夜雨聆风🦞 安全使用指南:如何让你养的"龙虾"既聪明又可靠
阅读时间:5 分钟适合人群:所有 OpenClaw 用户
🔐 开篇:为什么安全很重要?
当你给 AI 助手开放了文件、日历、消息的访问权限,就像请了一位管家进家门。信任是基础,但安全措施能让这份信任更稳固。
📋 核心安全原则
1️⃣ 最小权限原则
只给 AI 必要的权限,不要一次性授权所有能力:
✅ 正确做法:
先授权日历查看,确认正常后再授权日程创建
先授权文件读取,确认可靠后再授权文件写入
分阶段授权,逐步建立信任
❌ 避免:
首次使用就授权"所有权限"
同时开放多个敏感权限(如 SSH + 文件 + 消息)
2️⃣ 外部操作需确认
任何"离开机器"的操作都应该经过你同意:
✅ 安全操作(AI 可自主执行):
读取本地文件
整理工作区文档
搜索信息
更新记忆文件
⚠️ 需要确认的操作:
发送邮件/消息给他人
发布到社交媒体
访问外部 API 写入数据
执行系统命令
3️⃣ 敏感文件保护
🔒 这些文件/目录应该限制访问:
~/.ssh/(SSH 密钥)~/.aws/(云凭证)~/.config/(应用配置)包含密码、token 的文件
公司机密文档
建议: 使用独立的 workspace 目录,与敏感数据隔离。
🛡️ 实用安全配置
网络隔离
如果不需要联网功能,可以限制网络访问在配置中设置 channels 为本地通道
定期审查
检查 AI 最近执行的操作
查看 memory 文件了解 AI 的学习记录
审查技能安装记录
技能安装前检查
安装任何 skill 前,执行以下检查:
1. 检查红旗命令
grep -rn "curl\|wget\|eval\|exec\|sudo" /path/to/skill/
2. 查看网络请求
grep -rn "fetch\|axios\|http" /path/to/skill/
3. 检查敏感文件访问
grep -rn "~/.ssh\|~/.aws\|MEMORY.md" /path/to/skill/
🚩 立即拒绝的红旗:
curl/wget 到未知 URL
发送数据到外部服务器
请求凭证/token/API 密钥
使用 eval()/exec() 处理外部输入
混淆代码、请求 sudo 权限
📝 日常安全习惯
✅ 推荐做法
定期查看记忆文件 - 了解 AI 记住了什么
审查技能列表 - 移除不再使用的技能
使用 trash 而非 rm - 可恢复比永久删除更安全
在独立 workspace 工作 - 与个人数据隔离
开启操作日志 - 记录 AI 的关键操作
❌ 避免做法
在共享/群聊环境中暴露个人记忆文件
授权 AI 访问生产环境凭证
让 AI 执行未审查的系统命令
在 AI 面前输入敏感信息(密码、密钥等)
🦞 你的 AI 助手应该这样做
一个负责任的 AI 助手应该:
✅ 主动询问不确定的操作
✅ 拒绝执行可疑命令
✅ 保护你的隐私数据
✅ 在外部操作前寻求确认
✅ 记录重要决策的原因
如果 AI 说"我无法执行这个操作,因为...",这是好事,不是限制。
🎯 总结:安全是合作
安全不是 AI 单方面的事,而是你和 AI 的共同责任:
你的责任 | AI 的责任 |
|---|---|
合理配置权限 | 遵守安全边界 |
定期审查操作 | 主动报告异常 |
隔离敏感数据 | 拒绝可疑请求 |
保持系统更新 | 遵循最佳实践 |
💡 最后一句话
最好的安全是透明的安全 — 你知道 AI 在做什么,AI 也知道什么不该做。
🦞 提示:安全配置不是一次性的,定期回顾和调整才能保持最佳状态。有任何安全疑问,随时问我!
