Segurança OpenClaw: API Keys, Permissões, LGPD — Guia Completo

Proteja seu OpenClaw: configure API keys com segurança, gerencie permissões, previna prompt injection e garanta conformidade LGPD. Checklist de 12 itens.

⏱️ 2 min de leitura

Guia de Segurança

Boas práticas para manter seu OpenClaw seguro.

Princípios Básicos
  1. Menor privilégio - Dê apenas permissões necessárias
  2. Defesa em camadas - Múltiplas proteções
  3. Auditoria - Monitore o que acontece
  4. Atualizações - Mantenha tudo atualizado
Configuração SeguraAPI Keys
# Não NUNCA faça isso
anthropic_key: "sk-ant-xxxxx"  # Hardcoded

# Sim Use variáveis de ambiente
anthropic_key: ${ANTHROPIC_API_KEY}
Permissões de Arquivo
# Config só você pode ler
chmod 600 ~/.openclaw/config.yaml

# Workspace protegido
chmod 700 ~/clawd
Allowlists de Comandos
# config.yaml
exec:
  security: allowlist
  allowlist:
    - ls
    - cat
    - grep
    - curl
  denylist:
    - rm -rf
    - sudo
    - dd
O Que ProtegerAlta Prioridade
  • 🔑 API keys e tokens
  • Arquivos sensíveis
  • 💳 Dados financeiros
  • Senhas e secrets
Média Prioridade
  • Emails pessoais
  • Calendário
  • Notas privadas
Considere
  • 📍 Localização
  • 📞 Contatos
  • 📷 Fotos
Configurações RecomendadasPara Uso Pessoal
exec:
  security: allowlist
  elevated: false
  
channels:
  whatsapp:
    allowlist:
      - "+5511999999999"  # Só seu número
Para Uso em Equipe
exec:
  security: deny  # Mais restritivo
  
audit:
  enabled: true
  log_commands: true
AuditoriaHabilitar Logs
audit:
  enabled: true
  path: ~/clawd/audit.log
  retention: 30d
O Que é Logado
  • Comandos executados
  • Arquivos acessados
  • APIs chamadas
  • Mudanças de configuração
Revisar Logs
# Ver ações recentes
tail -100 ~/clawd/audit.log

# Buscar ações específicas
grep "exec" ~/clawd/audit.log
Riscos e MitigaçõesPrompt Injection

Risco: Inputs maliciosos manipulam o assistente.

Mitigação:

  • Valide inputs de fontes externas
  • Use allowlists para comandos
  • Monitore comportamento anômalo
Exfiltração de Dados

Risco: Dados sensíveis vazam via API.

Mitigação:

  • Não inclua secrets em prompts
  • Use variáveis de ambiente
  • Configure restrições de rede
Execução de Código

Risco: Comandos maliciosos são executados.

Mitigação:

  • Allowlist de comandos
  • Sandbox quando possível
  • Confirmação para ações destrutivas
Checklist de Segurança
  • API keys em variáveis de ambiente
  • Permissões de arquivo corretas
  • Allowlist de comandos configurada
  • Auditoria habilitada
  • Backups criptografados
  • Atualizações automáticas
IncidentesSe Suspeitar de Comprometimento
  1. Pare o gateway: openclaw gateway stop
  2. Revogue API keys nos dashboards
  3. Revise logs de auditoria
  4. Mude senhas se necessário
  5. Reporte se encontrar vulnerabilidade
Reportar Vulnerabilidade

Email: security@clawd.bot

Não abra issue pública para vulnerabilidades.

Próximos Passos
Tags: guia segurança privacidade boas-práticas