本项目安全相关说明和处理流程。
如果你发现安全漏洞,请发送邮件至 security@openclaw.ai,不要在 GitHub Issue 中公开。
# 使用环境变量
export ANTHROPIC_API_KEY="sk-..."
# 不要提交到 Git
echo "*.env" >> .gitignore{
"gateway": {
"auth": {
"token": "使用强随机字符串"
}
}
}- 生产环境使用 HTTPS
- 限制端口访问
- 使用防火墙
# 更新 OpenClaw
openclaw update check
openclaw update run# 检查依赖漏洞
npm audit
# 更新依赖
npm update- 用户密码
- API Keys
- Token
- 个人隐私信息
// 加密存储敏感信息
import crypto from 'crypto';
function encrypt(text, key) {
const iv = crypto.randomBytes(16);
const cipher = crypto.createCipheriv('aes-256-cbc', key, iv);
let encrypted = cipher.update(text, 'utf8', 'hex');
encrypted += cipher.final('hex');
return iv.toString('hex') + ':' + encrypted;
}发现安全事件时:
- 立即响应 - 隔离受影响系统
- 评估影响 - 确定泄露范围
- 通知 - 告知相关用户
- 修复 - 修复漏洞
- 复盘 - 改进安全措施
- GDPR 合规
- 数据本地化
- 隐私政策
如有问题,请联系 security@openclaw.ai