AutoClaw 安全与风险使用指南
最新版本生效日期:2026年【3】月【10】日
本指南帮助您了解 AutoClaw 的安全风险及如何正确配置以保护您的系统与数据安全。
📌 使用前必读
AutoClaw 作为一款 AI Agent 工具,具备调用各类工具、操作系统、访问外部服务的核心能力。在享受其带来的便捷性之余,请您务必充分了解其潜在的安全风险,并采取相应的防护措施。
当您启动 AutoClaw 或调整相关配置项时,即视为您已明确知晓各项设置背后的安全意义及风险等级。您在使用本服务过程中,所进行的个性化配置、操作选择,以及由此产生的所有法律、财产、数据相关风险,均由您自行承担。
🔧 一、核心安全配置
1.1 网络访问与认证
JWT 认证:系统内置的身份认证机制。开启该功能后,访问 AutoClaw 需提供有效的 Token。建议在非局域网环境下开启此功能,若未启用认证,可能导致系统被未经授权的人员访问。
绑定地址 :用于控制 AutoClaw 监听的网络接口。默认绑定地址为 127.0.0.1(本地回环地址),仅本机可访问该实例;若将绑定地址改为 0.0.0.0 或公网地址,实例将完全暴露于互联网中,存在极高的安全风险。
1.2 消息来源控制
dmPolicy 策略 :用于控制可向 AutoClaw 发送指令的主体范围。当采用白名单模式时,仅允许白名单内的来源向 AutoClaw 发送指令;若将该策略设置为 open,则任何人均可向您的宿主机发送指令。
allowFrom 白名单 :作为 dmPolicy 策略的配套白名单配置项,用于指定可信任的消息来源。若未正确配置此项,可能会授权任何第三方操作系统,引发安全风险。
1.3 执行确认与沙箱
approvals 执行确认:AI 在执行操作前需经过人工确认的安全机制,默认处于开启状态。关闭此机制后,AI 可在无需人工干预的情况下,直接操作系统资产。
sandbox 路径限制:用于限定 AI 可访问和操作的文件系统范围。若未设置此项,AI 可能误操作敏感目录或系统文件,造成数据丢失或系统异常。
⚠️ 二、操作风险分级与说明
2.1 风险等级定义
| 等级 | 含义 | 用户确认要求 |
|---|---|---|
| L 低风险 | 不改变用户数据或外部状态 | 风险区控,无需特别确认 |
| M 中风险 | 可能改变用户数据/协作内容/系统状态 | 需要用户确认 |
| H 高风险 | 破坏性操作、外部发布/不可撤回、权限配置 | 需要二次确认或分步确认 |
2.2 高风险操作(H 级)
破坏性数据操作
- 删除文件/目录、覆盖关键文件(
write/exec)- 可能导致数据不可恢复、误删误覆盖等严重后果 - 删除飞书文档/批量清理云盘(
feishu_doc/feishu_drive)- 会影响团队正常协作,造成批量数据破坏
外部通信/发布
- 向群聊/联系人发送消息(
message)- 将以用户名义发送,可能出现不可撤回、误发敏感信息的情况 - 发布社媒/对外平台内容(
message)- 内容将面向公众传播,存在合规风险与声誉受损风险 - 发送邮件(
message)- 可能出现误发、误抄送,以及附件泄露敏感信息的风险
系统与权限配置
- 修改 AutoClaw 配置/运行参数(
write)- 会影响系统正常行为,可能导致权限扩大或功能异常 - 变更飞书权限、授权范围(
feishu_perm)- 可能引发越权访问、数据泄露、权限扩散等问题 - 安装/启用新的 Skills(
exec/write)- 存在供应链风险,可能引入未经验证的代码或指令集
代码仓库破坏
- 批量改代码、执行构建/部署命令(
exec/coding-agent)- 可能破坏代码库,触发非预期的自动化部署 git push --force等操作(exec)- 会覆盖远程分支,该操作具有不可逆性
2.3 中风险操作(M 级)
- 创建新文件、修改非关键配置(
write)- 风险处于可控范围,但需确认操作路径与潜在影响范围 - 读取敏感文件(密钥/配置/隐私数据)(
read)- 可能导致凭证泄露、个人隐私信息外泄 - 飞书文档常规修改(
feishu_doc)- 会影响协作内容与版本记录,需谨慎操作 - 节点配对/节点配置变更(
nodes)- 可能改变系统执行边界与功能能力范围 - 浏览器自动化操作(不含提交/支付/发布)(
browser)- 可能触发误操作,导致信息外泄
2.4 低风险操作(L 级)
- 读取代码/非敏感内容(
read)- 属于常规开发、信息检索类操作,无明显安全风险 - 图片内容分析(
image)- 仅对图片进行只读分析,不改变任何外部状态 - 画内可视化(
canvas)- 仅进行可视化展示,不影响系统或数据状态 - 浏览网页只读检索(
browser)- 仅进行网页浏览与信息检索,不执行提交、登录、填写表单等操作
💰 三、资源消耗与费用管控
3.1 积分与费用管控
付费用户(积分兑换):请密切关注积分账户的变动情况,AutoClaw 不对因配置不当(如通信频率过高)导致的积分异常扣除承担责任。
自定义模型:当接入自定义模型、音译模型或第三方转发 API 时,请务必详细了解其特定的计费标准与资源消耗速率,避免产生超额费用。
防范措施:建议在相关平台设置消费限额或余额预警,及时掌握费用消耗情况,防范超额支出风险。
免责声明:AutoClaw 对任何因用户配置不当导致的账单超支、积分耗尽,以及由此产生的全部经济损失,不承担任何补偿责任,且不提供任何形式的退款。
🔌 四、第三方插件(Skills)使用风险
插件市场(ClawHub)中的 Skills 均由第三方开发者提供,在安装前,请您自行评估其源码安全性与合规性。若您主动安装并运行来源不明的插件,可能面临凭据被窃取、设备被恶意软件感染等安全风险。
AutoClaw 不对第三方插件的行为进行背书,使用第三方插件所产生的相关风险,由您自行识别并承担。
🛡️ 五、提示词注入与外部输入
当您指派 AutoClaw 处理邮件、网页或第三方文档时,可能会遭遇提示词注入攻击------即攻击者通过诱导 AI 执行非授权指令,引发安全风险。因此,在涉及高风险操作时,建议保留人工确认环节,降低安全隐患。
若您选择信任外部输入,需自行判断外部信息的可靠性,谨慎操作,并承担由此可能产生的非预期后果。
🔒 六、网络暴露与内网安全
AutoClaw 内置了严格的网络访问限制规则,旨在防范 SSRF 攻击、内网探测及数据泄露等风险。以下规则为系统默认行为,请您知悉并遵守:
6.1 网络访问禁区
以下目标地址,AutoClaw 一律禁止发起访问请求:
| 类别 | 禁止目标 | 风险说明 |
|---|---|---|
| 回环/本机 | localhost、127.0.0.0/8、0.0.0.0、::1 |
防止探测本机服务,避免本机安全漏洞被利用 |
| 内网网段 | RFC 1918(10/8、172.16/12、192.168/16)、IPv6 ULA(fd00::/8)、链路本地(169.254/16、fe80::/10) |
防止内网探测与横向移动,保护内网资产安全 |
| 云元数据 | 各厂商元数据端点(AWS/GCP/Azure/阿里云/腾讯云/华为云等) | 防止 SSRF 攻击窃取云实例凭据 |
| 容器/编排 | K8s API、Kubelet、etcd、Docker Socket 等 | 防止容器逃逸与集群接管,保障容器环境安全 |
| 外泄服务 | webhook.site、requestbin、ngrok、dnslog 等回调/穿透/OOB 平台 | 防止敏感数据被外传,规避数据泄露风险 |
| 危险协议 | file://、gopher://、dict://、ftp://、ldap:// 等非 HTTP(S) 协议 |
防止协议滥用与本地文件读取,保护本地数据安全 |
注:解析到上述 IP 地址的域名(如
nip.io、sslip.io)同样禁止访问。
6.2 禁止的内网安全行为
AutoClaw 不会执行以下内网安全风险行为:批量扫描、服务指纹识别、DNS 枚举、管理/调试路径嗅探、SSRF 构造、反向 Shell、内网穿透、数据外带、CVE exploit、权限提升。
6.3 风险规避手法识别
以下规避安全限制的变体手法,同样会被系统识别并拦截:IP 编码变体、IPv6 映射、DNS Rebinding、域名指向内网、URL 混淆(@ 符号、短链接、302 跳转链、双重编码、Host Header 污染)。
6.4 系统限制边界与用户责任
虽然 AutoClaw 内置了上述网络访问限制,但请您明确知悉以下几点:
- 系统限制不是万能的:技术层面的限制无法覆盖所有潜在的攻击场景和变体手法,仍可能存在未知安全隐患。
- 配置错误可能绕过限制:不正确的系统配置、环境变量设置,可能意外扩大网络访问边界,导致安全限制失效。
- 用户安装的第三方依赖风险:若您为 AutoClaw 安装了额外的组件、库或接入了第三方服务,这些依赖可能存在未知漏洞,由此引发的安全风险由您自行承担。
- 未预料到的攻击向量:新的攻击技术、利用链可能超出当前系统限制的覆盖范围,导致安全防护失效。
- 用户输入的信任链:若您主动提供内网地址、凭据或执行不受信任的代码,系统的安全限制可能被绕过,引发安全风险。