Boas Práticas de Segurança — Checklist

Checklist de segurança para OpenClaw. Proteja seus dados, configure permissões e mantenha tudo seguro.

⏱️ 2 min de leitura

Boas Práticas de Segurança

Checklist e recomendações para manter seu OpenClaw seguro.

Checklist de SegurançaAPI Keys e Credenciais
  • API keys em variáveis de ambiente (não hardcoded)
  • Arquivo config.yaml com permissão 600
  • Keys diferentes para dev e produção
  • Rotação de keys a cada 6 meses
  • Revogação imediata de keys comprometidas
Permissões de Arquivo
# Configuração protegida
chmod 600 ~/.openclaw/config.yaml

# Workspace do usuário
chmod 700 ~/clawd

# Logs com acesso restrito
chmod 600 ~/clawd/memory/*.md
Execução de Comandos
  • Allowlist de comandos configurada
  • Comandos destrutivos bloqueados (rm -rf, etc.)
  • sudo desabilitado ou restrito
  • Sandbox quando possível
# config.yaml
exec:
  security: allowlist
  allowlist:
    - ls
    - cat
    - grep
    - git status
  denylist:
    - rm -rf
    - sudo
    - dd
    - mkfs
Rede e Acesso
  • Gateway não exposto à internet (se local)
  • HTTPS para webhooks
  • Firewall configurado
  • VPN para acesso remoto (se necessário)
Dados Sensíveis
  • Senhas nunca no chat ou memória
  • Dados de cartão nunca armazenados
  • PII minimizado na memória
  • Backups criptografados
Por Nível de RiscoAlto Risco ⚠

Nunca faça:

  • Armazenar senhas na memória
  • Rodar como root
  • Expor gateway sem autenticação
  • Desabilitar allowlist de comandos
Médio Risco

Evite:

  • API keys hardcoded
  • Permissões muito abertas
  • Logs com dados sensíveis
  • Webhooks sem validação
Baixo Risco

Recomendado:

  • Auditoria de comandos
  • Backup regular
  • Atualizações automáticas
  • Revisão periódica de configuração
AuditoriaHabilitar Logs
# config.yaml
audit:
  enabled: true
  path: ~/clawd/audit.log
  log_commands: true
  log_files: true
  retention_days: 30
Revisar Logs
# Comandos executados
grep "exec:" ~/clawd/audit.log

# Arquivos acessados
grep "file:" ~/clawd/audit.log

# Ações suspeitas
grep -E "(rm|sudo|password)" ~/clawd/audit.log
Resposta a IncidentesSe Suspeitar Comprometimento
  1. Pare o gateway: openclaw gateway stop
  2. Revogue keys: Nos dashboards de Anthropic/OpenAI
  3. Verifique logs: Procure ações suspeitas
  4. Mude senhas: Se alguma foi exposta
  5. Reporte: Se encontrar vulnerabilidade
Contato de Segurança

Email: security@clawd.bot

Não abra issues públicas para vulnerabilidades.

Configuração Segura Exemplo
# config.yaml - Exemplo seguro

# Keys via variáveis de ambiente
anthropic:
  api_key: ${ANTHROPIC_API_KEY}

# Comandos restritos
exec:
  security: allowlist
  allowlist:
    - ls
    - cat
    - grep
    - git
    - npm
  denylist:
    - rm -rf
    - sudo
    - dd

# Auditoria habilitada
audit:
  enabled: true
  log_commands: true

# Canais restritos
channels:
  whatsapp:
    allowlist:
      - "+5511999999999"  # Só seu número
Atualizações de Segurança

Mantenha o OpenClaw atualizado:

# Verificar atualizações
npm outdated -g openclaw

# Atualizar
npm update -g openclaw
Próximos Passos
Tags: segurança boas-práticas checklist privacidade