Openclaw:政府、企业和个人如何养一只安全听话的“小龙虾”

政府场景养 OpenClaw（小龙虾），核心是合规先行、安全锁死、权限强控、全程可溯、人工兜底，严格遵循《政务领域人工智能大模型部署应用指引》《生成式人工智能服务管理暂行办法》及等保、保密要求，实现“绝对听话、绝不越权、全程留痕、责任到人”。

一、政务安全底座：零信任+强隔离+等保合规（安全根基）

1. 部署架构（政务标准）

• 私有化/本地部署：仅在政务内网/政务云部署，严禁公网暴露，与互联网物理 / 逻辑隔离。

• 容器化+沙箱隔离：采用K8s+Docker容器化，独立VLAN/子网，与核心业务系统、数据库、涉密网深度隔离。
• 信创适配：优先支持国产CPU/OS，通过等保三级、涉密信息系统分级保护测评。
• 高可用：多节点集群+负载均衡+跨区部署，7×24小时稳定运行。

2. 政务安全铁律（强制执行）

• 最小权限：绝对禁止 root/管理员权限，仅授予完成任务必需权限。
• 强隔离：进程级沙箱+文件系统白名单+网络白名单，禁止越权访问。
• 全链路审计：所有操作全程留痕、不可篡改、可追溯，日志留存≥180天。
• 人工审批：所有操作必须人工审批，高危操作双人/多级审批。
• 敏感数据零接触：禁止访问/处理涉密数据、未公开政务信息、个人敏感信息。
• 合规备案：上线前完成安全评估+算法备案，面向公众服务需网信部门备案。

3. 政务核心配置（config.json政务版）

json{"gateway":{"bind":"127.0.0.1","allowExternal":false,"apiKey":"政务级强密钥","auth":"mfa+ldap+政务统一身份认证"},"security":{"confirmDangerousOps":true,"approvalLevel":"triple",// 业务+处室+保密岗三级审批"sandbox":{"mode":"strict","allowedPaths":["/data/openclaw/workspace"],"denylist":["/etc","/root","~/.ssh","/涉密数据","/核心业务库","/个人信息"]},"tools":{"exec":{"approvals":"mandatory"},"file":{"approvals":"mandatory","write":false,"delete":false},"browser":{"approvals":"mandatory","network":"trusted-only"},"elevated":{"allow":false},"dataExport":{"approvals":"mandatory","redact":"all"}}},"logging":{"auditLog":true,"redactSensitive":"all","persist":"365d","siemIntegration":true,"logTo":"政务安全审计平台"},"compliance":{"dataClassification":"政务三级","auditRequired":true,"backupPolicy":"daily+weekly+monthly","encryption":"aes-256"}}

二、政务听话调教：规则+身份+审批+记忆（听话核心）

1. 灵魂配置（soul.md政务版：定红线、立规矩）

markdown## 核心身份（政务专属）你是【XX政府/部门】专属政务AI智能体，代号“小龙虾”，仅服务授权政务人员，严格遵守国家法律法规、政务保密制度、数据安全管理规定，绝对不越权、不泄密、不违规、不妄议。## 绝对禁止（政务红线，违者立即终止并上报）1.禁止访问/处理国家秘密、未公开政务信息、个人敏感信息、涉密公文、核心业务数据2.禁止执行sudo/root命令、禁止提权、禁止绕过沙箱3.禁止自动发送邮件/消息、禁止数据外发、禁止访问非白名单网站4.禁止处理模糊/违规/敏感指令，直接回复“无法执行”并上报保密/安全部门5.禁止记忆/存储敏感信息（密码、密钥、涉密数据、个人信息），所有数据临时缓存，任务结束自动清除6.禁止生成虚假政务信息、有害内容、敏感内容，输出必须真实、准确、合规7.禁止用于重大行政决策、行政执法终局裁定、涉密公文处理等场景## 执行规则（政务听话标准）- 所有操作先预览、再审批、后执行，无审批不执行- 执行前明确告知：操作内容、范围、风险、影响、审批流程- 执行后**完整反馈：成功/失败+结果+日志+审计编号+审批人- 异常立即终止、上报安全/保密团队，绝不盲目重试- 输出内容必须人工复核，确保合规、准确、无敏感信息## 沟通规范- 仅通过政务统一IM/办公系统交互，禁止外部渠道- 语言正式、严谨、合规，所有操作留痕可查- 敏感操作必须加密传输、双人确认

2. 用户配置（user.md政务版：分级授权、精准匹配）

markdown## 政务分级授权（RBAC，严格匹配政务职级）- 系统管理员：仅安全/保密/运维部门，负责配置、审批、审计- 处室负责人：部门级审批、任务管理权限- 普通政务人员：仅发起任务、查看结果，无审批/配置权限- 涉密人员：禁止使用OpenClaw处理涉密业务## 部门规则（示例：政务服务中心）- 仅允许访问：`/政务数据/公开数据`、`/openclaw/workspace`- 禁止操作：删除数据、修改系统配置、导出未脱敏数据- 审批流程：所有操作→经办人→处室负责人→保密岗三级审批- 日志留存：365天，对接政务安全审计平台## 通用偏好- 优先政务IM通知，重要操作短信+政务邮箱双告警- 复杂任务分步骤执行，每步审批- 每日生成安全审计简报，上报保密/安全部门

3. 政务训练方法（让它“懂政务、守规矩”）

（1）指令标准化（政务黄金法则）

• ❌ 错误：“帮我处理政务数据”
• ✅ 正确：“帮我从/政务数据/公开数据提取2026年Q1政务服务数据，仅读取、不修改、不删除、不导出，生成合规汇总表，提交经办人→处室负责人→保密岗三级审批后，发送至指定政务邮箱”。
• 要求：明确范围、权限、审批、结果、禁止项、合规要求，全程合规。

（2）分级审批机制（政务核心听话保障）

• 低危操作（查询、统计）：单人审批。
• 中危操作（移动、复制）：处室负责人审批。
• 高危操作（导出、修改、删除）：三级审批（经办人+处室+保密岗）。
• 系统强制：无审批ID，OpenClaw拒绝执行。

（3）记忆与学习（政务级可控）

• 仅记忆政务规则、业务流程、审批路径、合规要求，不记忆敏感数据。
• 定期清理临时记忆，保留合规规则库。
• 错误操作立即纠正并永久禁止，纳入政务规则库。

三、政务技能生态：安全、合规、可管控（能干且安全）

1. 技能准入标准（政务级）

• 仅官方/政务认证技能：禁止第三方/未知来源技能，所有技能需经安全审计、源码审查、漏洞扫描、合规评估。
• 最小权限技能：技能仅申请必需权限，禁止过度授权，运行于独立沙箱。
• 政务技能库：建立政务内部技能仓库，统一管理、版本控制、自动更新。

2. 推荐政务级安全技能（必装）

bash运行# 政务级安全技能（仅装必要）openclaw skill install gov-audit gov-rbac data-redaction approval-workflow gov-complianceopenclaw skill enable gov-audit gov-rbac data-redaction approval-workflow gov-compliance# 禁用危险技能openclaw skill disable shell-exec browser-network file-delete data-export

• gov-audit：政务级审计、日志上报、对接政务安全平台
• gov-rbac：政务分级权限管理、角色控制
• data-redaction：敏感数据自动脱敏、打码、合规处理
• approval-workflow：政务多级审批流程自动化
• gov-compliance：政务合规检查、风险预警、政策同步

四、政务监控与审计：全程可视、可管、可溯（合规保障）

1. 监控体系（政务实时管控）

• 政务监控平台：对接政务云监控、Prometheus+Grafana，监控CPU、内存、磁盘、网络、操作频率、异常行为。
• 告警机制：异常告警（越权访问、高危操作、未知指令、敏感数据接触），支持政务IM、短信、邮件、电话告警，立即上报安全/保密部门。
• SIEM集成：日志实时上报政务安全信息与事件管理系统，统一分析、预警、处置。

2. 审计体系（政务合规核心）

• 全链路日志：记录指令、思考、工具调用、数据访问、操作、审批、结果，不可篡改、可追溯到人。
• 定期审计：每日安全简报、每周合规审计、每月风险评估、每季度第三方审计，生成审计报告。
• 责任追溯：所有操作关联操作人、审批人、时间、IP、政务身份，可追溯到具体责任人。
• 合规备案：审计报告作为政务人工智能合规备案重要依据，留存≥3 年。

五、政务落地Checklist（可直接执行）

1. 部署阶段

• 政务内网/政务云容器化部署，与核心系统深度隔离。

• 配置防火墙+白名单，禁止公网暴露。

• 开启严格沙箱+最小权限+三级审批。

• 配置全链路审计+对接政务安全平台。

• 完成等保三级/涉密分级保护测评。

• 完成安全评估+算法备案。

2. 配置阶段

• 编写政务级soul.md（红线+规则+审批+合规）。

• 配置user.md（分级授权+部门规则+政务身份）。

• 安装政务认证安全技能，禁用危险技能。

• 配置监控+告警+审计体系。

3. 运营阶段

• 建立OpenClaw政务安全使用规范+上线审批流程。

• 定期安全审计+漏洞扫描+技能更新+政策同步。

• 政务人员安全培训+异常上报机制。

• 数据备份+灾备方案+应急处置预案。

• 年度合规审查+备案更新。

六、总结：政务安全听话小龙虾核心

1. 安全锁死：零信任+强隔离+最小权限+三级审批+全审计+合规备案。
2. 听话可控：政务级规则+分级授权+标准化指令+人工复核+及时反馈。
3. 合规可溯：全程留痕+政务审计+责任追溯+定期审查。
4. 政务适配：信创+等保+保密+政务身份认证+合规技能。

按此方案，OpenClaw将成为政府安全合规、听话可控、高效执行的政务数字助手，适配所有政务场景，严守安全与合规底线。

第二篇  企业

头部企业级OpenClaw部署核心是安全合规、权限强控、可审计、可扩展、可管理，实现“绝对听话、绝不越权、全程留痕、合规可溯”，适配金融、政务、制造、互联网等强监管与高安全要求场景。

一、企业级安全底座：零信任+隔离+强管控（安全根基）

1. 部署架构（企业级标准）

• 隔离部署：采用Docker/K8s容器化+私有云/本地服务器部署，与生产系统、核心数据物理/逻辑隔离，禁止直接暴露公网。
• 网络管控：配置企业级防火墙，仅开放必要端口；白名单机制，仅允许访问指定内网服务、可信API与模型服务，阻断所有未知外联。
• 高可用架构：多节点集群+负载均衡（Nginx/HAProxy）+健康检查+跨可用区部署，保障7×24小时稳定运行。

2. 安全四铁律（强制执行）

• 最小权限：所有操作仅授予完成任务必需权限，绝对禁止root/管理员权限运行，采用普通业务账号。
• 强隔离：进程级沙箱（OpenShell/Nvidia NemoClaw）+文件系统白名单+网络隔离，禁止越权访问核心目录（如/etc、~/.ssh、财务/机密目录）。
• 全链路审计：所有指令、思考、工具调用、数据访问、操作执行全程留痕，不可篡改、可追溯。
• 人工审批：高危操作（删除、修改、执行命令、数据导出）必须双人/多级审批，无审批不执行。

3. 核心安全配置（config.json企业版）

json{"gateway":{"bind":"127.0.0.1","allowExternal":false,"apiKey":"企业级强密钥","auth":"jwt+ldap"},"security":{"confirmDangerousOps":true,"approvalLevel":"double","sandbox":{"mode":"strict","allowedPaths":["/data/openclaw/workspace"],"denylist":["/etc","/root","~/.ssh","/财务数据","/核心代码"]},"tools":{"exec":{"approvals":"mandatory"},"file":{"approvals":"mandatory","write":false},"browser":{"approvals":"ask","network":"trusted-only"},"elevated":{"allow":false}}},"logging":{"auditLog":true,"redactSensitive":"all","persist":"365d","siemIntegration":true}}

二、企业级听话调教：规则+身份+记忆+审批（听话核心）

1. 灵魂配置（soul.md企业版：定红线、立规矩）

markdown## 核心身份（企业级）你是【企业名称】专属AI智能体，代号“小龙虾”，**仅服务授权员工**，严格遵守企业安全与合规制度，**绝对不越权、不泄密、不违规**。## 绝对禁止（企业红线，违者立即终止）1. 禁止访问/修改/删除企业核心数据、财务数据、客户隐私、代码仓库、系统配置2. 禁止执行sudo/root命令、禁止提权、禁止绕过沙箱3. 禁止自动发送邮件/消息、禁止数据外发、禁止访问外网非白名单地址4. 禁止处理模糊/违规指令，直接回复“无法执行”并上报安全部门5. 禁止记忆/存储敏感信息（密码、密钥、客户数据），所有数据临时缓存，任务结束自动清除## 执行规则（听话标准）- 所有操作**先预览、再审批、后执行**，无审批不执行- 执行前明确告知风险、范围、影响，获取书面/系统审批- 执行后**完整反馈**：成功/失败+结果+日志+审计编号- 异常立即终止、上报安全团队，绝不盲目重试## 沟通规范- 仅通过企业IM（飞书/钉钉/企业微信）交互，**禁止外部渠道**- 语言正式、简洁、无废话，所有操作留痕可查- 敏感操作必须加密传输、双人确认

2. 用户配置（user.md企业版：分级授权、精准匹配）

markdown## 企业分级授权（RBAC）- 管理员：全量配置、审批、审计权限（仅安全/IT部门）- 业务负责人：部门级审批、任务管理权限- 普通员工：仅发起任务、查看结果，无审批/配置权限## 部门规则（示例：财务部）- 仅允许访问：`/财务/OpenClaw工作区`、`/报表/归档`- 禁止操作：删除财务数据、修改凭证、自动发送报表- 审批流程：所有财务操作→部门负责人→安全岗双人审批- 日志留存：365天，对接企业SIEM系统## 通用偏好- 优先企业IM通知，重要操作短信+邮件双告警- 复杂任务分步骤执行，每步审批- 每日生成安全审计简报，上报安全部门

3. 企业级训练方法（让它“懂业务、守规矩”）

（1）指令标准化（企业级黄金法则）

• ❌ 错误：“帮我处理数据”
• ✅ 正确：“帮我从/数据/销售目录提取 2026 年Q1数据，仅读取、不修改、不删除，生成汇总表，提交部门负责人+安全岗审批后，发送至指定邮箱”
• 要求：明确范围、权限、审批、结果、禁止项，全程合规。

（2）分级审批机制（核心听话保障）

• 低危操作（查询、统计）：单人审批。
• 中危操作（移动、复制）：部门负责人审批。
• 高危操作（删除、修改、导出）：双人/多级审批（业务+安全）。
• 系统强制：无审批ID，OpenClaw拒绝执行。

（3）记忆与学习（企业级可控）

• 仅记忆合规规则、业务流程、审批路径，不记忆敏感数据。
• 定期清理临时记忆，保留合规规则库。
• 错误操作立即纠正并永久禁止，纳入企业规则库。

三、企业级技能生态：安全、合规、可管控（能干且安全）

1. 技能准入标准（企业级）

• 仅官方/企业认证技能：禁止第三方/未知来源技能，所有技能需经安全审计、源码审查、漏洞扫描。
• 最小权限技能：技能仅申请必需权限，禁止过度授权，运行于独立沙箱。
• 合规技能库：建立企业内部技能仓库，统一管理、版本控制、自动更新。

2. 推荐企业级安全技能（必装）

bash运行# 企业级安全技能（仅装必要）openclaw skill install enterprise-audit rbac-manager data-redaction approval-workflowopenclaw skill enable enterprise-audit rbac-manager data-redaction approval-workflow# 禁用危险技能openclaw skill disable shell-exec browser-network file-delete

• enterprise-audit：企业级审计、日志上报、SIEM 对接
• rbac-manager：分级权限管理、角色控制
• data-redaction：敏感数据自动脱敏、打码
• approval-workflow：多级审批流程自动化

四、企业级监控与审计：全程可视、可管、可溯（合规保障）

1. 监控体系（实时管控）

• Prometheus+Grafana：监控CPU、内存、磁盘、网络、操作频率、异常行为。
• Alertmanager：异常告警（越权访问、高危操作、未知指令），支持短信、邮件、企业IM、电话告警。
• SIEM 集成：日志实时上报企业安全信息与事件管理系统，统一分析、预警、处置。

2. 审计体系（合规核心）

• 全链路日志：记录指令、思考、工具调用、数据访问、操作、审批、结果，不可篡改。
• 定期审计：每日安全简报、每周合规审计、每月风险评估，生成审计报告。
• 责任追溯：所有操作关联操作人、审批人、时间、IP，可追溯到人。

五、头部企业实践方案（标杆参考）

1. 腾讯（WorkBuddy/QClaw企业版）

• 方案：本地+云端双部署，企业微信深度集成，分级权限+审批流+全审计。
• 核心：社交生态赋能，1分钟连接企业微信，内置20+企业级安全技能，覆盖办公自动化、数据处理、合规审计。
• 安全：沙箱隔离、数据本地优先、敏感信息脱敏、全程留痕。

2. 阿里云（CoPaw/JVS Claw企业版）

• 方案：云原生 + 本地混合部署，钉钉原生适配，国产化模型+安全管控。
• 核心：三条命令极简部署，支持大规模集群，适配金融、政务、制造等行业合规要求。
• 安全：云盾防护、最小权限、网络隔离、审计日志留存3年。

3. 字节跳动（ArkClaw 火山引擎企业版）

• 方案：云端 SaaS+本地私有部署，飞书深度集成，7×24小时在线，企业级安全管控。
• 核心：开箱即用，无需本地安装，飞书插件一键接入，覆盖内容生产、办公自动化、数据处理。
• 安全：火山引擎安全防护、数据加密、权限分级、全链路审计。

4. Nvidia（NemoClaw企业级安全增强）

• 方案：OpenClaw+NemoClaw安全栈，进程级沙箱（OpenShell）+策略管控+本地模型部署。
• 核心：为企业提供隐私与安全基础设施，支持策略化文件/网络/数据管控，适配生产数据处理。
• 安全：进程隔离、策略驱动、本地优先、敏感数据不出域。

六、企业级落地 Checklist（可直接执行）

1. 部署阶段

• 容器化/K8s 部署，与生产系统隔离。
• 配置防火墙+白名单，禁止公网暴露。
• 开启严格沙箱+最小权限+人工审批。
• 配置全链路审计+SIEM集成。

2. 配置阶段

• 编写企业级 soul.md（红线+规则+审批）。
• 配置 user.md（分级授权+部门规则）。
• 安装企业认证安全技能，禁用危险技能。
• 配置监控+告警+审计体系。

3. 运营阶段

• 建立OpenClaw安全使用规范+上线审批流程。
• 定期安全审计+漏洞扫描+技能更新。
• 员工安全培训+异常上报机制。
• 数据备份+灾备方案。

七、总结：企业级安全听话小龙虾核心

1. 安全锁死：零信任+隔离+最小权限+强审批+全审计。
2. 听话可控：企业级规则+分级授权+标准化指令+及时反馈。
3. 合规可溯：全程留痕+SIEM集成+责任追溯+定期审计。
4. 可扩展：企业级技能库+集群部署+高可用+生态集成。

按此方案，OpenClaw将成为企业安全合规、听话可控、高效执行的数字员工，适配头部企业所有高安全、强监管场景。

第三篇  个人

个人养一只安全又听话的OpenClaw（小龙虾），核心是：先锁死安全边界（最小权限+沙箱+不暴露公网），再用规则调教听话（指令明确+人工审批 + 记忆反馈），全程可审计、可回滚。

一、安全锁死：从安装到运行，杜绝 “裸奔”

1. 安装与运行：源头安全

• 只装官方版：从 github.com/Amantus-Machina/openclaw 或 npm 官方源安装，拒绝第三方修改版 / 破解版。
• 普通用户运行：绝对不用管理员 /root 权限启动，用你日常的标准用户账户运行。
• 本地优先，绝不公网暴露

  bash运行# 强制绑定本机，禁止外部访问openclaw config set gateway.bind 127.0.0.1openclaw config set gateway.allowExternal false

  严禁端口映射、UPnP、公网 IP 绑定。
• 容器 / 虚拟机隔离（推荐）：用Docker或虚拟机运行，与主机系统完全隔离。

2. 权限与沙箱：最小够用，绝不越界

• 专属工作区：创建一个专用目录（如 ~/OpenClaw_Workspace），只允许它在这个目录读写。
• 严格沙箱配置（config.json）

  json"sandbox":{"mode":"strict","allowedPaths":["~/OpenClaw_Workspace"],"denylist":["~/.ssh","/etc","/系统目录","~/Documents/财务","~/密码文件"]}

• 高危操作必须人工确认

  json"security":{"confirmDangerousOps":true,"tools":{"exec":{"approvals":"ask"},"file":{"approvals":"ask","delete":false},"browser":{"approvals":"ask","network":"trusted-only"},"elevated":{"allow":false}}}

  删除、修改、执行命令、联网操作，必须你手动确认才执行。

3. 日志与审计：全程留痕，出问题可查

json"logging":{"auditLog":true,"redactSensitive":"all",// 自动脱敏密码、密钥"persist":"90d","rotate":true}

• 查看日志：openclaw log
• 安全体检：openclaw security audit --fix（自动修复权限）

4. 技能安全：只装可信，拒绝投毒

• 只装官方 / 社区验证技能

  bash运行# 个人常用安全技能（够用即可）openclaw skill install note-taker scheduler file-organizer clipboard vault# 禁用危险技能openclaw skill disable shell-exec browser file-delete

• 不装未知来源技能，不装 “自动交易/点赞/挖矿” 类灰色技能。

二、调教听话：让它“懂规矩、守边界、听指挥”

1. 灵魂配置（soul.md：定身份、立红线）

路径：~/.openclaw/workspace/soul.md

markdown## 核心身份（听话基础）你是我的专属AI助理，代号“小龙虾”。只服务我一人*，严格遵守以下规则，绝不越权、绝不泄密。## 绝对禁止（红线，不可突破）1. 禁止访问/修改/删除系统文件、`~/.ssh`、财务/密码/隐私目录2. 禁止执行管理员/root命令、禁止提权3. 禁止自动发邮件/消息、禁止数据外发、禁止访问非白名单网站4. 禁止处理模糊/危险指令，直接回复“无法执行”并说明原因5. 禁止记忆/存储敏感信息（密码、密钥、隐私数据）## 执行规则（听话标准）- 所有操作**先预览、再确认、后执行**，无确认不执行- 执行前明确告知：做什么、范围、风险、结果- 执行后清晰反馈：成功/失败 + 结果 + 日志- 遇到不确定，**立即询问**，绝不盲目执行## 沟通风格简洁、直接、无废话，只讲事实，不搞花里胡哨。

作用：从底层定义“什么能做、什么绝对不能做”，是听话的根基。

2. 用户配置（user.md：让它 “认识你、记习惯”）

markdown## 主人信息- 称呼：老板- 工作区：`~/OpenClaw_Workspace`（仅允许访问此目录）- 常用工具：文件整理、定时提醒、笔记管理、剪贴板- 雷区：禁止删除任何文件、禁止修改系统配置、禁止自动发消息## 偏好- 优先桌面通知- 复杂任务分步骤执行，每步确认- 所有操作必须预览+确认- 每日18:00发当日操作简报

作用：减少重复沟通，让它按你的习惯执行，更 “听话”。

3. 训练听话：实战方法（越训越乖）

（1）指令黄金法则（让它听懂、不跑偏）

• ❌ 错误：“帮我整理文件”
• ✅ 正确：“帮我把 ~/Downloads 中超过7天的文件，只移动、不删除，到 ~/OpenClaw_Workspace/归档，完成后发我清单，我确认后再执行。”
• 要求：具体、明确、有边界、有结果、有禁止项。

（2）先定规则，再下任务

每次复杂任务前，重申边界：

“帮我整理桌面，但禁止删除、禁止修改系统文件，只移动到工作区，完成后发我预览，我确认后再执行。”

（3）及时反馈（越训越听话）

• 做对：“很好，以后按这个流程执行，永久记住。”
• 做错：立即纠正：“这个不对，应该……，禁止再这样做，永久记住。”
• OpenClaw会将反馈存入记忆，下次自动遵守。

（4）定期 “清脑”（保持状态）

bash运行# 清理30天前无用记忆openclaw memory clean --before 30d# 重启服务openclaw restart

避免记忆混乱、卡顿，保持 “听话” 状态。

三、日常运维：安全听话双保险（每日/每周必做）

每日

1. 安全体检：openclaw security audit（检查权限、沙箱、暴露风险）。
2. 日志审计：查看 openclaw log，确认无异常操作。
3. 技能检查：openclaw skill list，禁用非必要技能。

每周

1. 更新版本：npm install -g openclaw@latest（及时修复漏洞）
2. 备份工作区：openclaw backup create --full（防止数据丢失）
3. 清理记忆：openclaw memory clean --before 30d

绝对禁止清单（安全红线）

• ❌ 禁止用管理员 /root 运行
• ❌ 禁止公网暴露网关（0.0.0.0）
• ❌ 禁止关闭沙箱（sandbox.mode=off）
• ❌ 禁止关闭危险操作确认（confirmDangerousOps=false）
• ❌ 禁止安装未知来源技能
• ❌ 禁止授予全目录访问权限

四、常见问题：不听话/不安全怎么办？

• 听不懂指令：指令更具体，加示例、加禁止项、加确认要求。
• 越权操作：强化soul.md红线，并在对话中反复强调，永久禁止。
• 执行错误：及时纠正，让它记住正确流程，永久记忆。
• 安全告警：立即停止服务，检查配置、日志，修复后再启动。

五、总结：个人安全听话小龙虾核心

1. 安全锁死：本地运行+最小权限+严格沙箱+人工审批+强审计+官方技能。
2. 听话调教：soul.md（红线）+user.md（习惯）+清晰指令+及时反馈。
3. 日常运维：定期体检、审计、备份、更新。

按这套方法，你的OpenClaw会成为安全可控、随叫随到、绝不越权的高效个人数字助手。