OpenClaw 权限安全清单:哪些动作不能让 Agent 自动做?-夜雨聆风

OpenClaw 权限安全清单:哪些动作不能让 Agent 自动做?

这篇文章面向搜索 OpenClaw 权限安全、AI Agent 自动化权限、个人自动化助手风控清单的读者。很多人第一次用 Agent 会先改 prompt，但真正能长期跑起来的系统，靠的是工作流、权限、日志、验收和复盘。

1. 问题场景

一个人做内容、研究、数据和自动化时，最容易出现的问题不是“模型不会写”，而是 Agent 在错误时间做了错误动作：误删文件、误发外部消息、把未核验信息写进公开稿，或者在没有人工确认的情况下执行高风险操作。

所以 OpenClaw 这类长期在线的个人自动化助手，必须先划清权限边界。能自动做的，尽量自动；会影响外部世界、资金、账号、安全和隐私的动作，必须人工确认。

以下动作不应该让 Agent 默认自动执行：

1. 正式发布公众号、微博、邮件群发、Discord 公告等公开外发。

2. 删除、覆盖、清空、迁移大量文件，尤其是不可恢复动作。

3. 真实资金相关动作：下单、转账、充值、提现、绑定银行卡。

4. 修改账号安全配置：密码、密钥、白名单、权限角色、登录设备。

5. 对第三方平台联系人发消息，尤其是代表用户表态或承诺。

6. 暴露内网地址、密钥、Cookie、浏览器登录态、私人聊天记录。

7. 关闭安全检查、绕过验证码、规避平台风控或审计。

这些动作不是不能做，而是要进入“准备—复核—人工确认—执行—留痕”的流程。

适合自动化的动作通常有三个特征：可回滚、内部可见、不会直接影响外部世界。

例如：读取公开资料、整理笔记、生成草稿、跑 lint/gate、做 dry-run、写本地日志、更新非敏感模板、把候选结果放进待审核队列。

这些动作可以提高效率，但也要保留输入、输出和失败原因，方便事后复盘。

我建议把 OpenClaw 权限分成四层：

1. 只读层：读取文件、网页、公开资料、历史日志。

2. 本地写入层：生成草稿、报告、结构化 JSON、备份文件。

3. 外部准备层：创建草稿箱、生成待发送内容、做 dry-run。

4. 外部执行层：发布、发送、删除、交易、转账、改安全配置。

前三层可以在明确规则下自动化；第四层必须要求人工确认。

• 这次动作会不会影响外部世界？

• 失败后能不能回滚？

• 有没有备份？

• 是否涉及真实资金、账号安全或隐私？

• 是否已经 dry-run？

• 是否留下日志和记录文件？

• 是否需要用户显式确认？

真正可靠的 Agent 不是“什么都敢自动做”，而是知道什么时候该停下来等人确认。权限边界不是降低智能，而是让智能可以长期运行。

后续我会继续精读 RAG、搜索、Agent 与大模型工程化相关论文/框架。如果你关心“论文里的方法到底怎么落到工程系统里”，欢迎关注 Alten观AI，也欢迎在评论区聊聊你遇到过的 RAG 难题。