你的 AI 助手怎么防住坏人？— OpenClaw 8 层安全模型拆解

核心问题

一个能执行 shell 命令的 AI 助手，如果安全做不好，基本等于把服务器 root 权限交给了互联网上的任何人。OpenClaw 如何应对这个挑战？

8 层防线

第 1 层：接入控制 — allowFrom 白名单，不在名单的消息直接丢弃，连会话都不创建。

第 2 层：会话隔离 — 每条消息有独立 session key，不同用户的上下文窗口严格分离，防信息泄露。

第 3 层：命令授权 — mention gating + 角色权限，被拒消息静默处理，不消耗任何 AI 资源。

第 4 层：输入消毒 — 检测 12 种注入模式，27 种 Unicode 同形字归一化，外部内容加边界标记。

第 5 层：工具策略 — 4 级 tool profile，不可见的工具等于不存在。Telegram/Discord 消息走拉模式，等效本地信任级别。

第 6 层：执行审批 — 命令白名单 + 人工审批（allow-once / allow-always / deny），120 秒超时自动拒绝。

第 7 层：秘密保护 — 日志自动脱敏、环境变量过滤、Web 界面配置遮盖。

第 8 层：传输安全 — TLS 加密、常数时间认证防时序攻击、per-IP 速率限制。

核心原则

deny by default，逐层放行，任何一层说不行就不行。