夜雨聆风目录
第一部分:小龙虾安全事件如雨后春笋,家人们长点心吧! 6
1.1 爆火一周,翻车三周——这剧情我熟 6
1.2 小白踩坑实录:峰哥亲眼见过的蠢操作 6
1.3 为什么这事儿这么严重? 7
第二部分:扒开小龙虾的“肚子”,看看它为啥这么“脆” 7
2.1 设计原理:它就是个“超级管家”,但没装防盗门 7
2.2 三大致命缺陷,让它“天生不安全” 8
1:权限给得太豪爽,违背“最小权限原则” 8
2:自动化执行,错了都来不及喊停 8
3:架构像“长管道”,一环破,全盘输 9
第三部分:手把手!个人用户小龙虾安全加固指南(小白也能懂) 9
3.1 信息系统安全体系10
3.2 环境准备:物理安全 11
1. 部署环境选择,虚拟机、容器、物理机?* 11
2. 创建专业用户,别用管理员! 12
3. 网络设置(防火墙控制可访问端口) 12
4. 安装包准备(必须装最新版!)* 15
5. 多套小龙虾部署规划(可选) 16
3.3 核心安全配置(修改openclaw.json 文件) 16
1. 系统用户权限配置(别用管理员!权限最小化) 16
2. 网络隔离,只允许本地访问(必须改!)* 17
3. 修改默认端口+ 防火墙* 18
4. 启用认证设置强Token 18
5. 控制tools 权限(核心中的核心!)*** 20
6. 配置会话隔离级别(防“记忆污染”) 24
3.4 文件系统与插件加固 24
1. 敏感信息别写配置文件!(血泪教训) 24
2. 插件严格管理(白名单配置,能不装就不装!) 26
3. 大模型选用策略(多个大模型协同) 28
4. 路径访问控制(关进“笼子”里)**** 30
5. Skill 安全审计(必须做!) 32
6. 请求速度限制(防滥用) 34
7. 开启审计日志(留证据!) 36
8. Agent 启用沙箱(终极隔离) 37
9. 聊天接头暗号控制(进阶玩法) 39
3.5 运行维护:安全是持续的过程 40
1. 定期审计(每月至少一次) 40
2. 定期备份(别等丢了才哭) 41
3. 健康检查(openclaw 自带医生) 43
4. 浏览器安全配置(不用时关掉) 45
5. 制定应急预案(出事不慌) 46
第四部分:企业级加固方案(老板们必看) 52
4.1 企业面临的特殊风险 52
4.2 企业级openclaw 安全防御体系 52
1. 边界防护类(阻断外部攻击、隔离风险域) 53
(1)业务级防火墙 53
(2)管理防火墙 54
(3)IPS(入侵防御系统) 54
(4)WEB 应用防火墙(WAF) 54
(5)抗DDOS 55
(6)负载均衡器 55
2. 管理与审计类(身份管控、操作留痕、责任可追溯) 55
(1)堡垒机 55
(2)日志审计 56
(3)态势感知(SOC/安全运营中心) 56
3. 终端与应用安全类(主机加固、恶意代码防护、行为管控) 57
(1)EDR(终端检测与响应)/防病毒 57
(2)漏洞扫描 57
4. 流量与数据安全类(流量采集、回溯、传输加密) 58
(1)AP 交换机 58
(2)流量回溯 58
(3)SSL VPN 59
5. 国密与密码类(数据加密、身份认证、合规必备) 59
(1)加密机 59
(2)签名验签服务器 59
(3)时间戳服务器 60
(4)数字证书认证系统(CA) 60
6. 物理与基础支撑类(物理安全、时间同步、跨域隔离) 61
(1)国密门禁系统 61
(2)国密视频监控系统 61
(3)NTP(网络时间协议)服务器 61
(4)光闸(单向导入/导出)62
7. 等保与密评(合规底线,强制要求) 62
(1)等保(网络安全等级保护) 62
(2)密评(商用密码应用安全性评估) 63
4.3 部署openclaw 前,企业快速检查清单 63
第五部分:未来展望与终极建议 64
5.1 技术发展趋势 64
5.2 峰哥的终极建议 64
5.3 最后的真心话 65
