Về trang chủ
🔐
Bảo Mật Cơ Bản
OpenClaw có thể đọc tệp, chạy lệnh và kết nối dịch vụ bên ngoài, nên mặc định bảo mật rất quan trọng từ ngày đầu.
Tăng cường bảo mật
openclaw doctor --fix
openclaw security audit --deep
chmod 700 ~/.openclaw
chmod 600 ~/.openclaw/openclaw.json
chmod 700 ~/.openclaw/credentialsChính sách — Config
security: {
dmPolicy: "pairing",
groupPolicy: "allowlist",
sandboxEnabled: true,
trust_model: {
multi_user_heuristic: true // MỚI
}
}🔍 Kiểm tra kỹ năng
- Cờ đỏ: curl|bash, base64, bỏ qua Gatekeeper
pip install cisco-ai-skill-scanner- Kiểm tra Unicode zero-width trong SKILL.md
- Không tự động cập nhật kỹ năng
- Sandbox chặn thoát qua hardlink alias
- v2026.3.12: Workspace plugin auto-load bị tắt — cần trust rõ ràng
🔒 Lệnh Chỉ Chủ Sở Hữu v2026.3.12
/config và /debug giờ yêu cầu quyền chủ sở hữu. Người gửi được ủy quyền không phải chủ sở hữu không thể truy cập các bề mặt này.
🔗 DM Pairing — Bảo mật nhắn riêng
Mặc định, OpenClaw yêu cầu DM pairing trước khi chấp nhận tin nhắn từ kênh mới. Ngăn người lạ spam bot.
DM Pairing policy
// ~/.openclaw/openclaw.json
{
"security": {
"dmPolicy": "pairing", // pairing | open | deny
"pairingTimeout": 300, // giây chờ xác nhận
"requireOwnerApproval": true
}
}🐳 Docker Sandbox Per-Session
Mỗi phiên chat chạy trong Docker container riêng — cách ly hoàn toàn, tự hủy sau khi kết thúc.
Docker sandbox config
// ~/.openclaw/openclaw.json
{
"sandbox": {
"enabled": true,
"runtime": "docker",
"perSession": true,
"image": "openclaw/sandbox:latest",
"limits": {
"memory": "512m",
"cpu": "0.5",
"timeout": 300
}
}
}🛡️ Gateway Auth Modes
3 chế độ xác thực gateway:
| Chế độ | Mô tả |
|---|---|
| token | Bearer token trong header — đơn giản nhất |
| tailscale | Xác thực qua Tailscale identity — không cần token |
| mtls | Mutual TLS — bảo mật cao nhất cho production |
📖 Chi tiết: docs.openclaw.ai/gateway/security
Thêm ghi chú bảo mật
- Browser SSRF giờ mặc định trusted-network
- Phát hiện obfuscation thực thi trước allowlist
- HSTS cho triển khai HTTPS trực tiếp