Урок 2. Безопасность#

Зачем это нужно#

AI-ассистент может выполнять команды на вашем компьютере: читать файлы, запускать программы, выходить в интернет. Это мощно, но и опасно — модель может ошибиться или выполнить что-то нежелательное. OpenClaw предлагает три уровня защиты, чтобы вы контролировали ситуацию.

Три уровня защиты#

OpenClaw имеет три разных (но связанных) механизма безопасности:

1. Песочница (Sandbox) — ГДЕ выполняются команды#

Песочница — это изолированная среда, как комната без окон и дверей. Ассистент может делать что угодно внутри, но не может добраться до остальной системы.

Технически это Docker-контейнер — специальная «виртуальная коробка» на вашем компьютере.

Режимы работы (настройка agents.defaults.sandbox.mode):

Область (scope) — сколько контейнеров создаётся:

• "session" — отдельный контейнер для каждого разговора
• "agent" — один контейнер на ассистента (по умолчанию)

Пример включения песочницы:

{
  agents: {
    defaults: {
      sandbox: {
        mode: "non-main",
        scope: "agent"
      }
    }
  }
}

2. Политика инструментов (Tool Policy) — КАКИЕ инструменты доступны#

Даже если ассистент работает в песочнице, вы можете ограничить, какими инструментами он пользуется.

Два списка:

• allow (разрешить) — если указан, доступны ТОЛЬКО перечисленные инструменты
• deny (запретить) — эти инструменты заблокированы всегда

Правило: deny всегда побеждает allow. Если инструмент в обоих списках — он заблокирован.

Пример — разрешить только чтение файлов:

{
  tools: {
    sandbox: {
      tools: {
        allow: ["read", "exec", "process"],
        deny: ["browser", "canvas", "nodes", "cron"]
      }
    }
  }
}

Группы инструментов (шорткаты):

Вместо перечисления каждого инструмента можно использовать группы:

3. Elevated (Повышенные права) — побег из песочницы#

Elevated — это «аварийный выход» из песочницы, только для команды exec.

Если ассистент работает в песочнице, но ему нужно выполнить что-то на основном компьютере, можно временно разрешить это:

• /elevated on — разрешить выполнение на хосте (с подтверждением)
• /elevated full — разрешить без подтверждений (для опытных пользователей)

Elevated не даёт доступ к новым инструментам — только позволяет exec работать вне песочницы.

Настройка в конфигурации:

{
  tools: {
    elevated: {
      enabled: true,
      allowFrom: {
        telegram: ["tg:123456789"]  // кто может использовать
      }
    }
  }
}

Безопасность привязок (Bind Mounts)#

Если вы монтируете папки хоста в песочницу (через docker.binds), помните:

• По умолчанию папки монтируются с полным доступом (чтение и запись)
• Добавляйте :ro для только чтения: "/home/user/docs:/docs:ro"
• Никогда не монтируйте /var/run/docker.sock — это даёт полный контроль над системой

Как проверить текущие настройки#

OpenClaw имеет встроенный инспектор безопасности:

openclaw sandbox explain
openclaw sandbox explain --agent work
openclaw sandbox explain --json

Он покажет:

• Текущий режим песочницы
• Какие инструменты разрешены/запрещены
• Настройки elevated

Что делать, если инструмент заблокирован#

Если вы видите «Tool X blocked by sandbox tool policy»:

1. Отключить песочницу: agents.defaults.sandbox.mode = "off"
2. Разрешить инструмент: добавить в tools.sandbox.tools.allow
3. Убрать из запрета: удалить из tools.sandbox.tools.deny

Практические рекомендации#

Итоги урока#

• Песочница изолирует выполнение в Docker-контейнере — защита от ошибок AI
• Политика инструментов ограничивает, какие инструменты вообще доступны
• Elevated — аварийный выход из песочницы, только для exec
• Используйте openclaw sandbox explain для проверки текущих настроек
• deny всегда побеждает allow
• Для разных уровней доверия используйте разные режимы песочницы