夜雨聆风综合官方文档与社区实践,一文吃透 OpenClaw 工具权限体系——不止于配置模板,更讲清信任模型、审计机制和架构取舍。
为什么权限控制是 OpenClaw 的核心课题
OpenClaw 不是聊天机器人——它是一个拥有文件读写、命令执行、消息发送、浏览器控制等真实系统能力的 AI 助手平台。一次 prompt injection,如果权限没收住,就可能变成一次 rm -rf 或者一封发给老板的离谱邮件。
权限控制的本质问题:如何让 AI 足够强大又不越界?
我是 AI灵感闪现,使用 OpenClaw 小龙虾 让 AI 自主管理工作和生活上的问题;使用 Claude Code + BMAD AI 驱动敏捷开发框架,让 AI 自主开发和交付软件来表达想法和灵感。是 MoneyMind 省钱思维 App 和 HeartPetBond 心宠纽带 App 开发者。正在实践和分享让 AI 自主解决健康、生活、投资和等方面的问题。我尽可能让 AI 自己完成从目标到交付以及演进的闭环,以最少的人为交互与监督,让 AI 自己跑流程。我只给 AI 想法或目标,全程不陪跑,让 AI 自主运行类似 Tesla FSD 自动驾驶。
第一部分:信任模型——一切配置的前提
个人助手模型,不是多租户平台
这是最容易被忽略、也最重要的一点:
OpenClaw 的安全模型是个人助手模式——一个 Gateway 实例 = 一个信任边界。
这意味着:
一个 Gateway 内的所有使用者,共享同一套工具权限。不同 session 之间没有权限隔离, sessionKey是路由选择器,不是鉴权令牌。如果多人共用一个 bot(比如 Slack 群里所有人都能 @它),每个人都能触发该 agent 被允许的全部工具调用。 需要真正的用户隔离?拆分 Gateway——不同信任边界用不同的 Gateway 实例,最好跑在不同的 OS 用户甚至不同的主机上。
实际后果
第二部分:9 层权限安检模型
AI 每次调用工具(读文件、执行命令、发消息……),都要依次通过 9 道关卡,任意一关被拦截即终止。层级从粗到细:
┌─────────────────────────────────────────────────┐│ 第 1 层 全局 profile(基础权限套餐) ││ 第 2 层 按 AI 提供商的基础 profile ││ 第 3 层 全局 allow / deny(工具级黑白名单) ││ 第 4 层 按提供商的 allow / deny ││ 第 5 层 单个 agent 的权限策略 ││ 第 6 层 agent + 提供商联合限制 ││ 第 7 层 沙箱隔离权限 ││ 第 8 层 子 agent(subagent)专属权限 ││ 第 9 层 聊天群组 / 频道 / 发送者权限 │└─────────────────────────────────────────────────┘ ▼ 每一层只能收紧,不能放宽 ▼三条铁律
deny 不可逆 — 任意一层 deny 了某工具,后续所有层都无法恢复它 只能收紧 — 后层只会更严格,不会把前面禁掉的放回来 精细覆盖粗放 — agent 级配置覆盖全局,sender 级覆盖群组级
⚠️ 常见坑:在第 1 层用
deny: ["exec"]禁掉了命令执行,然后在第 5 层某个 agent 里allow: ["exec"]——无效,exec 已经死了。要改只能改第 1 层。
第三部分:四套基础权限套餐
tools.profile 是权限配置的起点,OpenClaw 提供 4 个预设:
minimal — 最小权限
{"tools":{"profile":"minimal"}}✅ 仅状态查询,无文件 / 命令 / 消息操作 适用:公开服务、演示环境、零信任场景
coding — 开发模式 ⭐ 最常用
{"tools":{"profile":"coding"}}✅ 文件读写、命令执行、会话管理、内存操作 适用:日常开发、运维、项目管理
messaging — 消息模式
{"tools":{"profile":"messaging"}}✅ 聊天会话相关操作 ❌ 不触碰系统文件和命令 适用:客服、消息推送、纯对话 bot
full — 全开模式
{"tools":{"profile":"full"}}⚠️ 无任何限制,仅管理员使用 官方推荐:先用 messaging 或 coding,按需放开
第四部分:精细权限配置实战
4.1 全局黑白名单
{"tools":{"allow":["group:fs"],"deny":["write","edit","apply_patch"]}}允许文件系统组工具,但禁止写入类操作 = 只读文件系统
工具组速查:
group:fs— 文件系统(read/write/edit/apply_patch)group:runtime— 运行时(exec/process)group:automation— 自动化(cron/gateway/browser)
4.2 按 AI 提供商差异化
{"tools":{"profile":"coding","byProvider":{"google-antigravity":{"profile":"minimal"},"openai/gpt-5.2":{"allow":["group:fs","sessions_list"]}}}}便宜 / 小参数模型收紧权限——小模型更容易被 prompt injection 操控,这是官方审计
models.small_params检查的原因。
4.3 多 agent 角色分权
{"agents":{"list":[{"id":"admin","tools":{"profile":"full"}},{"id":"developer","tools":{"profile":"coding"}},{"id":"viewer","tools":{"allow":["read"],"deny":["*"]}}]}}4.4 沙箱隔离
{"agents":{"list":[{"id":"public-bot","sandbox":{"mode":"all"},"tools":{"profile":"minimal","allow":["read"]}}]}}⚠️ 关键陷阱:配了
sandbox.docker但mode没设为"all"= 沙箱没生效。此时exec host=sandbox实际跑在 Gateway 主机上!官方审计会检查sandbox.docker_config_mode_off。
4.5 子 agent 权限
{"tools":{"subagents":{"tools":{"allow":["read","write","exec","process"],"deny":["gateway","cron","browser"]}}}}子 agent 默认已禁用会话操作,这里进一步锁掉控制面和自动化工具。
4.6 群组 / 频道 / 发送者级控制
{"channels":{"telegram":{"groups":{"*":{"tools":{"deny":["exec"]}},"-1001234567890":{"tools":{"deny":["exec","read","write"]},"toolsBySender":{"123456789":{"alsoAllow":["exec"]}}}}}}}全部群默认禁 exec → 特定群更严格 → 但群里某个特定用户放行 exec。这是第 9 层的完整能力。
第五部分:安全审计——不是可选项
定期跑审计
openclaw security audit # 基础审计openclaw security audit --deep # 深度审计(含 Gateway 实时探测)openclaw security audit --fix # 自动修复可修复项openclaw security audit --json # JSON 输出,适合自动化审计重点关注项(按严重程度排序)
gateway.bind_no_auth | ||
gateway.tailscale_funnel | ||
fs.state_dir.perms_world_writable | ||
sandbox.dangerous_network_mode | ||
security.exposure.open_groups_with_elevated | ||
tools.exec.security_full_configured | ||
tools.exec.auto_allow_skills_enabled | ||
sandbox.docker_config_mode_off | ||
tools.profile_minimal_overridden |
凭据存储位置
审计或备份时需要关注的路径:
~/.openclaw/credentials/whatsapp/<accountId>/creds.json # WhatsApp~/.openclaw/credentials/<channel>-allowFrom.json # 配对白名单~/.openclaw/agents/<agentId>/agent/auth-profiles.json # 模型认证~/.openclaw/secrets.json # 文件级密钥(可选)~/.openclaw/credentials/oauth.json # 遗留 OAuth第六部分:5 套生产级配置模板
模板 1:只读安全 AI
{"tools":{"allow":["read"],"deny":["exec","write","edit","apply_patch","process"]}}模板 2:安全开发 AI(可查不可改)
{"tools":{"allow":["read","exec","process"],"deny":["write","edit","apply_patch","browser","gateway"]}}模板 3:纯消息 AI
{"tools":{"profile":"messaging"}}模板 4:公开服务(沙箱 + 最小权限)
{"agents":{"list":[{"id":"public","sandbox":{"mode":"all"},"tools":{"profile":"minimal","allow":["read"]}}]}}模板 5:硬化基线(官方推荐起点)
{"gateway":{"mode":"local","bind":"loopback","auth":{"mode":"token","token":"替换为长随机字符串"}},"session":{"dmScope":"per-channel-peer"},"tools":{"profile":"messaging","deny":["group:automation","group:runtime","group:fs","sessions_spawn","sessions_send"],"fs":{"workspaceOnly":true},"exec":{"security":"deny","ask":"always"},"elevated":{"enabled":false}},"channels":{"whatsapp":{"dmPolicy":"pairing","groups":{"*":{"requireMention":true}}}}}这是官方文档给出的 60 秒硬化基线——先全锁,再按需放开。
第七部分:同类产品对比
| 定位 | ||||||
| 权限层级 | ||||||
| 多 agent | ||||||
| 沙箱 | ||||||
| 安全审计 | ||||||
| 渠道集成 | ||||||
| 信任模型 | ||||||
| 配置复杂度 | ||||||
| 适合谁 |
选型建议
需要多渠道+多 agent+精细权限 → OpenClaw 安全合规是硬性要求 → IronClaw(默认拒绝一切) 嵌入式 / 资源受限 → NanoClaw / PicoClaw 快速验证想法 → ZeroClaw / Nanobot OpenClaw 太复杂但需要主要功能 → ZeroClaw 入门,按需迁移
第八部分:未来演进方向
近期可预见
动态运行时审批扩展 — 当前仅 exec 有
ask模式,未来可能扩展到 browser、gateway、cron 等更多工具的运行时审批确认。审计持续化 — 从手动
openclaw security audit演进为后台持续监控 + 实时告警,配合 webhook 推送。权限策略热更新 — 修改权限配置后无需重启 Gateway 即刻生效。
中期趋势
条件化策略引擎 — 从静态 JSON allow/deny 演进为支持条件表达式的策略语言(时间段、IP 范围、调用频率等)。
per-user 权限边界 — 在不拆分 Gateway 的前提下实现用户级权限隔离,降低多人场景的运维成本。
跨 Gateway 联邦管理 — 对多实例集群场景,提供统一的权限策略分发和合规审计。
长期展望
RBAC / ABAC 模型 — 从工具级 allow/deny 演进为基于角色 / 属性的访问控制,与企业 IAM 体系对接。
审计日志合规导出 — 支持 SOC2 / ISO27001 等合规框架要求的审计日志格式。
AI 行为分析 — 基于历史调用模式检测异常工具使用行为(如突然大量 exec 调用)。
总结
OpenClaw 的权限控制体系在同类产品中是最完整的,9 层模型从全局到单个发送者全覆盖。核心认知:
先理解信任模型 — 个人助手 ≠ 多租户,共享 bot = 共享权限 deny 不可逆是设计选择 — 保证安全链只会收紧 从硬化基线出发 — 先全锁,按需放开,而不是全开再补限制 定期审计不是可选项 — openclaw security audit --deep应该成为运维习惯小模型 + 大权限 = 高危组合 — 模型能力越弱越容易被注入,权限要对应收紧
权限配置看似复杂,实际上就是一句话:从外到内、从粗到细、只紧不松。
基于 OpenClaw 官方安全文档(docs.openclaw.ai/gateway/security)及社区实践整理。最后更新:2026-03-29
全网首发?第一款 GLM 4.7 + Claude Code AI 自主开发的心宠纽带 App 首次通过 App Store 审核并上架发布
智谱 GLM 4.7 模型 AI 自主开发 HeartBetBond 心宠纽带 App,从想法到提交 App Store 仅用 12 天
实战测评:用 Claude Code + BMAD + GLM-4.7 打造 HeartPetBond App (心宠纽带)
加入 AI灵感闪现 微信群
长按下图二维码进入 AI灵感闪现 微信群
长按下图二维码添加微信好友 VibeSparking 加群
关注 AI灵感闪现 微信公众号
