6.6 安全设置:防止 AI 被滥用
通过本文你将全面了解安全设置:防止 AI 被滥用的核心概念、实际应用方法和最佳实践。
概述
一、安全风险类型
| 风险类型 | 说明 | 可能损失 |
|---|---|---|
| 滥用风险 | 陌生人频繁调用 | 消耗配额 |
| 数据泄露 | 敏感数据被访问 | 隐私泄露 |
| 恶意指令 | 发送恶意指令操控 AI | 系统安全 |
| 信息收集 | 爬取敏感信息 | 数据安全 |
二、权限控制
2.1 私聊权限(dmPolicy)
"channels": {
"feishu": {
"dmPolicy": "allowlist",
"allowFrom": [
"ou_用户1",
"ou_用户2"
]
}
}
| 模式 | 说明 |
|---|---|
allowlist | 只有白名单用户能发消息 |
open | 任何人都能发消息 |
deny | 禁止私聊 |
2.2 群聊权限(groupPolicy)
"channels": {
"feishu": {
"groupPolicy": "mention",
"requireMention": true
}
}
| 模式 | 说明 |
|---|---|
mention | 必须 @ 机器人才响应 |
open | 群里任何消息都响应 |
deny | 禁止群聊响应 |
三、频率限制
3.1 按用户限制
"rateLimit": {
"perUser": {
"maxPerMinute": 10,
"maxPerHour": 100,
"maxPerDay": 500
}
}
3.2 按 IP 限制
"rateLimit": {
"perIP": {
"maxPerMinute": 30
}
}
四、内容过滤
4.1 敏感词过滤
"contentFilter": {
"enabled": true,
"blockedPatterns": [
"密码",
"密钥",
" confidential",
"内部文件"
],
"action": "block"
}
4.2 钓鱼链接检测
"contentFilter": {
"enabled": true,
"blockPhishing": true,
"blockSuspiciousURLs": true
}
五、操作审计
5.1 开启审计日志
"auditLog": {
"enabled": true,
"logPath": "/var/log/openclaw/audit.log",
"logLevel": "info",
"includeUserId": true,
"includeMessage": true,
"includeAction": true
}
5.2 审计日志内容
{
"timestamp": "2026-03-24T10:00:00+08:00",
"userId": "ou_xxx",
"action": "sendMessage",
"channel": "feishu",
"messageLength": 150,
"processingTime": 2300
}
六、敏感操作二次确认
对于高风险操作,要求二次确认:
"security": {
"requireConfirmation": {
"enabled": true,
"actions": [
"deleteFile",
"sendEmail",
"externalAPI"
],
"confirmationTemplate": "确定要执行 {action} 吗?回复「是」确认。"
}
}
七、API Key 保护
7.1 不在配置文件中明文存储
使用环境变量:
# 在 .env 文件中
MINIMAX_API_KEY=sk_xxxxx
DEEPSEEK_API_KEY=sk_xxxxx# 在配置中引用
"apiKeyEnv": "MINIMAX_API_KEY"
7.2 定期轮换
定期更换 API Key:
# 每 3 个月更换一次
# 更换后更新 .env 文件
# 重启 Gateway
openclaw gateway restart
八、安全检查清单
□ dmPolicy 设置为 allowlist
□ allowFrom 列表是最小必要人员
□ rateLimit 已配置
□ 内容过滤已开启
□ 审计日志已启用
□ 高风险操作需要确认
□ API Key 存放在 .env 中
□ 定期检查日志异常
九、常见问题
Q:发现异常调用怎么办? A:1. 查看审计日志 2. 封锁来源 3. 更换 API Key
Q:可以限制某些功能吗? A:可以配置 capabilities,只开放必要的功能。
十、下一步学什么
- 6.7 日志与诊断 → 出问题时如何排查
- 第七章:实战案例 → 把学到的安全知识用到实际场景
安全无小事,提前配置能避免大问题!
常见问题
Q: 有哪些安全风险?
A: 数据泄露、权限滥用、恶意提问等。配置好白名单和权限。