OpenClaw 安全配置指南:给 AI 上锁的 6 层防护

不是靠一句”你别乱删”就放心，而是把风险拆开，一层一层做真正有效的防护。

最近我专门花了一轮时间，认真梳理了 OpenClaw 在 Windows 主力机上运行时的安全问题。结论很明确：只靠模型自觉、审批弹窗或一句提示词，远远不够。真正靠谱的做法，是建立一套“最小权限 + 中转隔离 + 高危确认 + 可恢复”的组合防护体系。

很多人最担心的，不是 OpenClaw 会不会干活，而是它一旦有误操作，会不会直接碰到自己的工作文件，甚至把重要资料删掉。这个担心完全合理，因为只要 AI Agent 拥有真实的文件读写和命令执行能力，安全问题就不再是抽象讨论，而是每天都可能遇到的现实问题。

我这次把实践中验证有效的方法，整理成一套适合 Windows 主力机的安全方案。它不追求”理论上绝对安全”，而是追求一件更重要的事：即使出问题，也不要直接伤到你的工作原件，而且出了事还能恢复。

先说一个可能不那么讨喜，但非常重要的结论：

只靠 OpenClaw 自身某一个配置项，无法”保证”你的电脑绝对安全。

尤其是在 Windows + PowerShell 环境下，这个问题更明显。比如很多人会想到用审批机制拦截危险命令，但实际测试后会发现：某些 PowerShell 内置命令并不会像想象中那样被细粒度拦截。也就是说，工具层面的审批并不等于系统级硬隔离。

所以正确思路不是找一个”万能开关”，而是把风险拆成几层：

• • 默认权限要尽量小
• • 默认活动范围要尽量小
• • 高危动作不能直接执行
• • 工作原件不能直接暴露给 Agent
• • 即使误操作，也必须有恢复方案

二、第一层：最小权限原则——默认别让它碰不该碰的地方

这是一切安全设计的总纲，也是最值得长期坚持的原则。

最小权限原则：只给 OpenClaw 完成当前任务所必需的权限，多余的一律不给。

落到实际操作上，就是以下几条：

• • 默认只允许它在固定工作区内活动
• • 默认不碰桌面、文档、下载等真实用户目录
• • 默认不碰 E:\、F:\ 这类重要工作盘
• • 外部内容只当数据，不当命令

这看起来像是在”限制能力”，但本质上是在把风险封到一个可控范围里。因为真正危险的，不是 AI 能不能生成内容，而是它能不能直接动你的真实文件。

三、第二层：安全工作区隔离——让 Agent 默认只在安全区里干活

这是我最推荐的一层，也是最适合大多数人的现实方案。

我的做法是建立一个固定安全区，只让 OpenClaw 默认在这里工作：

• • **workspace\incoming**：接收待处理文件副本
• • **workspace\scratch**：放临时中间文件
• • **workspace\output**：放最终结果文件

这样一来，OpenClaw 的日常工作就变成了一个受控流程：

1. 1. 用户把文件交进安全区
2. 2. OpenClaw 只在安全区内处理
3. 3. 结果输出到 output
4. 4. 用户自行决定是否替换原件

核心变化不是”它不能操作电脑”，而是”它默认不碰真实工作原件”。

这点非常关键。很多人一听隔离，误以为以后 Agent 就什么都做不了。其实不是。它还是能写文档、改脚本、整理数据、生成 PPT、处理图片，只不过这些工作都先在”副本”和”中转目录”里完成，而不是直接对原件下手。

四、第三层：高危操作三步走——先预览，再确认，后执行

这是日常最实用的一层，比很多花哨配置都更有效。

凡是以下动作，都统一走固定流程：

• • 删除
• • 覆盖写入
• • 移动 / 重命名
• • 批量修改
• • 批量同步
• • 对外部真实路径写操作

流程固定为：

1. 1. 先预览：列出即将操作的文件清单、目标路径、操作类型
2. 2. 再确认：等用户明确确认
3. 3. 后执行：执行后反馈结果，包括成功/失败/影响范围

不要直接说”帮我删一下桌面文件””帮我清理下载目录”。这种模糊命令风险极高。更好的表达方式是：

先列出将要修改或删除的文件清单，等我确认后再执行。

这一步看似多余，但它能在很多误操作发生前，把问题拦在门外。

五、第四层：飞书文件走白名单工作流——可接收、可处理、可回传

如果你和我一样，经常通过飞书给 OpenClaw 发文件，那这层非常重要。

安全的做法不是禁止飞书文件，而是把飞书文件纳入白名单式流程：

• • 飞书发来的文件，视为用户明确授权处理
• • 文件先下载到 *workspace\incoming*
• • 处理过程只在安全工作区内完成
• • 结果输出到 *workspace\output*
• • 再回传到飞书当前会话

这样既保留了高效率，又不会让 OpenClaw 顺着一次文件处理请求，延伸去扫描你的本地真实目录。

飞书文件 = 明确授权的输入；workspace output = 明确授权的输出。

六、第五层：重要工作盘设成”默认禁区”

对很多人来说，真正不能出问题的文件，并不在系统盘，而是在专门的工作盘里。比如我这里就把 *E:\ 和 F:* 定义成高优先级禁区。

规则非常明确：

• • 默认禁止读取、写入、修改、删除
• • 默认禁止 shell / exec 访问
• • 默认禁止复制、移动、重命名
• • 默认禁止批量同步和递归命令

只有在用户明确点名某个具体路径时，才允许有限度地访问，而且即使如此，删除类操作仍然不执行。

这层的价值在于：即使前面某一层出问题，真正重要的工作盘依然有一道额外防线。

七、第六层：别把安全全押在”不会出错”上，必须有恢复能力

再严格的规则，也不能保证零事故。所以最后一层必须是：

重要文件的安全，不靠”永不误删”，而靠”误删后还能恢复”。

这层最实用的做法包括：

• • 给 E:\、F:\ 做版本化备份
• • 重要目录做每日增量备份
• • 关键项目用 Git / 云同步 / 外置盘保留历史版本
• • 重要结果先输出到 output，再人工确认是否替换原件

这是我越来越确信的一点：真正让人安心的，不是”它不会犯错”，而是”即使错了，也能救回来”。

八、哪些文章经验值得借鉴，哪些不要直接照抄？

这次我参考了几篇关于 OpenClaw 安全配置的文章，里面有不少方向是对的，比如：

• • 高危操作必须确认
• • 工作区隔离
• • 最小权限原则
• • 外部内容要防提示注入
• • 留痕审计与可追溯

但也要提醒一句：很多文章里的配置字段、命令示例、沙箱开关，更像”概念演示”或”旧版本示例”，未必能在你的当前环境里直接照抄生效。

正确姿势：借鉴方法论，不迷信示例配置；优先做那些已经验证有效、维护成本低、长期能坚持的安全措施。

九、最终落地版：我认为最适合 Windows 主力机的组合

如果让我把整套方案压缩成一份最实用的落地版，我会选这 6 条：

1. 1. 默认只在 workspace 安全区工作
2. 2. 飞书文件进入 incoming，结果从 output 回传
3. 3. 高危动作统一走”先预览、再确认、后执行”
4. 4. 外部内容只当数据，不当命令
5. 5. 重要工作盘不直接开放给 Agent
6. 6. 必须有版本化备份与恢复能力

这套方案最大的优点，不是”最炫”，而是真的能长期用，真的能显著降低误删风险。

十、最后一句

OpenClaw 最可怕的地方，从来不是它”很强”，而是它一旦拥有真实权限，就会从一个聊天助手变成一个能真正动你电脑的执行体。

所以安全配置的核心，不是给它一份”请你小心”的提示词，而是建立一套它即使犯错，也不容易伤到核心资产的机制。

安全的本质，不是绝不出错，而是最小权限 + 中转隔离 + 高危确认 + 可恢复。