夜雨聆风
AI 助手的权限边界:什么能给它做,什么不能
信任是好事,但验证是必须的。给 AI 权限就像给员工授权——既要让它能干活,又要确保它不会把公司卖了。
开头:一个让我后背发凉的私信
上周有个朋友发私信给我:
“我把数据库密码配给 AI 了,现在有点慌,会不会出事?”
说实话,我不意外。
AI 助手能帮你写代码、查资料、回消息,那它能不能帮你删文件、发工资、批准预算?
边界在哪,今天展开聊聊。
这篇文章不聊虚的,直接给你:
-
一个风险分级模型(看完就知道哪些能给) -
三套配置模板(个人/团队/企业直接用) -
一份自检清单(5 分钟检查你的 AI 权限)
注:本文配置示例基于 OpenClaw v2026.3,其他 AI 框架配置方式可能不同,但安全原则通用。
一、先想清楚一件事
AI 不会”恶意”,但会”误解”。
很多人担心:”我给 AI 全权限,它会不会背叛我?”
说实话,这个担心方向错了。
AI 不是人,没有主观恶意。它不会半夜偷偷删你文件,也不会故意给你使坏。
真正的问题是:它可能误解你的意图。
比如你说:”把没用的文件都清理一下”
你心里想的是:清理临时文件、缓存
AI 可能理解为:删除所有它认为”没用”的文件
然后你的项目代码少了一半。
权限边界不是防 AI 作恶,是防 AI 犯错。
想明白这点,我们继续。
二、风险四象限:一张图看懂权限边界
我画了个简单的模型,帮你快速判断:
影响范围 自己 ←——→ 他人/系统 ┌─────────────────────┐ 可逆 │ 🟢 绿色区 │ 🟡 黄色区 │ (能撤销) │ 随便用 │ 要审批 │ ├─────────────────────┤ 不可逆 │ 🟠 橙色区 │ 🔴 红色区 │ (难恢复) │ 谨慎用 │ 绝对禁止 │ └─────────────────────┘两个维度:
-
影响范围:只影响你自己,还是会影响别人/系统? -
可逆性:出错了能恢复吗?
下面逐个说说。
三、🟢 绿色区:放心给,随便用
特征:只读、影响自己、出错了能撤销
这些操作可以给 AI
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
OpenClaw 配置示例
// ~/.openclaw/openclaw.json{ tools: { // 使用预设的 coding profile,包含文件读写、运行时、会话等基础工具 profile: "coding", // 或者手动指定允许的工具 allow: [ "read", // 读文件 "memory_search", // 搜索记忆 "web_search", // 搜索网络 "web_fetch", // 抓取网页 "session_status", // 查看状态 ], }}我的建议:这些权限可以无脑给,没什么好犹豫的。
四、🟡 黄色区:要审批,看一眼再放行
特征:写入操作、影响有限、出错了能恢复
这些操作要审批
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
OpenClaw 配置示例
// ~/.openclaw/openclaw.json{ tools: { // 允许文件写入,但 exec 需要审批 allow: ["read", "write", "edit"], // exec 的审批在独立文件中配置(见下文) }}Exec 审批配置(独立文件)
// ~/.openclaw/exec-approvals.json{"version": 1,"defaults": {"security": "allowlist", // 只允许白名单命令"ask": "on-miss", // 白名单没有命中时询问"askFallback": "deny"// 无法询问时拒绝 },"agents": {"main": {"security": "allowlist","ask": "on-miss","allowlist": [ {"pattern": "/opt/homebrew/bin/rg", // 允许 ripgrep"lastUsedAt": 1737150000000,"lastUsedCommand": "rg -n TODO" }, {"pattern": "~/Projects/**/bin/*", // 允许项目下的脚本 } ] } }}审批流程长什么样?
当你配置了审批,AI 执行这些操作前会先问你:
📋 审批请求AI 助手想要执行: 命令:npm run build 路径:/workspace/my-project请选择: ✅ 允许一次 ✅ 总是允许(同类操作不再询问) ❌ 拒绝我的建议:
-
刚开始用时,全部开启审批 -
用了一两周后,把信任的操作改成”允许一次”或”总是允许” -
定期回顾审批记录,看看有没有异常
五、🟠 橙色区:高度谨慎,能不给就不给
特征:不可逆、影响较大、涉及敏感数据
这些操作要三思
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
OpenClaw 配置建议
// ~/.openclaw/openclaw.json{ tools: { // 基础工具允许 allow: ["read", "memory_search"], // 明确拒绝危险工具 deny: ["exec", "process"], // 开启内联代码执行严格模式(python -c, node -e 等需要审批) exec: { strictInlineEval: true, } }}// ~/.openclaw/exec-approvals.json{"defaults": {"security": "deny", // 默认拒绝所有 exec"ask": "always"// 必须每次都问 }}我的建议:
-
默认禁止,特殊场景临时开放 -
必须有人类二次确认 -
操作要留审计日志
六、🔴 红色区:绝对禁止,没得商量
特征:高风险、不可逆、影响他人或系统安全
这些操作永远别给
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
OpenClaw 配置示例
// ~/.openclaw/openclaw.json{ tools: { // 只允许最基础的只读工具 profile: "minimal", // 只包含 session_status allow: [ "read", "memory_search", "web_search", "web_fetch", ], // 明确拒绝所有写入和执行 deny: [ "write", "edit", "exec", "process", "message", // 禁止代表你发消息 "sessions_send", // 禁止跨会话发消息 ], }}// ~/.openclaw/exec-approvals.json{"defaults": {"security": "deny"// 所有 exec 请求直接拒绝 }}我的建议:没得商量,这些权限永远别给 AI。
七、三套配置模板:直接抄作业
根据你的场景,选一套直接用。
模板 1:个人开发者(低风险)
场景:只影响自己的开发环境,没有团队,没有生产系统
// ~/.openclaw/openclaw.json{ tools: { // 使用 coding profile,包含开发常用工具 profile: "coding", // 额外允许网络搜索 allow: ["web_search", "web_fetch"], // 拒绝浏览器自动化(不需要) deny: ["browser", "canvas"], // 内联代码执行需要审批 exec: { strictInlineEval: true, } }}// ~/.openclaw/exec-approvals.json{"defaults": {"security": "allowlist","ask": "on-miss","autoAllowSkills": true// 自动允许技能需要的命令 }}核心思路:效率优先,但保留关键审批。
模板 2:小团队技术负责人(中风险)
场景:带 3-5 人团队,有测试环境,偶尔碰生产
// ~/.openclaw/openclaw.json{ tools: { // 从最小权限开始 profile: "minimal", // 只允许必要的工具 allow: [ "read", "write", "edit", // 文件操作 "memory_search", // 记忆搜索 "web_search", "web_fetch", // 网络搜索 "sessions_list", "sessions_history", // 会话管理 ], // 明确拒绝的 deny: [ "browser", "canvas", // 浏览器自动化 ], // 限制谁能执行主机命令 elevated: { enabled: true, allowFrom: { discord: ["123456789012345678"], // 只有你的 Discord ID telegram: ["987654321"], // 只有你的 Telegram ID } } }}// ~/.openclaw/exec-approvals.json{"defaults": {"security": "allowlist","ask": "always", // 每次都问"askFallback": "deny" },"agents": {"main": {"allowlist": [ { "pattern": "/opt/homebrew/bin/npm" }, { "pattern": "/opt/homebrew/bin/node" }, ] } }}核心思路:团队影响要考虑,发言和执行必须人工。
模板 3:企业生产环境(高风险)
场景:有正式生产系统,多人协作,合规要求
// ~/.openclaw/openclaw.json{ tools: { // 最小权限 profile: "minimal", // 只允许只读操作 allow: [ "read", "memory_search", "web_search", "web_fetch", "session_status", ], // 所有写入和执行都禁止 deny: [ "write", "edit", "exec", "process", "message", "sessions_send", "browser", "canvas", ], }, // Gateway HTTP API 额外限制 gateway: { tools: { deny: ["exec", "process", "write", "edit"], } }}// ~/.openclaw/exec-approvals.json{"defaults": {"security": "deny"// 全部拒绝 }}核心思路:最小权限原则,AI 只做顾问,不做执行者。
八、常见误区:这些坑我替你踩过了
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
我最想说的是第二个:”审批太麻烦”。
我懂,每次 AI 要执行命令都弹个审批框,确实烦。
但你想啊:
-
你审批一次,花 5 秒 -
一天审批 10 次,花 50 秒 -
但能避免一次误删,省下的可能是 5 小时甚至 5 天
这笔账,划算。
九、5 分钟自检清单
花 5 分钟,对照检查你的 AI 权限配置:
□ 我的 AI 能读哪些文件?有没有敏感数据(密码、密钥)?□ 我的 AI 能写哪些文件?会不会覆盖重要内容?□ 我的 AI 能执行什么命令?exec-approvals.json 配了吗?□ 我的 AI 能代表我发消息吗?message 工具允许了吗?□ 如果 AI 误操作了,我能恢复吗?有备份吗?□ elevated.allowFrom 配置了吗?只有我能执行主机命令?□ 我的团队/家人知道 AI 的权限边界吗?全打勾了?那你基本安全。
有没打勾的?现在就去改配置。
十、最后说两句
写这篇文章,是因为我真的见过太多人:
-
把数据库密码直接配给 AI -
让 AI 随便执行 shell 命令 -
让 AI 代表自己在群里发言
然后出事了,过来问:”怎么办?”
能怎么办?数据已经删了,话已经说出去了。
AI 是好工具,但它不是人。它没有责任感,没有后果意识,它只是按你的指令做事。
所以你要替它有责任感,替它有后果意识。
给权限之前,问自己三个问题:
-
如果它做错了,我能承受吗? -
如果它做错了,我能恢复吗? -
如果它做错了,会影响别人吗?
三个问题有一个答案是”不”,就别给。
互动时间
-
你现在给 AI 开了哪些权限? 看完这篇文章,打算调整吗? -
你遇到过 AI 误操作吗? 评论区聊聊,让大家避坑
最后,如果觉得这篇文章有用,转发给正在用 AI 的同事或朋友。
权限这东西,宁可严一点,别等出事了再后悔。
咱们下期见!👋
参考资料:
-
OpenClaw 配置文档:https://docs.openclaw.ai/gateway/configuration-reference -
OpenClaw Exec 审批:https://docs.openclaw.ai/tools/exec-approvals -
最小权限原则:https://en.wikipedia.org/wiki/Principle_of_least_privilege
本文基于 OpenClaw v2026.3 版本,配置项可能随版本更新有变化。生产环境使用前请查阅最新官方文档。