為何磁碟與 shell 需要生產預設
生產代理在無人值守迴圈中呼叫工具,模型可能受不可信內容誘導;workspaceAccess 應如防火牆:顯式根目錄與拒絕規則,避免預設暴露 $HOME。shell 繼承環境,讀碟洩露結構,寫入可改設定與相依性,錯誤自動化可跨重啟駐留。
最小權限含 Unix 權限與產品策略:誰可寫、誰唯讀、誰需人工確認;設定檔與手冊一致方能在事故時快速執行。寬鬆 JSON 常被複製到 CI 與客戶閘道,須程式碼審查與發布門檻。
多團隊共用建置機時,獨立系統使用者或根目錄可降低互窺風險;監控被拒路徑與 shell 頻率可早於使用者發現異常。TLS 與管理面收斂見 反向代理指南;重大變更配合維護窗與 回滾快照。
典型痛點
痛點一:閘道使用者權力過大。 能讀 .ssh、雲端 CLI 快取或瀏覽器設定時,任意讀檔工具都可能變成金鑰匯出通道。先收縮帳戶,再討論模型對齊。
痛點二:可寫工作區即供應鏈風險。 能改 package.json、shell 設定或閘道 JSON 時,持久化後門只需一次錯誤呼叫。唯讀研究代理與可寫發布代理必須拆分。
痛點三:shell 繞過高層意圖。 管線與下載組合可能超出審查範圍。記錄工作目錄、結束代碼並對高危命令設限。
痛點四:MCP 與原生工具可見範圍不一致。 子程序若繼承寬鬆環境,可能觸及檔案工具隱藏的路徑。權限或傳輸方式變更後應冷重啟,參考 MCP 子程序排查。
痛點五:doctor 綠燈但現實已漂移。 doctor 不能取代執行時期稽核。定期以合成提示詞嘗試禁止讀取,並在日誌核對拒絕紀錄。
威脅模型(白話)
預設使用者會貼上金鑰、模型會在重試中執行有害指令、代理會讀不可信網頁;控制須在此前提下成立。風險含機密性、完整性、可用性;遠端入口與本機動作鏈條相連,故 SSRF 向加固 與磁碟策略同一專案。專用自動化帳戶、無互動登入,配合 守護行程健康 維持可預期重啟。
工作區與命令姿態決策矩陣
| 姿態 | 優勢 | 維運成本 | 設定錯誤後果 | 適用情境 |
|---|---|---|---|---|
| 收窄 workspaceAccess 根 | 檔案工具爆炸半徑清晰 | 目錄調整需同步設定 | 建置失敗若排除過頭 | 單一儲藏庫自動化 |
| 唯讀工具設定 | 研究與排除更安全 | 需第二套發布設定 | 使用者抱怨無法寫碟 | 客服輔助類代理 |
| 依環境拆分系統使用者 | 金鑰隔離最徹底 | 多套單元與輪換 | 環境間設定漂移 | 多租戶或合規團隊 |
| shell 白名單或包裝器 | 阻斷意外管線 | 工具演進需維護清單 | 直譯器繞行風險 | 高風險生產叢集 |
| 試用沙箱寬鬆策略 | 新人上手快 | 必須有退役流程 | 誤升到生產 | 僅一次性學習機 |
為生產選定預設列,沙箱機允許暫時寬鬆,每季複盤:儲藏庫會持續長出新的敏感目錄。
操作步驟與設定範例
{
"workspaceAccess": {
"root": "/var/openclaw/work/crm-sync",
"allowReadGlobs": [
"/var/openclaw/work/crm-sync/**",
"/var/openclaw/shared/readme/**"
],
"denyGlobs": [
"**/.ssh/**",
"**/.aws/**",
"**/.config/gcloud/**",
"/var/openclaw/secrets/**"
]
},
"agents": {
"profiles": {
"readonly-triage": { "tools": { "shell": false, "fileWrite": false } },
"release-bot": { "tools": { "shell": "restricted", "fileWrite": true } }
}
}
}
欄位名隨發行版變化;機密走環境變數或保管庫。
步驟一至三 盤點路徑、縮根、拆分唯讀與發布設定。步驟四 冷重啟並 openclaw doctor,對照 閘道維運。步驟五至七 回放允許讀、拒讀、獲准寫(日誌去識別)、記錄回滾快照、以 allowAgents 限併發抑風暴。
量化護欄
為每個自動化統計每小時 shell 次數,設閾值貼合業務峰谷;倍增往往意味迴圈或注入。
單獨統計「路徑拒絕」與泛型工具錯誤,拒絕基線穩定是健康訊號,尖峰需優先調查。
將子程序數與檔案控制代碼與 CPU、記憶體同屏展示,MCP 或 shell 外洩常先體現於此。
建置卷監控剩餘空間,代理批次下載可能撐滿分割區;大型檔案目錄獨立掛載更安全。
日誌保留涵蓋兩輪發布;冷啟動耗時納入 SLO;每季指令碼掃描工作區內私鑰模式字串。
試用與生產及 doctor 階梯
試用與生產分離主機、根目錄與金鑰;勿將寬鬆 JSON 貼入客戶閘道。訓練複用維運階梯:狀態、程序、doctor、日誌;收緊權限選可冷重啟視窗。手冊寫明 shell 與唯讀邊界並連到 人機協同。閱讀順序:閘道 doctor、工作階段 allowAgents、MCP、本文、SSRF、TLS、回滾、守護行程。
閱讀順序提示: 先狀態與 doctor,再工作階段併發,再 MCP,再工作區硬化,最後對外信任與 TLS 邊緣。
術語表
workspaceAccess 宣告工具可見目錄;最小權限 僅授必要權利;shell 工具 暴露受控命令;唯讀設定 禁寫禁 shell;發布設定 允許受限寫入;冷重啟 清空子程序;doctor 靜態檢查;allowAgents 限工作階段工具;工作階段風暴 放大呼叫;設定漂移 實機與文件不一致;回滾快照 已知良好設定;託管遠端 Mac 平台維護 Apple 節點兼 SFTP 交付。
常見問題與託管 Mac 銜接
doctor 通過是否代表模型無法越權讀碟?
否。需作業系統權限、獨立帳戶、稽核與合成拒絕測試共同驗證。
試用與生產能否共用系統使用者?
不建議;若必須,生產側須更嚴 workspaceAccess 與獨立金鑰。
MCP 服務如何納入最小權限?
視每個子程序為獨立信任域,傳輸或權限變更後冷重啟,詳見 MCP 排查文。
小結: workspaceAccess 與命令範圍屬生產安全控制,沿用狀態、doctor、日誌分層。SFTPMAC 託管遠端 Mac 降低自建閘道與檔案投遞雙棧維運成本。
若需在合規檔案傳輸與長期線上閘道之間取得平衡,可了解 SFTPMAC 託管遠端 Mac 方案。