OpenClaw 文件权限控制指南:给 AI Agent 划定安全边界
前言 当你给 AI Agent 访问文件系统的能力时,安全性就成了首要考虑的问题。你肯定不想让 AI 误删重要文件,或者意外修改敏感配置。OpenClaw 提供了多层权限控制机制,让你可以精确控制 Agent 能做什么、能访问什么。 本文将从最简单的配置开始,逐步深入到完整的权限控制体系。 快速入门:三个常用配置 如果你只是想快速限制文件操作,记住这三个配置就够了: 1. 只读模式 - 能看不能改 { agents: { defaults: { sandbox: { workspaceAccess: "ro" } } } } 配置后,Agent 只能读取文件,无法创建、修改或删除。 2. 完全隔离 - 看不到你的文件 { agents: { defaults: { sandbox: { mode: "all", workspaceAccess: "none" } } } } Agent 完全看不到你的文件系统,只能在自己的沙箱中操作。 3. 禁用特定工具 - 精确控制 { tools: { deny: ["write", "edit", "apply_patch"] } } 只禁止修改类工具,Agent 仍然可以读取和执行命令。 ...