Clawdbot 安全
保护您的 Clawdbot AI 助手部署。了解认证、授权、加密和安全最佳实践。
Clawdbot 安全概述
安全对于 Clawdbot 部署至关重要。本指南涵盖认证、授权、加密和保护助手安全的最佳实践。
认证
API 密钥认证
{
"security": {
"auth": {
"type": "apiKey",
"key": "${CLAWDBOT_API_KEY}"
}
}
}令牌认证
{
"security": {
"auth": {
"type": "token",
"tokens": ["token1", "token2"]
}
}
}授权
工具权限
限制可用工具:
{
"tools": {
"deny": ["exec", "bash", "process"]
}
}代理隔离
每个代理都有隔离的:
- 工作区文件
- 会话存储
- 认证配置文件
- 工具权限
加密
TLS 配置
{
"gateway": {
"tls": {
"enabled": true,
"cert": "/path/to/cert.pem",
"key": "/path/to/key.pem"
}
}
}密钥管理
{
"secrets": {
"provider": "env",
"prefix": "CLAWDBOT_SECRET_"
}
}网络安全
IP 白名单
{
"security": {
"network": {
"allowedIPs": [
"192.168.1.0/24",
"10.0.0.0/8"
]
}
}
}速率限制
{
"security": {
"rateLimit": {
"enabled": true,
"requests": 60,
"window": 60000
}
}
}沙箱模式
启用沙箱
{
"security": {
"sandbox": {
"enabled": true,
"provider": "docker"
}
}
}沙箱选项
| 选项 | 描述 |
|---|---|
docker | Docker 容器隔离 |
firejail | Linux 沙箱 |
none | 无沙箱 |
访问控制
用户白名单
{
"security": {
"users": {
"allowList": ["+15551234567", "+15559876543"]
}
}
}群组白名单
{
"security": {
"groups": {
"allowList": ["[email protected]"]
}
}
}审计日志
启用审计日志
{
"security": {
"audit": {
"enabled": true,
"path": "~/.clawdbot/audit.log",
"events": ["auth", "message", "tool"]
}
}
}审计事件
| 事件 | 描述 |
|---|---|
auth | 认证尝试 |
message | 消息处理 |
tool | 工具执行 |
config | 配置更改 |
最佳实践
环境变量
- 永不硬编码密钥
- 在配置中使用
${VAR}语法 - 定期轮换密钥
网络
- 生产环境使用 TLS
- 限制 IP 访问
- 启用速率限制
工具
- 默认拒绝危险工具
- 使用工具配置文件
- 沙箱化不受信任的输入
监控
- 启用审计日志
- 监控失败的认证尝试
- 对可疑活动发出警报
安全检查清单
- 启用 TLS
- 配置 API 密钥
- 拒绝危险工具
- 启用速率限制
- 配置 IP 白名单
- 启用审计日志
- 密钥存储在环境变量中
下一步
- Clawdbot 配置 - 配置指南
- Clawdbot 故障排除 - 调试问题
- Clawdbot 网关 - 网关概述