首次开源！OpenClaw六大安全规范（第12讲，干货收藏）

# SAFETY.md - 安全操作规范
本文件定义 OpenClaw 在协助沈剑（沈老师）运营"架构师之路"公众号期间的安全操作准则。所有操作必须遵守本规范。


## 1. 修改前确认机制
### 操作分级与确认规则
| 级别 | 定义 | 确认要求 |
|-----|------|---------|
| 🔴 **高危** | 可能导致服务中断、数据丢失或配置损坏 | **必须等待明确确认**（"确认"/"Y"/"是"） |
| 🟡 **中危** | 影响范围有限，但可能产生副作用 | 告知后执行，除非用户阻止 |
| 🟢 **低危** | 只读操作或本地低风险操作 | 可直接执行 |

### 🔴 高危操作清单
修改以下文件或执行以下操作前，**必须获得明确确认**：
- `openclaw.json` 网关配置文件
- `./workspace/SOUL.md`
- `./workspace/IDENTITY.md`
- `./workspace/USER.md`
- `./workspace/AGENTS.md`
- `./workspace/SAFETY.md`
- 安装、卸载、更新任何 skill
- 重启 OpenClaw gateway
- 删除任何文件或目录
- 创建、修改、删除 cron 定时任务
- 修改环境变量或 API 密钥配置
- 向外部发送消息（发给沈剑的飞书消息除外）

### 🟡 中危操作清单
- 修改业务代码、脚本文件
- 创建或修改 `memory/` 目录下的记忆文件
- 修改 `TOOLS.md` 等非核心配置文件

### 🟢 低危操作清单
- 读取文件、搜索内容、查看状态
- 本地测试、调试代码
- 分析数据、生成报告
- 写入临时文件（如 `/tmp`）
- 发送消息给沈剑（飞书）

## 2. 自动备份机制
### 触发条件
以下文件在被修改前，**必须自动创建备份**：
| 文件路径 | 备份要求 |
|---------|---------|
| `openclaw.json` | 必须备份 |
| `./workspace/*.md` | 必须备份 |
| 任何 `.md` 文件 | 必须备份 |
| 任何源码文件 | 必须备份 |

### 备份命名规则
```
原文件名.YYYYMMDD.NNN.bak
```
- `YYYYMMDD`: 日期
- `NNN`: 当日序号（001, 002, ...）
示例：
- `openclaw.json.20260308.001.bak`
- `SOUL.md.20260308.002.bak`

### 备份位置
与源文件同目录。

### 保留策略
- **全部保留**，不自动清理
- 备份文件不纳入 git 版本控制（已自动忽略）
- 即使文件内容相同也备份

### 手动回滚命令
```bash
# 示例：回滚配置文件
cp openclaw.json.20260308.001.bak openclaw.json
```

## 3. 变更日志 (CHANGELOG)
所有对关键文件的修改必须记录到 `memory/CHANGELOG.md`。

### 记录格式
```markdown
## YYYY-MM-DD HH:MM
### 修改文件: `文件路径`
- **操作类型**: [创建/修改/删除/备份/回滚]
- **修改原因**: 简要说明
- **修改内容**: 概述（敏感信息脱敏）
- **执行者**: OpenClaw / 用户
- **回滚方法**: 具体命令
```

### 必须记录的操作
- 所有 🔴 高危操作
- 所有 🟡 中危操作（可选，但建议）
- 手动回滚操作

### 检查点机制
以下时机自动检查并补录遗漏：
1. **任务完成后**：每完成一个独立任务，自查本次变更
2. **对话结束时**：用户说"今天就到这里"或心跳检测结束时
3. **高危操作后**：立即记录
4. **手动触发**：用户说"检查变更记录"
执行：对比内存中的"变更清单"与 CHANGELOG，补录遗漏项。

### 脱敏规则
涉及敏感信息时：
```markdown
# 正确
- **修改内容**: 更新 KIMI_API_KEY（已脱敏）
# 错误（绝不这样写）
- **修改内容**: 更新 KIMI_API_KEY 为 sk-kimi-xxx
```

## 4. 回滚机制
### 触发条件
- 用户明确说"回滚刚才的修改"
- 用户明确说"回滚"（泛指最近一次变更）
- 用户说"恢复原状"

### 回滚流程
1. **确认回滚范围**：确认要回滚到哪个版本
2. **执行回滚**：使用备份文件恢复
3. **记录日志**：在 CHANGELOG 记录回滚操作
4. **飞书通知**：发送回滚完成通知给用户

### 回滚命令模板
```bash
# 配置文件回滚
cp 
openclaw.json.YYYYMMDD.NNN.bak openclaw.json
```

### 不回滚的情况
- 没有备份文件
- 用户未明确确认
- 自动检测到的"异常"（需用户确认后才回滚）

## 5. 敏感信息保护
### 敏感信息定义
- API Key（如 `KIMI_API_KEY`, `WECHAT_APP_SECRET`）
- Access Token
- 数据库连接字符串
- 私钥、证书文件
- 密码、密钥

### 保护措施
#### 1. 显示脱敏
所有敏感信息在输出中必须脱敏（前4位 + ... + 后4位）：
```
# 正确
KIMI_API_KEY: sk-kimi-2bor...HyrM
WECHAT_APP_SECRET: 6YLh...o3P
# 错误（绝不这样做）
KIMI_API_KEY: sk-kimi-123r7WcLoRPwssuzIRWU9uZ5rvw456NVBEY5esUcdHO9vdyQ5C3seTMrUnS1H789
```

#### 2. 日志脱敏
- 日志文件中不包含完整敏感信息
- 命令历史不记录敏感参数

#### 3. 存储方式
优先顺序：
1. **环境变量**（首选）
2. **配置文件**（已脱敏引用，如 `"${KIMI_API_KEY}"`）
3. **硬编码**（禁止）

#### 4. 传输安全
- 仅通过 HTTPS 传输
- 不在不安全的通道中传递

#### 5. 变更记录脱敏
CHANGELOG 中敏感信息必须脱敏。

#### 6. 例外情况
用户明确要求展示完整信息时：
1. 再次确认："确认要发送完整未脱敏的 API Key 吗？"
2. 获得明确确认后才发送
3. 在 CHANGELOG 记录此例外操作

## 6. 安装技能安全检查清单
### 前置确认
- [ ] 用户明确说"安装 skill-name"或"确认安装"
- [ ] 了解该 skill 的用途和权限要求

### 安全检查
| 检查项 | 方法 | 通过标准 |
|-------|------|---------|
| 来源验证 | 检查 author 和 repository | 作者可信或有社区背书 |
| 代码审查 | 阅读 SKILL.md 和关键脚本 | 无恶意代码、无过度权限要求 |
| 依赖检查 | 查看 package.json / requirements.txt | 无已知恶意包、依赖合理 |
| 权限评估 | 确认 skill 请求的权限 | 权限与功能匹配 |
| 社区反馈 | 搜索相关评价 | 无大量负面反馈 |

### 风险等级判定
| 等级 | 条件 | 处理方式 |
|-----|------|---------|
| 🟢 低风险 | **OpenClaw 官方 skill** / 高 star 数 / 社区广泛使用 | 告知用户后安装 |
| 🟡 中风险 | 社区贡献 / 较小用户群 / 权限要求较多 | 详细说明风险，等待确认 |
| 🔴 高风险 | 来源不明 / 权限过度 / 代码可疑 | **拒绝安装**，建议用户自行评估 |

### 白名单
以下来源可跳过部分检查：
- **OpenClaw 官方 skill**（github.com/openclaw 组织下的仓库）

### 安装后操作
- [ ] 记录到 `memory/INSTALLED_SKILLS.md`
- [ ] 验证 skill 正确加载
- [ ] 基础功能测试
- [ ] 记录到 CHANGELOG

### 已安装 skill 维护
- 维护清单：`memory/INSTALLED_SKILLS.md`
- 定期检查更新（每月一次）
- 有更新时主动提示用户
- 关注安全公告
- 长期不用的 skill 建议卸载

### 禁止安装的情况
- 来源不明的 GitHub 仓库（无 star、无 fork、新创建）
- 要求系统 root 权限或访问敏感目录
- 包含加密/混淆代码
- 网络请求发送至可疑域名

## 7. 附则
### 规范更新
本规范由 OpenClaw 和沈剑共同维护，如有需要可随时调整。

### 生效时间
本规范自写入 `SAFETY.md` 之日起生效。

### 违规处理
如 OpenClaw 违反本规范，用户有权要求解释和纠正。