Phase 6 / Ep 31: 消息频道的安全治理 —— 防滥用 · 防泄漏 · 审计追踪
🎯 学习目标:保障消息频道不被滥用,防止信息泄漏。
1. 谁能对你的 Bot 说话?
用户白名单
// openclaw.json
{
"channels": {
"telegram": {
"allowedUsers": [123456789, 987654321]
},
"discord": {
"allowedRoles": ["admin", "developer"]
}
}
}
未在白名单中的用户发送消息时,Bot 不会响应且会记录日志。
2. 频率限制(Rate Limiting)
防止恶意用户或误操作导致大量 API 调用:
{
"security": {
"rateLimit": {
"messagesPerMinute": 10,
"messagesPerHour": 100
}
}
}
3. 敏感信息过滤
Agent 的回复中绝对不能出现:
- API Key
- 密码
- 数据库连接字符串
- 用户的私人文件内容
{
"security": {
"responseFilter": {
"patterns": [
"sk-ant-api",
"password=",
"PRIVATE KEY"
],
"action": "redact"
}
}
}
4. 审计日志
每条消息都会记录:
| 字段 | 说明 |
|---|---|
| timestamp | 消息时间 |
| userId | 发送者 ID |
| channel | 频道来源 |
| message | 消息内容(脱敏后) |
| agent | 处理的 Agent |
| tools_used | Agent 调用了哪些工具 |
| response | Agent 的回复 |
# 查看审计日志
openclaw audit list --since "24h"
openclaw audit search --user 123456789
下节预告: Phase 7 开始!Ep 32,创建你的 Agent 军团——设计专业化分工的多 Agent 协作系统。