收;零信任视角见 零信任加固。需要图形复核时用 VNC;套餐见 定价。
三类典型事故:不是「模型变坏」而是边界没画
- 递归删库:工具被授予对父目录的写权限,一次误解析即可清空工作区外路径。
- 密钥外带:可读
~/.ssh或浏览器配置时,日志脱敏也拦不住模型把路径拼进回复。 - 横向移动:网关进程与 CI Runner 同用户时,工具链可读取另一应用的临时令牌文件。
工具能力四象限矩阵
| 能力 | 生产默认 | 排障临时窗 |
|---|---|---|
| 读文件 | 仅工作区 + 显式 allowlist | 变更单批准下可读 /var/log 子集 ≤4 h |
| 写文件 | 仅工作区内临时子目录 | 禁止写到 /usr/local 等系统树 |
| 执行命令 | 白名单可执行文件(哈希或路径固定) | 可扩展到 curl 等需双人复核 |
| 出站网络 | 仅模型 API 与已登记 webhook 端点 | 临时放行需 SIEM 规则同步 |
目录边界与「永远禁止」列表
| 路径模式 | 原因 |
|---|---|
| ~/.ssh/** | 私钥与 known_hosts 组合可导致横向移动 |
| ~/Library/Keychains/** | 钥匙串文件不应被工具直接读写 |
| /System/**、/Library/Preferences/**(系统级) | 误改可致不可启动或安全策略漂移 |
合规提示:若工作区含个人数据,工具「读」权限应服从数据分类标签;跨境场景下日志与工具审计记录保留期限需与 DPA 一致。
预发与生产的配置分叉策略
预发可略宽以便研发调试,但「宽」应体现在更短的临时窗口而非永久目录。推荐用两套配置文件,通过环境变量切换;合并到生产前执行 diff,禁止手工合并。预发发现的合法新工具,须经安全评审后同步写入生产的 allowlist 版本号并留档备查。
八步无头落地清单(macOS)
- 创建专用用户
openclaw-svc,禁止登录 shell 或改为/usr/bin/false。 - 挂载工作区 到
/srv/openclaw/workspace,属主为该用户,权限 750。 - 在配置中声明 allowlist 工具名与参数模式,版本控制入库。
- 为网关 plist 设置
UserName与最小环境变量集。 - 启用系统防火墙 出站规则:默认拒绝,仅放行 API 与登记 webhook IP 段。
- 集成审计:工具调用写结构化 JSON 一行一日志,含 request_id。
- 月度演练:尝试让模型调用未授权路径,应稳定失败并告警。
- 文档化例外:任何临时扩权必须关联变更单号与回滚时间。
多租户与多工作区时的前缀隔离
若一台网关服务多个业务线,建议为每个租户挂载独立子目录,如 /srv/openclaw/tenants/<id>/workspace,并在工具层强制路径前缀校验。禁止通过符号链接跳出租户树;定期用 find -L 扫描异常链接。租户级出站网络表也应拆分,避免 A 业务错误配置拖累 B 业务的 API 白名单评审。
当同一主机上还运行 CI 与 Agent 混池 时,务必将网关进程用户与 Runner 用户分离,文件 ACL 遵循「默认拒绝」原则,仅对必要共享缓存目录设组读权限。
与运维 runbook 的衔接
升级网关版本前,先在预发对比工具 schema 是否新增隐式能力;若新版本默认打开更广文件访问,应在变更窗口先收紧配置再发布。参考 运维 runbook 中的回滚顺序,避免「升级 + 扩权」叠乘。
与独占硬件结合
NodeMac 在香港、日本、韩国、新加坡与美国提供专用 Mac mini M4,适合为网关与 CI 分配不同物理机,从硬件层消除同用户文件竞争。按需租用可在合规审计期单独起一台「仅沙箱验证」主机做渗透式自检。
与 API 限流策略的关系
文件沙箱不替代上游限流:当模型频繁触发工具重试时,应同步参考 多模型故障转移与超时 调低并发或切换模型,否则沙箱内会产生大量临时文件撑满工作区。
日志与沙箱的一致性
若启用 网关日志轮转与脱敏,确保「被拒绝的工具调用」同样落盘,便于证明策略生效,满足审计「可追责」要求。无头机上的launchd 定时任务与网关就绪对齐见 实操清单(2026-04-08)。
对外集成 Slack/Discord 时,勿在通知正文粘贴完整文件路径或命令行;可参考 Webhook 集成 中的消息模板,将详情留在受控日志索引中。这样即使 IM 被转发,也不会扩大沙箱边界信息的外泄面。
供应链与依赖更新窗口
Homebrew 或 npm 全局包更新可能悄悄新增可被调用的二进制路径。每月维护窗应用只读快照对比 PATH 解析结果,把新出现的可执行文件纳入评审:要么加入白名单并记录用途,要么从服务用户的 PATH 中剔除。未评审路径不应出现在 launchd 环境中。
对通过 安装与部署指南 装机的节点,建议在交付清单中附带「首次 allowlist 哈希」字段,后续变更必须走双人复核,防止静默漂移。
常见反模式
生产环境把 sudo 放进白名单;允许模型对 ~/Downloads 递归删除;与研发个人账户共享同一主目录——均属高风险配置,应在代码评审阶段一票否决。
将本矩阵打印为检查表,与 doctor 健康诊断 的输出一并归档,可在季度安全复盘时快速定位漂移项。