QuotaCheap Playbook

OpenClaw Security và Sandboxing: chạy AI agent có tools mà không tự mở cửa nhà

Hướng dẫn OpenClaw security production: trust boundary, security audit, gateway/node trust, tool policy, toolsBySender, elevated exec, sandbox tool gates,…

OpenClaw không tự nhận là hostile multi-tenant boundary. Production security bắt đầu từ trust boundary đúng, tool policy hẹp, secrets hygiene, sandbox gate và audit đều đặn.

Playbook tiếng Việt về OpenClaw Security và Sandboxing: personal assistant trust model, gateway/node trust, security audit, tool profiles, allow/deny, toolsBySender, elevated exec, sandbox plugin/MCP gate, SecretRefs và QuotaCheap key/quota controls.

Một AI agent có tools là một assistant có tay.

Tay đó có thể đọc file, chạy lệnh, gửi message, mở browser, gọi plugins, thao tác node, hoặc đụng vào secrets.

Vậy nên security không phải đoạn “lưu ý” ở cuối docs.

Security là cách bạn quyết định agent được phép sống ở đâu, ai được sai khiến nó, và nó được chạm vào cái gì.

OpenClaw docs rất thẳng: security guidance giả định mô hình personal assistant với một trusted operator boundary per gateway.

OpenClaw không tự nhận là hostile multi tenant security boundary cho nhiều user đối địch dùng chung một gateway/agent.

Câu đó quan trọng.

Nó giúp bạn không xây lâu đài trên cát rồi gọi là production.

Trust boundary trước, config sau OpenClaw security page mở bằng cảnh báo: supported posture là một user/trust boundary per gateway.

Nếu cần mixed trust hoặc adversarial user operation, split trust boundaries: separate gateway + credentials, ideally separate OS users hoặc hosts.

Nói thực dụng: Một người vận hành cá nhân với nhiều agents: hợp.

Một team cùng trust boundary, business scoped runtime: có thể hợp.

Nhiều user không tin nhau dùng chung một tool enabled agent: không nên.

Shared gateway cho adversarial tenants: đừng làm.

Nếu nhiều người có thể message một tool enabled agent, hãy coi họ như cùng chia sẻ quyền tool delegated cho agent đó.

Session/memory isolation giúp privacy/context, nhưng không biến shared agent thành per user host authorization.

Security audit: chạy đều, không phải lúc cháy mới chạy Docs đưa lệnh: security audit fix intentionally narrow: flip common open group policies to allowlists, restore logging.redactSensitive: "tools", tighten state/config/include file permissions, và dùng Windows ACL resets thay vì POSIX chmod trên Windows.

Nó flag common footguns: Gateway auth exposure; browser control exposure; elevated allowlists; filesystem permissions; permissive exec approvals; open channel tool exposure.

Production habit: chạy audit sau khi đổi remote access, DM policy, reverse proxy, channel config, tool policy, plugin install, hoặc secrets migration.

Gateway và node là một operator trust domain Docs mô tả Gateway và node như cùng operator trust domain, khác role: Gateway là control plane và policy surface: gateway.auth, tool policy, routing.

Node là remote execution surface paired tới Gateway: commands, device actions, host local capabilities.

Caller authenticated tới Gateway được trusted ở Gateway scope.

Sau pairing, node actions là trusted operator actions trên node đó.

sessionKey là routing/context selector, không phải authorization token.