23d - 安全与成本分析

致命三角 + 持久记忆 = 极高风险

┌─────────────────────────────────────────────┐
│           OpenClaw 威胁模型                    │
│                                               │
│   ① 访问私有数据                               │
│      邮件、文件、凭证、浏览器历史、聊天记录        │
│                    ↕                          │
│   ② 暴露于不可信内容          ③ 外部通信能力     │
│      网页浏览、消息接收、         发送邮件、API    │
│      第三方 Skills 安装          调用、数据外传   │
│                    ↕                          │
│   ④ 持久记忆（Palo Alto Networks 补充）         │
│      SOUL.md / MEMORY.md 跨会话存储             │
│      → 时移 Prompt 注入、记忆投毒、逻辑炸弹      │
└─────────────────────────────────────────────┘

攻击链路：

1. 攻击者构造恶意链接
   → 链接包含攻击者控制的 gatewayUrl 参数

2. 用户点击链接，OpenClaw Control UI 加载
   → UI 从 URL query string 读取 gatewayUrl
   → 自动发起 WebSocket 连接（无用户确认）

3. 连接过程中，存储的 gateway 认证 token 被发送
   → 未验证请求来源（无 Origin 检查）
   → 跨站 WebSocket 劫持（CSWSH）

4. 攻击者获得完整 gateway 控制权
   → 可执行任意命令、读取文件、窃取凭证

权限层级（从严到宽）：

Level 0 — 只读观察
├── Agent 只能读取信息，不能执行任何操作
├── 适用于：初始测试、验证 Agent 行为
└── 配置：permissions: ["read_only"]

Level 1 — 受限执行
├── Agent 可执行白名单内的操作
├── 敏感操作需要人工确认
├── 适用于：日常使用
└── 配置：
│   permissions:
│     - "read_logs"
│     - "send_messages"
│     - "restart_services"
│   require_approval:
│     - "delete_*"
│     - "deploy_*"
│     - "financial_*"

Level 2 — 沙箱执行
├── Agent 在 Docker 容器内运行
├── 文件系统隔离，网络受限
├── 适用于：处理不可信内容
└── 配置：sandbox: true, network: "restricted"

Level 3 — 完全自主（高风险）
├── Agent 拥有完整系统权限
├── 仅适用于隔离的测试环境
└── ⚠️ 绝不在生产环境使用

# agent 配置示例：精细化权限控制
agents:
  - name: "邮件助手"
    tools:
      allowed:
        - "gmail.read"
        - "gmail.send_draft"    # 只能创建草稿
        - "calendar.read"
      blocked:
        - "gmail.send"          # 不能直接发送
        - "shell.*"             # 禁止终端访问
        - "filesystem.write"    # 禁止写文件
    
    # 操作审批规则
    approval_required:
      - pattern: "gmail.send_draft"
        condition: "recipient_external"  # 外部收件人需审批
      - pattern: "*delete*"
        condition: "always"              # 删除操作始终需审批

□ 网络安全
  ├── ✅ Gateway 绑定到 localhost（127.0.0.1），不暴露到公网
  ├── ✅ 外部访问通过带 TLS 的认证反向代理（Nginx/Caddy）
  ├── ✅ 启用防火墙，仅开放必要端口（SSH + 反向代理端口）
  ├── ✅ 使用 VPN 或 mTLS 进行远程管理
  └── ✅ 配置 WebSocket Origin 验证

□ 凭证管理
  ├── ✅ API Key 使用环境变量或密钥管理器，不硬编码
  ├── ✅ 为每个服务创建专用 API Key（不共用）
  ├── ✅ 设置 API Key 的使用额度上限
  ├── ✅ 定期轮换所有凭证（建议每 90 天）
  └── ✅ 日志中不包含任何 token/密码/API Key

□ Agent 权限
  ├── ✅ 每个 Agent 仅授予必要的最小权限
  ├── ✅ 不给 Agent root/admin 权限
  ├── ✅ 敏感操作（部署、删除、财务）需人工确认
  ├── ✅ 配置工具白名单（allowlist），默认拒绝
  └── ✅ 启用操作审计日志

□ Skills 安全
  ├── ✅ 仅安装来源可信的 Skills
  ├── ✅ 安装前审查 Skill 源代码
  ├── ✅ 禁用自动安装 Skills
  └── ✅ 定期审查已安装的 Skills 列表

□ 数据安全
  ├── ✅ 定期备份 Agent 数据和配置
  ├── ✅ 敏感数据加密存储
  ├── ✅ SOUL.md / MEMORY.md 定期审查（防记忆投毒）
  └── ✅ 配置数据保留策略，自动清理过期数据

□ 更新维护
  ├── ✅ 关注 OpenClaw 安全公告
  ├── ✅ 及时更新到最新版本（当前最低要求 ≥ 2026.1.29）
  ├── ✅ 订阅 CVE 通知
  └── ✅ 定期审查 Agent 行为日志

场景 1：极限省钱（$0/月）
├── 服务器：Oracle Cloud 免费 ARM 实例
├── LLM：Gemini Flash-Lite 免费额度
├── 消息平台：Telegram（免费）
└── 总计：$0/月（有闲置回收和额度限制风险）

场景 2：个人轻度使用（$5-10/月）
├── 服务器：Hetzner CAX11 → $4/月
├── LLM：Claude Haiku → ~$2-3/月
├── 消息平台：Telegram（免费）
└── 总计：$6-7/月

场景 3：个人中度使用（$10-20/月）
├── 服务器：Hetzner CX22 → $5/月
├── LLM：Claude Sonnet → ~$5-8/月
├── 浏览器自动化：需更多 RAM → 升级到 $8/月
└── 总计：$13-16/月

场景 4：小团队/重度使用（$50-100/月）
├── 服务器：4 vCPU / 8 GB RAM VPS → $15-25/月
├── LLM：多模型路由 → $30-60/月
├── 监控：Grafana + Prometheus → 自托管免费
└── 总计：$50-85/月

场景 5：企业级（$100-200+/月）
├── 服务器：专用服务器或 K8s 集群 → $40-80/月
├── LLM：高频 API 调用 → $60-150/月
├── 安全加固：VPN + 审计 → 额外成本
└── 总计：$100-230/月

如果你是...

完全不懂技术的创业者：
→ ChatGPT/Claude Pro（$20/月）起步
→ 逐步引入 Zapier/Make.com 做自动化

有技术背景的 Solo Founder：
→ OpenClaw（$5-10/月）做自主 Agent
→ n8n 自托管（$5/月）做工作流编排
→ 总计 $10-15/月，替代 $500+/月的人工

小团队（3-5 人）：
→ n8n Cloud（$24/月）+ OpenClaw（$15/月）
→ 或 Zapier（$50/月）如果不想自托管

需要企业级可靠性：
→ n8n/Make.com + 专业 SaaS 工具
→ OpenClaw 目前安全成熟度不足以用于企业生产环境

假设：Solo Founder，每天花 2 小时在重复性任务上

OpenClaw 自动化后：
├── 每天节省：~1.5 小时（自动化率 75%）
├── 每月节省：~45 小时
├── 时间价值（按 $30/小时）：$1,350/月
├── OpenClaw 成本：$10/月
└── ROI = ($1,350 - $10) / $10 = 13,400%

对比雇佣 VA：
├── VA 成本：$800/月（兼职）
├── 节省时间：~40 小时/月
├── 时间价值：$1,200/月
└── ROI = ($1,200 - $800) / $800 = 50%

# 1. 确保 OpenClaw gateway 只监听 localhost
# 在 .env 中设置：
GATEWAY_HOST=127.0.0.1
GATEWAY_PORT=3100
 
# 2. 配置 Nginx 反向代理（带 TLS + 基本认证）
sudo apt install nginx certbot python3-certbot-nginx
 
# 3. 创建 Nginx 配置
cat > /etc/nginx/sites-available/openclaw << 'EOF'
server {
    listen 443 ssl;
    server_name your-domain.com;
 
    ssl_certificate /etc/letsencrypt/live/your-domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your-domain.com/privkey.pem;
 
    # WebSocket Origin 验证
    location / {
        # 仅允许来自你的域名的 WebSocket 连接
        if ($http_origin !~* "^https://your-domain\.com$") {
            return 403;
        }
 
        proxy_pass http://127.0.0.1:3100;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
 
        # 基本认证
        auth_basic "OpenClaw Admin";
        auth_basic_user_file /etc/nginx/.htpasswd;
    }
}
EOF
 
# 4. 配置防火墙
sudo ufw default deny incoming
sudo ufw allow ssh
sudo ufw allow 443/tcp
sudo ufw enable

# openclaw-config.yaml — 安全加固配置示例
 
security:
  # 全局安全设置
  default_policy: "deny"          # 默认拒绝所有未明确允许的操作
  require_approval_for:
    - "shell.execute"             # 终端命令需审批
    - "filesystem.write"          # 文件写入需审批
    - "filesystem.delete"         # 文件删除需审批
    - "email.send"                # 发送邮件需审批
    - "financial.*"               # 所有财务操作需审批
  
  # Token 预算控制
  budget:
    daily_limit_usd: 5.0          # 每日 API 费用上限
    monthly_limit_usd: 50.0       # 每月 API 费用上限
    alert_threshold: 0.8          # 达到 80% 时告警
    action_on_limit: "pause"      # 达到上限时暂停（而非继续）
 
  # Skills 安全
  skills:
    auto_install: false           # 禁止自动安装
    allowed_sources:              # 仅允许可信来源
      - "official"
      - "verified"
    require_review: true          # 安装前需人工审查
 
  # 审计日志
  audit:
    enabled: true
    log_level: "detailed"         # 记录所有操作详情
    retention_days: 90            # 保留 90 天
    alert_on:
      - "permission_denied"
      - "budget_warning"
      - "unusual_activity"

# 创建安全审查脚本 security-audit.sh
 
#!/bin/bash
echo "=== OpenClaw 安全审查 ==="
echo "日期: $(date)"
 
# 1. 检查版本
echo -e "\n--- 版本检查 ---"
docker exec openclaw node -e "console.log(require('./package.json').version)"
echo "最低安全版本: 2026.1.29"
 
# 2. 检查网络暴露
echo -e "\n--- 网络暴露检查 ---"
ss -tlnp | grep -E "3100|3101"
echo "⚠️ 如果上面显示 0.0.0.0:3100，说明 gateway 暴露在公网！"
 
# 3. 检查 MEMORY.md 异常内容
echo -e "\n--- 记忆文件审查 ---"
if [ -f "data/MEMORY.md" ]; then
    echo "MEMORY.md 大小: $(wc -c < data/MEMORY.md) bytes"
    echo "最后修改: $(stat -c %y data/MEMORY.md)"
    # 检查可疑指令
    grep -i -c "ignore previous\|system prompt\|execute command" data/MEMORY.md
    echo "（如果上面数字 > 0，可能存在记忆投毒）"
fi
 
# 4. 检查已安装 Skills
echo -e "\n--- Skills 审查 ---"
ls -la skills/ 2>/dev/null || echo "无自定义 Skills"
 
# 5. 检查 API 使用量
echo -e "\n--- 本月 API 使用 ---"
# 根据你的日志格式调整
grep "api_call" logs/openclaw.log | wc -l
echo "次 API 调用"
 
echo -e "\n=== 审查完成 ==="

你是一个 AI Agent 安全审计专家。请对以下 OpenClaw 配置进行安全审查：

[粘贴你的 openclaw-config.yaml 或 .env 文件内容，注意先移除所有 API Key]

请检查以下方面并给出评分（1-5 分）和改进建议：

1. 权限配置：Agent 权限是否遵循最小权限原则？
2. 网络安全：Gateway 是否正确隔离？TLS 是否启用？
3. 凭证管理：API Key 是否安全存储？是否有轮换策略？
4. 审计日志：是否启用了足够的日志记录？
5. Skills 安全：是否限制了 Skills 来源？
6. 预算控制：是否设置了合理的费用上限？

对于每个不合格项，请提供具体的修复命令或配置变更。

你是一个 AI 基础设施成本优化专家。请分析以下 OpenClaw 使用数据并提供优化建议：

当前配置：
- 服务器：[你的 VPS 配置和月费]
- LLM 模型：[当前使用的模型]
- 日均 token 消耗：[输入 token 数 / 输出 token 数]
- Agent 数量：[运行中的 Agent 数]
- 主要任务类型：[邮件处理 / 内容生成 / 代码辅助 / 数据分析]

请提供：
1. 模型路由建议：哪些任务可以用更便宜的模型？
2. 缓存策略：哪些请求适合语义缓存？
3. 服务器优化：当前配置是否过度配置或不足？
4. 预计优化后的月费和节省比例

第 1 天：部署完成，一切正常
第 3 天：发现 API 费用异常（$15，预期 $3）
第 5 天：Agent 发送了未授权的邮件
第 7 天：在安全扫描中发现实例被列入暴露清单

步骤 1：紧急止血（10 分钟）
├── 停止 OpenClaw 服务
├── 轮换所有 API Key
├── 检查并清理 MEMORY.md
└── 审查最近 7 天的操作日志

步骤 2：网络加固（30 分钟）
├── Gateway 绑定到 localhost
├── 配置 Nginx 反向代理 + TLS
├── 启用防火墙（仅开放 SSH + 443）
└── 配置 fail2ban 防暴力破解

步骤 3：权限收紧（20 分钟）
├── 为每个 Agent 配置最小权限
├── 敏感操作启用人工审批
├── 设置每日 API 预算上限 $5
└── 禁用自动 Skills 安装

步骤 4：监控部署（30 分钟）
├── 配置操作审计日志
├── 设置费用告警（Anthropic/OpenAI 控制台）
├── 创建每周安全审查脚本
└── 配置 Telegram 告警通知