Как обеспечить безопасность OpenClaw?

Безопасность AI-агента критически важна, особенно если бот обрабатывает чувствительные данные или имеет доступ к внешним сервисам.

Базовые правила:

1. Не запускайте от root. Создайте отдельного пользователя для OpenClaw. Это ограничит ущерб при компрометации.

2. Защитите API-ключи. Храните ключи в .env файле с правами 600 (только владелец). Никогда не коммитьте секреты в Git. Используйте переменные окружения в Docker.

3. Настройте файрвол. Откройте только необходимые порты: 22 (SSH), 80/443 (HTTP/HTTPS). Закройте порт Gateway (3000) от прямого доступа — пускайте трафик через reverse proxy.

4. Используйте HTTPS. Настройте SSL через Let's Encrypt + Nginx/Caddy. Мессенджеры (Telegram, WhatsApp) требуют HTTPS для webhook-ов.

5. Ограничьте скиллы. Каждый скилл запрашивает permissions при установке. Не устанавливайте скиллы из непроверенных источников. Проверяйте код скиллов перед установкой.

6. Rate limiting. Настройте ограничение запросов в конфигурации Gateway. Это защитит от спама и DDoS. По умолчанию: 30 сообщений в минуту на пользователя.

7. Whitelist пользователей. В конфигурации можно указать список разрешённых пользователей. Все остальные будут игнорироваться.

8. Регулярные обновления. Обновляйте OpenClaw, Node.js и ОС. Уязвимости исправляются в новых версиях.

OpenClaw имеет встроенную систему аудита — все действия скиллов логируются. Проверяйте логи регулярно.

# Создание пользователя:
sudo useradd -m -s /bin/bash openclaw
sudo -u openclaw openclaw init

# Настройка файрвола:
sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

# Rate limiting и whitelist:
openclaw config set security.rateLimit 30
openclaw config set security.whitelist telegram:123456,telegram:789012