x.com 02/02/2026 MD Sandbox

A Security-First Guide to Running OpenClaw (in 9 Steps)

OpenAI Segurança Digital OpenClaw Tecnologia

Conteudo

TLDR;

OpenClaw é um assistente de IA self-hosted que roda no seu hardware e este guia "security‑first" mostra como instalá‑lo e configurá‑lo para reduzir riscos como exposição de rede, vazamento de memória e execução de comandos perigosos. O guia descreve nove passos para rodar OpenClaw num Raspberry Pi usando Venice AI, acesso via Tailscale, mensagens E2E por Matrix, hardening de SSH, encriptação de armazenamento e proteções contra prompt injection. Ainda assim não há garantias absolutas: o guia reduz a superfície de ataque mas não elimina prompt injection, não pode verificar a privacidade do provedor e não protege contra um dispositivo comprometido ou erro do usuário.

Resumo

  • Passo 1 — Preparar o Raspberry Pi: Flash do Raspberry Pi OS, habilitar SSH com chave, atualizar o sistema e configurar usuário/hostname para ter um dispositivo dedicado e isolado.
  • Passo 2 — Configurar Tailscale: Entrar o Pi na sua rede Tailscale para acesso privado e evitar expor portas SSH à internet pública.
  • Passo 3 — Obter chaves da Venice AI (provedor privado): Criar conta/gerar API key (pagamento com crypto opcional) para usar um modelo que alega não registrar prompts.
  • Passo 4 — Instalar Node.js e OpenClaw: Instalar runtime, clonar/instalar OpenClaw e executar o onboarding interativo com as opções recomendadas (Venice, Kimi-k2-5, gateway em loopback, etc.).
  • Passo 5 — Configurar mensagens E2E (Matrix): Usar Matrix para comunicação com criptografia ponta-a-ponta em vez de bots Telegram, garantindo que apenas telefone e Pi leiam o conteúdo.
  • Passo 6 — Reforçar acesso e firewall: Restringir SSH a Tailscale, habilitar firewall (ufw) e políticas que bloqueiem acessos não autorizados.
  • Passo 7 — Minimizar superfície de ataque: Desabilitar ferramentas desnecessárias, vincular serviços ao localhost, aplicar permissões restritas e usar hardware dedicado para limitar blast radius.
  • Passo 8 — Endurecer contra Prompt Injection: Instalar e configurar skills/plug-ins de proteção (ACIP, PromptGuard, SkillGuard) e aplicar práticas de validação/auditoria de entradas.

  • Passo 9 — Operacionalizar segurança e hábitos seguros: Definir o que nunca pedir ao assistente, cuidar de como armazenar credenciais, auditar logs/código e ter procedimentos para quando algo der errado.


    Post original: A Security-First Guide to Running OpenClaw (in 9 Steps)