Права доступа в OpenClaw: как настроить безопасные разрешения

Как работает система разрешений OpenClaw

OpenClaw — автономный агент, который управляет вашим компьютером. Ключевое слово «управляет»: без правильно настроенных разрешений агент получает доступ ко всему, что доступно вам. Именно поэтому система прав — не опциональная функция, а обязательная часть настройки.

Разрешения в OpenClaw работают по модели «белого списка»: агент может делать только то, что явно разрешено. По умолчанию при первой установке большинство типов доступа выключено — вы включаете нужное самостоятельно.

Общую логику безопасности OpenClaw, включая вопросы приватности данных, рассматривает статья о локальном запуске и защите данных.

Типы разрешений

Файловая система

Самый широкий по потенциальному влиянию тип доступа.

Уровень	Что разрешает	Когда нужен
Нет доступа	Агент не видит файлы	Только веб-задачи
Чтение (конкретные папки)	Читает файлы из указанных директорий	Анализ документов
Чтение + запись (конкретные папки)	Создаёт и изменяет файлы в папках	Работа с документами
Полный доступ	Доступ ко всей файловой системе	Не рекомендуется

Правило: всегда указывайте конкретные пути, а не разрешайте доступ ко всему диску. Например: /Users/username/Documents/Work вместо /Users/username.

Браузер

• Только чтение — агент видит содержимое страниц, но не может кликать и заполнять формы
• Управление вкладками — открывает, закрывает, переключает вкладки
• Заполнение форм — вводит данные в поля (без доступа к сохранённым паролям)
• Управление сессией — включает доступ к cookies текущего профиля
• Доступ к сохранённым паролям — отключено по умолчанию, требует явного подтверждения для каждого использования

Сеть

• Нет сетевого доступа — навык работает офлайн
• Только чтение — GET-запросы, просмотр данных
• Полный доступ — может отправлять данные на внешние адреса
• Белый список хостов — доступ только к указанным доменам

Сетевые разрешения для навыков критически важны: скомпрометированный или вредоносный навык не сможет отправить данные наружу, если у него нет сетевого доступа.

Мессенджеры

OpenClaw поддерживает интеграции с Telegram, Slack, Discord и другими — подробнее в разделе интеграции. Для каждого мессенджера настраиваются отдельные права:

• Чтение входящих — видит новые сообщения
• Отправка сообщений — пишет от вашего имени (требует явного разрешения)
• Управление чатами — создаёт группы, добавляет участников (выключено по умолчанию)

Системные команды

Наиболее опасный тип разрешений. По умолчанию полностью отключён.

• Белый список команд — агент может выполнять только конкретный список команд (например, только git, npm, python)
• Пользовательские скрипты — запуск только файлов из указанной папки
• Полный shell-доступ — не рекомендуется никогда, эквивалентно root-доступу к системе

Как выдать и отозвать разрешения

Выдача разрешений через интерфейс

1. Откройте OpenClaw → Настройки → Безопасность → Разрешения
2. Выберите тип разрешения из списка
3. Для файловой системы: нажмите «Добавить путь» и выберите папку через диалог (или введите вручную)
4. Для сети: укажите разрешённые домены через запятую
5. Сохраните изменения — они вступают в силу немедленно

Через конфигурационный файл

Опытные пользователи могут редактировать ~/.openclaw/permissions.json напрямую:

{
  "filesystem": {
    "read": ["/Users/user/Documents/Work", "/Users/user/Downloads"],
    "write": ["/Users/user/Documents/Work/Output"]
  },
  "browser": {
    "navigate": true,
    "forms": true,
    "saved_passwords": false
  },
  "network": {
    "allowed_hosts": ["api.notion.com", "api.telegram.org"],
    "block_all_others": true
  },
  "shell": {
    "enabled": false
  }
}

Отзыв разрешений

Отозвать права так же просто, как выдать: уберите путь или домен из списка. Уже запущенная задача будет остановлена при попытке обратиться к отозванному ресурсу — агент получит ошибку доступа и сообщит вам об этом.

Принцип минимальных привилегий для ИИ-агентов

Принцип минимальных привилегий (PoLP) для ИИ-агентов означает: давайте ровно столько прав, сколько нужно для конкретной задачи — не больше.

Почему это особенно важно для агентов:

• Агент может совершать ошибки и делать нежелательные действия
• Навыки из сторонних источников могут содержать нежелательное поведение
• «Prompt injection» через содержимое веб-страниц может попытаться переиспользовать права агента

Практическое правило: если задача выполняется с ограниченными правами — не расширяйте их «на всякий случай».

Профили разрешений для разных сценариев

Создайте несколько профилей и переключайтесь между ними в зависимости от задачи.

Профиль «Рабочий»

• Файлы: чтение/запись в рабочих папках (~/Documents/Work, ~/Projects)
• Браузер: полное управление в рабочем профиле Chrome
• Сеть: белый список корпоративных API и сервисов
• Мессенджеры: Slack (чтение + отправка), Telegram (только чтение)
• Shell: git, npm, python — по белому списку

Профиль «Личный»

• Файлы: только домашняя папка, без доступа к рабочим директориям
• Браузер: управление в отдельном личном профиле
• Сеть: без ограничений
• Shell: отключён

Профиль «Разработчик»

• Файлы: репозитории в ~/Projects, конфиги в ~/.config
• Браузер: полное управление
• Сеть: без ограничений (нужен для npm, pip, API-запросов)
• Shell: полный список инструментов разработки

Как создавать и настраивать навыки OpenClaw для разных профилей — отдельная тема с практическими примерами.

Признаки опасной конфигурации

Проверьте свои настройки: если что-то из списка верно — это повод пересмотреть права.

• Разрешён полный доступ к файловой системе (/ или C:\)
• Включён shell-доступ без белого списка команд
• Разрешена отправка в мессенджеры без явного подтверждения каждого сообщения
• Навыки из непроверенных источников имеют сетевой доступ
• Не ведётся журнал действий агента
• Один профиль разрешений используется для всех задач без разбора
• Доступ к сохранённым паролям браузера включён постоянно

Если вы только настраиваете OpenClaw, начните с минимального набора прав и расширяйте по необходимости — это безопаснее и удобнее, чем потом сужать избыточный доступ.