OpenClaw é uma ferramenta poderosa de automação e rastreamento, mas, como qualquer serviço que executa comandos e processa conteúdo externo, deve ser devidamente protegida. Isso é especialmente importante quando o OpenClaw é instalado manualmente em um VPS, onde configurações padrões inseguras podem expor seu servidor a riscos sérios.
Ao implantar o OpenClaw pelo catálogo Docker da Hostinger, medidas essenciais de segurança — como porta aleatória e autenticação de gateway — são ativadas automaticamente. Porém, você ainda deve executar passos adicionais de proteção (hardening) para garantir que o ambiente esteja seguro e pronto para produção.
Este guia explica os riscos de segurança mais comuns do OpenClaw e como mitigá-los.
O que a Hostinger protege por padrão (instalação do Catálogo Docker)
Quando o OpenClaw é implantado usando o Catálogo Docker da Hostinger, já cuidamos de várias proteções essenciais:
O gateway do OpenClaw não é exposto em uma porta fixa ou conhecida, o que reduz o risco de varreduras automatizadas e ataques de força bruta.
A autenticação do gateway é ativada utilizando um gateway.auth.token seguro, impedindo o acesso não autenticado à API.
Essas medidas reduzem drasticamente as aberturas para ataques, mas, por si sós, não são suficientes.
Etapas essenciais de fortalecimento do OpenClaw que você deve configurar
Restringir Políticas de DM (Mensagens Diretas)
Por padrão, políticas de DM permissivas podem permitir usuários ou ações não intencionais. Configure sua política de DM para permitir explicitamente apenas os usuários, funções ou ações necessárias. Evite regras de curinga ou “permitir tudo” em ambientes de produção.
Ativar modo sandbox
Executar o OpenClaw sem sandboxing permite que comandos sejam executados com menos restrições. Sempre ative o modo sandbox e, se estiver usando Docker, desative o acesso à rede externa para tarefas em sandbox, a menos que seja absolutamente necessário. Isso impede que prompts maliciosos ou comprometidos acessem seu sistema ou rede.
Proteja as credenciais e segredos
Credenciais armazenadas em arquivos de configuração em texto simples são um ponto comum de falha. Use variáveis de ambiente para tokens, chaves de API e segredos. Certifique-se de que arquivos sensíveis tenham permissões restritas (por exemplo, legíveis apenas pelo proprietário do processo OpenClaw).
Defender contra injeção de prompt
O OpenClaw frequentemente processa conteúdo da web, entrada de usuário ou dados externos. Considere toda entrada externa como não confiável. Envolva o conteúdo não confiável em limites explícitos de “não confiável” e evite permitir que ele influencie diretamente a execução de comandos ou a invocação de ferramentas.
Bloquear comandos perigosos
Certos comandos nunca devem estar disponíveis para tarefas do OpenClaw. Bloqueie explicitamente comandos destrutivos ou irreversíveis, como exclusões recursivas, pushes forçados no git, redirecionamento de shell ou chamadas de rede arbitrárias, a menos que sejam estritamente necessários para o seu caso de uso.
Aplicar isolamento de rede
Se o OpenClaw for executado no Docker, coloque-o em uma rede Docker isolada. Evite dar acesso aos seus serviços internos, bancos de dados ou interfaces de gerenciamento, a menos que seja necessário. O isolamento de rede limita o raio de impacto caso o OpenClaw seja comprometido.
Limitar permissões de ferramentas
Habilite apenas as ferramentas MCP que o OpenClaw realmente precisa. Conceder acesso amplo ou elevado às ferramentas aumenta o risco e viola o princípio do menor privilégio. Revise as permissões das ferramentas regularmente à medida que sua configuração evolui.
Habilitar auditoria e registro de sessão
Sem registro, incidentes de segurança são difíceis de detectar e investigar. Habilite o registro abrangente de sessões e Histórico de Ações para rastrear o que o OpenClaw executa, quando ele é executado e quem o acionou.
Emparelhamento seguro e códigos de acesso
Se o OpenClaw usar códigos de pareamento ou tokens, utilize valores aleatórios criptograficamente seguros e aplique limitação de taxa para prevenir tentativas de força bruta.