[AI应用] AutoClaw 安全与风险使用指南

本文摘自: AutoClaw

AutoClaw 安全与风险使用指南

最新版本生效日期:2026年【3】月【10】日

本指南帮助您了解 AutoClaw 的安全风险及如何正确配置以保护您的系统与数据安全。

📌 使用前必读

AutoClaw 作为一款 AI Agent 工具,具备调用各类工具、操作系统、访问外部服务的核心能力。在享受其带来的便捷性之余,请您务必充分了解其潜在的安全风险,并采取相应的防护措施。

当您启动 AutoClaw 或调整相关配置项时,即视为您已明确知晓各项设置背后的安全意义及风险等级。您在使用本服务过程中,所进行的个性化配置、操作选择,以及由此产生的所有法律、财产、数据相关风险,均由您自行承担。

🔧 一、核心安全配置

1.1 网络访问与认证

JWT 认证:系统内置的身份认证机制。开启该功能后,访问 AutoClaw 需提供有效的 Token。建议在非局域网环境下开启此功能,若未启用认证,可能导致系统被未经授权的人员访问。

绑定地址:用于控制 AutoClaw 监听的网络接口。默认绑定地址为 127.0.0.1(本地回环地址),仅本机可访问该实例;若将绑定地址改为 0.0.0.0 或公网地址,实例将完全暴露于互联网中,存在极高的安全风险。

1.2 消息来源控制

dmPolicy 策略:用于控制可向 AutoClaw 发送指令的主体范围。当采用白名单模式时,仅允许白名单内的来源向 AutoClaw 发送指令;若将该策略设置为 open,则任何人均可向您的宿主机发送指令。

allowFrom 白名单:作为 dmPolicy 策略的配套白名单配置项,用于指定可信任的消息来源。若未正确配置此项,可能会授权任何第三方操作系统,引发安全风险。

1.3 执行确认与沙箱

approvals 执行确认:AI 在执行操作前需经过人工确认的安全机制,默认处于开启状态。关闭此机制后,AI 可在无需人工干预的情况下,直接操作系统资产。

sandbox 路径限制:用于限定 AI 可访问和操作的文件系统范围。若未设置此项,AI 可能误操作敏感目录或系统文件,造成数据丢失或系统异常。

⚠️ 二、操作风险分级与说明

2.1 风险等级定义

等级 含义 用户确认要求
L 低风险 不改变用户数据或外部状态 风险区控,无需特别确认
M 中风险 可能改变用户数据/协作内容/系统状态 需要用户确认
H 高风险 破坏性操作、外部发布/不可撤回、权限配置 需要二次确认或分步确认

2.2 高风险操作(H 级)

破坏性数据操作

  • 删除文件/目录、覆盖关键文件(write / exec)- 可能导致数据不可恢复、误删误覆盖等严重后果
  • 删除飞书文档/批量清理云盘(feishu_doc / feishu_drive)- 会影响团队正常协作,造成批量数据破坏

外部通信/发布

  • 向群聊/联系人发送消息(message)- 将以用户名义发送,可能出现不可撤回、误发敏感信息的情况
  • 发布社媒/对外平台内容(message)- 内容将面向公众传播,存在合规风险与声誉受损风险
  • 发送邮件(message)- 可能出现误发、误抄送,以及附件泄露敏感信息的风险

系统与权限配置

  • 修改 AutoClaw 配置/运行参数(write)- 会影响系统正常行为,可能导致权限扩大或功能异常
  • 变更飞书权限、授权范围(feishu_perm)- 可能引发越权访问、数据泄露、权限扩散等问题
  • 安装/启用新的 Skills(exec / write)- 存在供应链风险,可能引入未经验证的代码或指令集

代码仓库破坏

  • 批量改代码、执行构建/部署命令(exec / coding-agent)- 可能破坏代码库,触发非预期的自动化部署
  • git push --force 等操作(exec)- 会覆盖远程分支,该操作具有不可逆性

2.3 中风险操作(M 级)

  • 创建新文件、修改非关键配置(write)- 风险处于可控范围,但需确认操作路径与潜在影响范围
  • 读取敏感文件(密钥/配置/隐私数据)(read)- 可能导致凭证泄露、个人隐私信息外泄
  • 飞书文档常规修改(feishu_doc)- 会影响协作内容与版本记录,需谨慎操作
  • 节点配对/节点配置变更(nodes)- 可能改变系统执行边界与功能能力范围
  • 浏览器自动化操作(不含提交/支付/发布)(browser)- 可能触发误操作,导致信息外泄

2.4 低风险操作(L 级)

  • 读取代码/非敏感内容(read)- 属于常规开发、信息检索类操作,无明显安全风险
  • 图片内容分析(image)- 仅对图片进行只读分析,不改变任何外部状态
  • 画内可视化(canvas)- 仅进行可视化展示,不影响系统或数据状态
  • 浏览网页只读检索(browser)- 仅进行网页浏览与信息检索,不执行提交、登录、填写表单等操作

💰 三、资源消耗与费用管控

3.1 积分与费用管控

付费用户(积分兑换):请密切关注积分账户的变动情况,AutoClaw 不对因配置不当(如通信频率过高)导致的积分异常扣除承担责任。

自定义模型:当接入自定义模型、音译模型或第三方转发 API 时,请务必详细了解其特定的计费标准与资源消耗速率,避免产生超额费用。

防范措施:建议在相关平台设置消费限额或余额预警,及时掌握费用消耗情况,防范超额支出风险。

免责声明:AutoClaw 对任何因用户配置不当导致的账单超支、积分耗尽,以及由此产生的全部经济损失,不承担任何补偿责任,且不提供任何形式的退款。

🔌 四、第三方插件(Skills)使用风险

插件市场(ClawHub)中的 Skills 均由第三方开发者提供,在安装前,请您自行评估其源码安全性与合规性。若您主动安装并运行来源不明的插件,可能面临凭据被窃取、设备被恶意软件感染等安全风险。

AutoClaw 不对第三方插件的行为进行背书,使用第三方插件所产生的相关风险,由您自行识别并承担。

🛡️ 五、提示词注入与外部输入

当您指派 AutoClaw 处理邮件、网页或第三方文档时,可能会遭遇提示词注入攻击——即攻击者通过诱导 AI 执行非授权指令,引发安全风险。因此,在涉及高风险操作时,建议保留人工确认环节,降低安全隐患。

若您选择信任外部输入,需自行判断外部信息的可靠性,谨慎操作,并承担由此可能产生的非预期后果。

🔒 六、网络暴露与内网安全

AutoClaw 内置了严格的网络访问限制规则,旨在防范 SSRF 攻击、内网探测及数据泄露等风险。以下规则为系统默认行为,请您知悉并遵守:

6.1 网络访问禁区

以下目标地址,AutoClaw 一律禁止发起访问请求:

类别 禁止目标 风险说明
回环/本机 localhost127.0.0.0/80.0.0.0::1 防止探测本机服务,避免本机安全漏洞被利用
内网网段 RFC 1918(10/8172.16/12192.168/16)、IPv6 ULA(fd00::/8)、链路本地(169.254/16fe80::/10 防止内网探测与横向移动,保护内网资产安全
云元数据 各厂商元数据端点(AWS/GCP/Azure/阿里云/腾讯云/华为云等) 防止 SSRF 攻击窃取云实例凭据
容器/编排 K8s API、Kubelet、etcd、Docker Socket 等 防止容器逃逸与集群接管,保障容器环境安全
外泄服务 webhook.site、requestbin、ngrok、dnslog 等回调/穿透/OOB 平台 防止敏感数据被外传,规避数据泄露风险
危险协议 file://gopher://dict://ftp://ldap:// 等非 HTTP(S) 协议 防止协议滥用与本地文件读取,保护本地数据安全

注:解析到上述 IP 地址的域名(如 nip.iosslip.io)同样禁止访问。

6.2 禁止的内网安全行为

AutoClaw 不会执行以下内网安全风险行为:批量扫描、服务指纹识别、DNS 枚举、管理/调试路径嗅探、SSRF 构造、反向 Shell、内网穿透、数据外带、CVE exploit、权限提升。

6.3 风险规避手法识别

以下规避安全限制的变体手法,同样会被系统识别并拦截:IP 编码变体、IPv6 映射、DNS Rebinding、域名指向内网、URL 混淆(@ 符号、短链接、302 跳转链、双重编码、Host Header 污染)。

6.4 系统限制边界与用户责任

虽然 AutoClaw 内置了上述网络访问限制,但请您明确知悉以下几点:

  • 系统限制不是万能的:技术层面的限制无法覆盖所有潜在的攻击场景和变体手法,仍可能存在未知安全隐患。
  • 配置错误可能绕过限制:不正确的系统配置、环境变量设置,可能意外扩大网络访问边界,导致安全限制失效。
  • 用户安装的第三方依赖风险:若您为 AutoClaw 安装了额外的组件、库或接入了第三方服务,这些依赖可能存在未知漏洞,由此引发的安全风险由您自行承担。
  • 未预料到的攻击向量:新的攻击技术、利用链可能超出当前系统限制的覆盖范围,导致安全防护失效。
  • 用户输入的信任链:若您主动提供内网地址、凭据或执行不受信任的代码,系统的安全限制可能被绕过,引发安全风险。

请务必保持警惕,不要盲目依赖系统限制,对于任何涉及内网访问、凭据使用、敏感操作的行为都应谨慎评估。

📄 七、免责声明确认

请您在使用前仔细阅读《AutoClaw安全与风险使用指南》及《用户协议》与《隐私政策》,当您开始使用 AutoClaw 或调整上述配置项时,即代表您已明确知悉各项设置背后的安全含义和风险级别。AutoClaw 仅作为 AI 辅助工具使用,您使用本服务时进行的个性化配置、操作选择及由此产生的一切法律、财产、数据相关风险,均由您自行承担。

X 参考文献

posted @ 2026-03-10 13:48  数据知音  阅读(51)  评论(0)    收藏  举报