IV. 认证与安全 - 3. Authorization 与 Policies 课程位置阶段IV. 认证与安全课序第 3 课前置知识IV-2. Authentication后续课程IV-4. Multi-Account Patterns 本课核心问题你不懂我就这样教你前两课解决了“我有没有钥匙Authentication”。这一课解决的是就算我有钥匙我能进哪些门能干哪些事谁能给我的 Agent 发消息谁能用 DM谁能在群里触发工具exec/browser/files/message到底允许到什么程度怎么防 prompt injection怎么做最小权限一句话Authorization Policies 用规则把系统“收口”决定谁能触发你、触发后能做什么。 心智模型Authentication 是“身份”Authorization 是“权限”类比Authentication你是谁/你有没有门禁卡Authorization你能进哪几层楼/能不能进机房OpenClaw 的授权大体分成三层入口权限谁能来找你dmPolicy / groupPolicy / allowlist / pairing会话隔离谁的上下文跟谁隔离dmScope / sessions执行权限能用哪些工具tools policy / sandbox✅ 验收标准能正确选择 dmPolicypairing/allowlist/open/disabled能正确设置 dmScope 防止串话能设置工具最小权限messaging-only vs full能理解 prompt injection 的主要风险面1) 入口权限DM / 群聊的访问控制DM私聊推荐优先级pairing默认推荐allowlist只给自己/少数人open强烈不推荐disabled群聊建议默认requireMention 才响应或 group allowlist目标降低误触发降低成本降低注入风险2) 会话隔离dmScope防止多用户串话如果你面对多个用户{ session: { dmScope: per-channel-peer } }这样每个“渠道对话对象”都有独立会话。你可以把它理解成每个人一个独立聊天窗口互不继承上下文。3) 执行权限Tools Policy最小权限原则这是授权体系最关键的一环。为什么prompt injection 的破坏力取决于Agent 能不能调用危险工具exec / filesystem write / browser如果你的 Agent 只有 message 工具被注入也只能“说话”破坏面非常小建议的策略home/对外 agentmessaging web_fetch最小work/开发 agent允许 exec/git/browser但配 sandbox4) Prompt Injection你要防的不是“模型被说服”而是“工具被滥用”关键原则外部输入永远不可信群聊、webhook、陌生人 DM不要让外部输入直接决定执行命令读取文件上传数据需要人工确认的行为删除/移动文件发布/发送到外部你可以把安全做成“闸门”入口闸门pairing/allowlist会话闸门dmScope工具闸门tools policy隔离闸门sandbox 推荐的安全基线可直接抄{ session: { dmScope: per-channel-peer }, tools: { profile: messaging }, agents: { defaults: { sandbox: { mode: non-main, scope: agent, workspaceAccess: ro } } }, channels: { whatsapp: { dmPolicy: pairing }, telegram: { dmPolicy: pairing } } }⚠️ 常见陷阱陷阱表现根因解决dmPolicyopen陌生人都能来入口没收口pairing/allowlistdmScope 太粗串话/泄露多用户共用会话per-channel-peertools 太全被注入就能执行危险操作最小权限没做限制 tools sandbox群聊乱回误触发没 mention gatingrequireMention 学习心得Authorization 这章的本质是“收口”。我现在的结论是入口控制谁能说话只是第一步真正决定风险的是“能不能用危险工具”把系统当成“要上线的服务”去设计最小权限分层闸门可回滚你就不会被 prompt injection 拿捏。✅ 本课总结记住 5 句话Authentication 是“有没有钥匙”Authorization 是“能干什么”。DM 推荐 pairing/allowlistopen 风险极大。多用户必须 per-channel-peer防串话。Prompt injection 的风险核心在工具滥用。安全要分层入口 会话 工具 沙箱。 相关资源官方安全指南https://docs.openclaw.ai/gateway/security配置参考https://docs.openclaw.ai/gateway/configuration-reference下一课IV-4. Multi-Account Patterns