OpenClaw 权限分离机制总结

type

Post

status

Published

date

Mar 4, 2026

slug

openclaw-permissions

summary

OpenClaw 2026.3.2 版本权限分离机制详解，包括 tools.profile 四种模式、安全加固建议及配置最佳实践。

1. 权限体系概览

OpenClaw 采用分层权限模型，从工具集、API 认证、命令执行到文件系统访问，实现细粒度控制。

2. 工具集权限 (tools.profile)

控制可用工具范围，支持四种预定义模式：

Profile	可用工具	适用场景
minimal	仅 session_status	极简监控、只读查看
coding	文件操作 + 命令执行 + 会话管理 + 记忆 + 图像分析	编程开发
messaging	消息相关工具 + 基础会话管理	普通聊天用户（2026.3.2+ 新安装默认）
full	无限制（全部工具）	开发者、管理员

功能对比表

功能	minimal	coding	messaging	full
文件操作	❌	✅	❌	✅
命令执行	❌	✅	❌	✅
网络搜索	❌	❌	❌	✅
浏览器控制	❌	❌	❌	✅
消息发送	❌	❌	✅	✅

工具组速查 (group:*)

group:fs — read, write, edit, apply_patch

group:runtime — exec, bash, process

group:sessions — sessions_list, sessions_history, sessions_send, sessions_spawn, session_status

group:memory — memory_search, memory_get

group:web — web_search, web_fetch

group:ui — browser, canvas

group:messaging — message

group:automation — cron, gateway

3. 其他权限层级

3.1 API 认证配置 (auth.profiles)

管理不同 AI 提供商的认证方式，支持多提供商（Moonshot、Kimi、MiniMax 等）和 API Key、OAuth 等模式。

3.2 命令执行权限 (gateway.nodes.denyCommands)

默认禁用高风险命令：camera.snap / camera.clip（摄像头）、screen.record（屏幕录制）、calendar.add / contacts.add / reminders.add（隐私数据写入）

3.3 文件系统边界控制

通过 workspaceAccess（rw/ro/none）和 tools.fs.workspaceOnly 控制文件访问范围。2026.3.2 起，非 rw 模式下 /workspace 自动只读挂载。

3.4 沙盒隔离 (sandbox)

限制子代理运行环境：ACP 运行时禁止从沙盒会话 spawn；sandbox=require 与 ACP 运行时互斥。

3.5 凭证管理 (SecretRef)

2026.3.2 扩展至 64 个目标，覆盖运行时收集器、openclaw secrets 流程等。未解析引用在活动表面快速失败，非活动表面报告非阻塞诊断。

4. 权限配置最佳实践

场景 A：普通聊天用户

场景 B：开发者环境

场景 C：全能管理员

场景 D：高安全隔离

5. 2026.3.2 Breaking Changes

默认工具集：新安装默认 messaging（不再是 full）

ACP 默认启用：需显式 acp.dispatch.enabled=false 禁用

Zalo 插件重构：移除外部 CLI 依赖，改用原生 JS 集成

6. 安全加固建议

定期检查 denyCommands 列表

生产环境使用 workspaceOnly: true

敏感操作开启 sandbox: require

配置文件备份权限已自动设为 0600（2026.3.2+）

使用 openclaw config validate 验证配置

按需选择 tools.profile，避免过度授权

附录：配置验证命令

文档由 OpenClaw 助手生成

Windows 启用 “卓越性能 “电源模式

群晖NAS第三方软件库