为何磁盘与 shell 需要生产缺省
生产代理在无人值守循环中调用工具,模型可能受不可信内容诱导;workspaceAccess 应如防火墙:显式根目录与拒绝规则,避免默认暴露 $HOME。shell 继承环境,读盘泄露结构,写盘可改配置与依赖,错误自动化可跨重启驻留。
最小权限含 Unix 权限与产品策略:谁可写、谁只读、谁需人工确认;画像与手册一致方能在事故时快速执行。宽松 JSON 常被复制到 CI 与客户网关,须代码评审与发布门禁。
多团队共享构建机时,独立系统用户或根目录可降低互窥风险;监控被拒路径与 shell 频率可早于用户发现异常。TLS 与管理面收敛见 反向代理指南;重大变更配合维护窗与 回滚快照。
典型痛点
痛点一:网关用户权力过大。 能读 .ssh、云 CLI 缓存或浏览器配置时,任意读文件工具都可能变成密钥导出通道。先收缩账户,再讨论模型对齐。
痛点二:可写工作区即供应链风险。 能改 package.json、shell 配置或网关 JSON 时,持久化后门只需一次错误调用。只读调研代理与可写发布代理必须拆分。
痛点三:shell 绕过高层意图。 管道与下载组合可能超出评审范围。记录工作目录、退出码并对高危命令设限。
痛点四:MCP 与原生工具可见范围不一致。 子进程若继承宽松环境,可能触及文件工具隐藏的路径。权限或传输方式变更后应冷重启,参考 MCP 子进程排查。
痛点五:doctor 绿灯但现实已漂移。 doctor 不能替代运行时审计。定期用合成提示词尝试禁止读取,并在日志核对拒绝记录。
威胁模型(白话)
预设用户会粘贴密钥、模型会在重试中执行有害指令、代理会读不可信网页;控制须在此前提下成立。风险含机密性、完整性、可用性;远程入口与本地动作链条相连,故 SSRF 向加固 与磁盘策略同一项目。专用自动化账户、无交互登录,配合 守护进程健康 维持可预期重启。
工作区与命令姿态决策矩阵
| 姿态 | 优势 | 运维成本 | 配置错误后果 | 适用场景 |
|---|---|---|---|---|
| 收窄 workspaceAccess 根 | 文件工具爆炸半径清晰 | 目录调整需同步配置 | 构建失败若排除过头 | 单仓自动化 |
| 只读工具画像 | 调研与排障更安全 | 需第二套发布画像 | 用户抱怨无法写盘 | 客服辅助类代理 |
| 按环境拆分系统用户 | 密钥隔离最彻底 | 多套单元与轮换 | 环境间配置漂移 | 多租户或合规团队 |
| shell 白名单或包装器 | 阻断意外管道 | 工具演进需维护列表 | 解释器绕行风险 | 高风险生产集群 |
| 试用沙箱宽松策略 | 新人上手快 | 必须有退役流程 | 误升到生产 | 仅一次性学习机 |
为生产选定默认行,沙箱机允许临时宽松,每季度复盘:仓库会持续长出新的敏感目录。
操作步骤与配置示例
{
"workspaceAccess": {
"root": "/var/openclaw/work/crm-sync",
"allowReadGlobs": [
"/var/openclaw/work/crm-sync/**",
"/var/openclaw/shared/readme/**"
],
"denyGlobs": [
"**/.ssh/**",
"**/.aws/**",
"**/.config/gcloud/**",
"/var/openclaw/secrets/**"
]
},
"agents": {
"profiles": {
"readonly-triage": { "tools": { "shell": false, "fileWrite": false } },
"release-bot": { "tools": { "shell": "restricted", "fileWrite": true } }
}
}
}
字段名随发行版变化;机密走环境变量或保管库。
步骤一至三 盘点路径、缩根、拆分只读与发布画像。步骤四 冷重启并 openclaw doctor,对照 网关运维。步骤五至七 回放允许读、拒读、获批写(日志脱敏)、记录回滚快照、用 allowAgents 限并发抑风暴。
量化护栏
为每个自动化统计每小时 shell 次数,设阈值贴合业务峰谷;倍增往往意味循环或注入。
单独统计“路径拒绝”与泛型工具错误,拒绝基线稳定是健康信号,尖峰需优先调查。
将子进程数与文件句柄与 CPU、内存同屏展示,MCP 或 shell 泄漏常先体现在此处。
构建卷监控剩余空间,代理批量下载可能撑满分区;大文件目录独立挂载更安全。
日志保留覆盖两轮发布;冷启动耗时纳入 SLO;每季脚本扫描工作区内私钥模式串。
试用与生产及 doctor 阶梯
试用与生产分离主机、根目录与密钥;勿将宽松 JSON 贴入客户网关。培训复用运维阶梯:状态、进程、doctor、日志;收紧权限选可冷重启窗口。手册写明 shell 与只读边界并链到 人机协同。阅读顺序:网关 doctor、会话 allowAgents、MCP、本文、SSRF、TLS、回滚、守护进程。
阅读顺序提示: 先状态与 doctor,再会话并发,再 MCP,再工作区硬化,最后 outward 信任与 TLS 边缘。
术语表
workspaceAccess 声明工具可见目录;最小权限 仅授必要权利;shell 工具 暴露受控命令;只读画像 禁写禁 shell;发布画像 允许受限写入;冷重启 清空子进程;doctor 静态检查;allowAgents 限会话工具;会话风暴 放大调用;配置漂移 实机与文档不一致;回滚快照 已知良好配置;托管远程 Mac 平台维护 Apple 节点兼 SFTP 交付。
常见问题与托管 Mac 衔接
doctor 通过是否代表模型无法越权读盘?
否。需操作系统权限、独立账户、审计与合成拒绝测试共同验证。
试用与生产能否共用系统用户?
不建议;若必须,生产侧须更严 workspaceAccess 与独立密钥。
MCP 服务如何纳入最小权限?
视每个子进程为独立信任域,传输或权限变更后冷重启,详见 MCP 排查文。
小结: workspaceAccess 与命令范围属生产安全控制,沿用状态、doctor、日志分层。SFTPMAC 托管远程 Mac 降低自建网关与文件投递双栈运维成本。
若需要在合规文件传输与长期在线网关之间取得平衡,可了解 SFTPMAC 托管远程 Mac 方案。