Catálogo Docker da Hostinger<\/span><\/a>, já cuidamos de várias proteções essenciais:<\/p>O gateway do OpenClaw não é exposto em uma porta fixa ou conhecida, o que reduz o risco de varreduras automatizadas e ataques de força bruta.
\nA autenticação do gateway é ativada utilizando um gateway.auth.token<\/b> seguro, impedindo o acesso não autenticado à API.<\/p>
Essas medidas reduzem drasticamente as aberturas para ataques, mas, por si sós, não são suficientes.<\/p>
Etapas essenciais de fortalecimento do OpenClaw que você deve configurar<\/b><\/h2>
Restringir Políticas de DM (Mensagens Diretas)<\/b><\/p>
Por padrão, políticas de DM permissivas podem permitir usuários ou ações não intencionais. Configure sua política de DM para permitir explicitamente apenas os usuários, funções ou ações necessárias. Evite regras de curinga ou “permitir tudo” em ambientes de produção.<\/p>
Ativar modo sandbox<\/b><\/p>
Executar o OpenClaw sem sandboxing permite que comandos sejam executados com menos restrições. Sempre ative o modo sandbox e, se estiver usando Docker, desative o acesso à rede externa para tarefas em sandbox, a menos que seja absolutamente necessário. Isso impede que prompts maliciosos ou comprometidos acessem seu sistema ou rede.<\/p>
Proteja as credenciais e segredos<\/b><\/p>
Credenciais armazenadas em arquivos de configuração em texto simples são um ponto comum de falha. Use variáveis de ambiente para tokens, chaves de API e segredos. Certifique-se de que arquivos sensíveis tenham permissões restritas (por exemplo, legíveis apenas pelo proprietário do processo OpenClaw).<\/p>
Defender contra injeção de prompt<\/b><\/p>
O OpenClaw frequentemente processa conteúdo da web, entrada de usuário ou dados externos. Considere toda entrada externa como não confiável. Envolva o conteúdo não confiável em limites explícitos de “não confiável” e evite permitir que ele influencie diretamente a execução de comandos ou a invocação de ferramentas.<\/p>
Bloquear comandos perigosos<\/b><\/p>
Certos comandos nunca devem estar disponíveis para tarefas do OpenClaw. Bloqueie explicitamente comandos destrutivos ou irreversíveis, como exclusões recursivas, pushes forçados no git, redirecionamento de shell ou chamadas de rede arbitrárias, a menos que sejam estritamente necessários para o seu caso de uso.<\/p>
Aplicar isolamento de rede<\/b><\/p>
Se o OpenClaw for executado no Docker, coloque-o em uma rede Docker isolada. Evite dar acesso aos seus serviços internos, bancos de dados ou interfaces de gerenciamento, a menos que seja necessário. O isolamento de rede limita o raio de impacto caso o OpenClaw seja comprometido.<\/p>
Limitar permissões de ferramentas<\/b><\/p>
Habilite apenas as ferramentas MCP que o OpenClaw realmente precisa. Conceder acesso amplo ou elevado às ferramentas aumenta o risco e viola o princípio do menor privilégio. Revise as permissões das ferramentas regularmente à medida que sua configuração evolui.<\/p>
Habilitar auditoria e registro de sessão<\/b><\/p>
Sem registro, incidentes de segurança são difíceis de detectar e investigar. Habilite o registro abrangente de sessões e Histórico de Ações para rastrear o que o OpenClaw executa, quando ele é executado e quem o acionou.<\/p>
Emparelhamento seguro e códigos de acesso<\/b><\/p>
Se o OpenClaw usar códigos de pareamento ou tokens, utilize valores aleatórios criptograficamente seguros e aplique limitação de taxa para prevenir tentativas de força bruta.<\/p>\n","protected":false},"excerpt":{"rendered":"
OpenClaw é uma ferramenta poderosa de automação e rastreamento, mas, como qualquer serviço que executa comandos e processa conteúdo externo, deve ser devidamente protegida. Isso…<\/p>\n","protected":false},"author":433,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"include_on_kodee":true,"footnotes":""},"categories":[138,274],"tags":[],"class_list":["post-5249","post","type-post","status-publish","format-standard","hentry","category-vps","category-docker-manager"],"hreflangs":[],"include_on_kodee":true,"_links":{"self":[{"href":"https:\/\/www.hostinger.com\/br\/support\/wp-json\/wp\/v2\/posts\/5249","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hostinger.com\/br\/support\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hostinger.com\/br\/support\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hostinger.com\/br\/support\/wp-json\/wp\/v2\/users\/433"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hostinger.com\/br\/support\/wp-json\/wp\/v2\/comments?post=5249"}],"version-history":[{"count":7,"href":"https:\/\/www.hostinger.com\/br\/support\/wp-json\/wp\/v2\/posts\/5249\/revisions"}],"predecessor-version":[{"id":5257,"href":"https:\/\/www.hostinger.com\/br\/support\/wp-json\/wp\/v2\/posts\/5249\/revisions\/5257"}],"wp:attachment":[{"href":"https:\/\/www.hostinger.com\/br\/support\/wp-json\/wp\/v2\/media?parent=5249"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hostinger.com\/br\/support\/wp-json\/wp\/v2\/categories?post=5249"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hostinger.com\/br\/support\/wp-json\/wp\/v2\/tags?post=5249"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}