---
read_when:
    - Adicionar recursos que ampliam o acesso ou a automação
summary: Considerações de segurança e modelo de ameaças para executar um Gateway de IA com acesso ao shell
title: Segurança
x-i18n:
    generated_at: "2026-05-10T19:36:14Z"
    model: gpt-5.5
    provider: openai
    source_hash: dc25981e46229a6fabe72d70222953e84fcb6a0b19792e9849c4e05de7c266bb
    source_path: gateway/security/index.md
    workflow: 16
---

<Warning>
  **Modelo de confiança de assistente pessoal.** Esta orientação pressupõe um limite de
  operador confiável por Gateway (modelo de assistente pessoal de usuário único).
  O OpenClaw **não** é um limite de segurança multi-tenant hostil para múltiplos
  usuários adversariais compartilhando um agente ou Gateway. Se você precisa de operação
  com confiança mista ou usuários adversariais, separe os limites de confiança (Gateway +
  credenciais separados, idealmente usuários do SO ou hosts separados).
</Warning>

## Escopo primeiro: modelo de segurança de assistente pessoal

A orientação de segurança do OpenClaw pressupõe uma implantação de **assistente pessoal**: um limite de operador confiável, potencialmente muitos agentes.

- Postura de segurança compatível: um usuário/limite de confiança por Gateway (prefira um usuário do SO/host/VPS por limite).
- Não é um limite de segurança compatível: um Gateway/agente compartilhado usado por usuários mutuamente não confiáveis ou adversariais.
- Se for necessário isolamento de usuários adversariais, separe por limite de confiança (Gateway + credenciais separados e, idealmente, usuários/hosts do SO separados).
- Se vários usuários não confiáveis puderem enviar mensagens para um agente com ferramentas habilitadas, trate-os como compartilhando a mesma autoridade de ferramenta delegada para esse agente.

Esta página explica o fortalecimento **dentro desse modelo**. Ela não afirma fornecer isolamento multi-tenant hostil em um Gateway compartilhado.

## Verificação rápida: `openclaw security audit`

Veja também: [Verificação formal (modelos de segurança)](/pt-BR/security/formal-verification)

Execute isto regularmente (especialmente depois de alterar a configuração ou expor superfícies de rede):

```bash
openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --json
```

`security audit --fix` permanece intencionalmente restrito: ele troca políticas comuns de grupo aberto
para listas de permissão, restaura `logging.redactSensitive: "tools"`, torna mais rígidas
as permissões de estado/configuração/arquivos incluídos e usa redefinições de ACL do Windows em vez de
POSIX `chmod` ao executar no Windows.

Ele sinaliza problemas comuns (exposição de autenticação do Gateway, exposição de controle do navegador, listas de permissão elevadas, permissões de sistema de arquivos, aprovações de execução permissivas e exposição de ferramentas em canais abertos).

O OpenClaw é tanto um produto quanto um experimento: você está conectando comportamento de modelos de fronteira a superfícies reais de mensagens e ferramentas reais. **Não existe configuração "perfeitamente segura".** O objetivo é ser deliberado sobre:

- quem pode falar com seu bot
- onde o bot tem permissão para agir
- no que o bot pode tocar

Comece com o menor acesso que ainda funcione, depois amplie conforme ganhar confiança.

### Implantação e confiança no host

O OpenClaw pressupõe que o limite de host e configuração é confiável:

- Se alguém puder modificar o estado/configuração do host do Gateway (`~/.openclaw`, incluindo `openclaw.json`), trate essa pessoa como um operador confiável.
- Executar um Gateway para vários operadores mutuamente não confiáveis/adversariais **não é uma configuração recomendada**.
- Para equipes com confiança mista, separe os limites de confiança com gateways separados (ou, no mínimo, usuários/hosts do SO separados).
- Padrão recomendado: um usuário por máquina/host (ou VPS), um Gateway para esse usuário e um ou mais agentes nesse Gateway.
- Dentro de uma instância de Gateway, o acesso autenticado de operador é uma função confiável do plano de controle, não uma função de tenant por usuário.
- Identificadores de sessão (`sessionKey`, IDs de sessão, rótulos) são seletores de roteamento, não tokens de autorização.
- Se várias pessoas puderem enviar mensagens para um agente com ferramentas habilitadas, cada uma delas poderá direcionar esse mesmo conjunto de permissões. O isolamento de sessão/memória por usuário ajuda na privacidade, mas não converte um agente compartilhado em autorização de host por usuário.

### Operações de arquivo seguras

O OpenClaw usa `@openclaw/fs-safe` para acesso a arquivos limitado por raiz, escritas atômicas, extração de arquivos compactados, workspaces temporários e auxiliares para arquivos secretos. Por padrão, o OpenClaw deixa o auxiliar Python POSIX opcional do fs-safe **desativado**; defina `OPENCLAW_FS_SAFE_PYTHON_MODE=auto` ou `require` somente quando quiser o reforço extra de mutação relativa a fd e puder oferecer suporte a um runtime Python.

Detalhes: [Operações de arquivo seguras](/pt-BR/gateway/security/secure-file-operations).

### Workspace Slack compartilhado: risco real

Se "todos no Slack podem enviar mensagens para o bot", o risco central é a autoridade de ferramenta delegada:

- qualquer remetente permitido pode induzir chamadas de ferramenta (`exec`, navegador, ferramentas de rede/arquivo) dentro da política do agente;
- injeção de prompt/conteúdo de um remetente pode causar ações que afetam estado, dispositivos ou saídas compartilhados;
- se um agente compartilhado tiver credenciais/arquivos sensíveis, qualquer remetente permitido poderá potencialmente conduzir exfiltração por meio do uso de ferramentas.

Use agentes/gateways separados com ferramentas mínimas para fluxos de trabalho de equipe; mantenha privados os agentes com dados pessoais.

### Agente compartilhado pela empresa: padrão aceitável

Isto é aceitável quando todos que usam esse agente estão no mesmo limite de confiança (por exemplo, uma equipe da empresa) e o agente tem escopo estritamente empresarial.

- execute-o em uma máquina/VM/contêiner dedicado;
- use um usuário do SO dedicado + navegador/perfil/contas dedicados para esse runtime;
- não conecte esse runtime a contas pessoais da Apple/Google nem a perfis pessoais de gerenciador de senhas/navegador.

Se você misturar identidades pessoais e corporativas no mesmo runtime, você elimina a separação e aumenta o risco de exposição de dados pessoais.

## Conceito de confiança de Gateway e Node

Trate Gateway e Node como um único domínio de confiança do operador, com funções diferentes:

- **Gateway** é o plano de controle e a superfície de política (`gateway.auth`, política de ferramentas, roteamento).
- **Node** é a superfície de execução remota pareada a esse Gateway (comandos, ações de dispositivo, capacidades locais do host).
- Um chamador autenticado no Gateway é confiável no escopo do Gateway. Após o pareamento, ações de Node são ações confiáveis de operador nesse Node.
- Níveis de escopo do operador e verificações no momento da aprovação estão resumidos em
  [Escopos de operador](/pt-BR/gateway/operator-scopes).
- Clientes diretos de backend em loopback autenticados com o token/senha compartilhado do Gateway
  podem fazer RPCs internos do plano de controle sem apresentar uma identidade de dispositivo
  de usuário. Isso não é uma forma de contornar o pareamento remoto ou do navegador: clientes de rede,
  clientes de Node, clientes com token de dispositivo e identidades explícitas de dispositivo
  ainda passam por pareamento e aplicação de upgrade de escopo.
- `sessionKey` é seleção de roteamento/contexto, não autenticação por usuário.
- Aprovações de execução (lista de permissão + pergunta) são proteções para a intenção do operador, não isolamento multi-tenant hostil.
- O padrão de produto do OpenClaw para configurações confiáveis de operador único é que a execução no host em `gateway`/`node` seja permitida sem prompts de aprovação (`security="full"`, `ask="off"`, a menos que você a restrinja). Esse padrão é uma UX intencional, não uma vulnerabilidade por si só.
- Aprovações de execução vinculam o contexto exato da solicitação e operandos de arquivo local diretos em melhor esforço; elas não modelam semanticamente todos os caminhos de runtime/interpretador/carregador. Use sandboxing e isolamento de host para limites fortes.

Se precisar de isolamento contra usuários hostis, separe os limites de confiança por usuário/host do SO e execute gateways separados.

## Matriz de limites de confiança

Use isto como modelo rápido ao fazer triagem de risco:

| Limite ou controle                                        | O que significa                                  | Leitura incorreta comum                                                       |
| --------------------------------------------------------- | ------------------------------------------------ | ----------------------------------------------------------------------------- |
| `gateway.auth` (token/senha/proxy confiável/autenticação de dispositivo) | Autentica chamadores nas APIs do Gateway         | "Precisa de assinaturas por mensagem em cada frame para ser seguro"           |
| `sessionKey`                                              | Chave de roteamento para seleção de contexto/sessão | "A chave de sessão é um limite de autenticação de usuário"                    |
| Proteções de prompt/conteúdo                              | Reduzem o risco de abuso do modelo               | "Injeção de prompt por si só prova bypass de autenticação"                    |
| `canvas.eval` / avaliação do navegador                    | Capacidade intencional do operador quando habilitada | "Qualquer primitiva de avaliação JS é automaticamente uma vulnerabilidade neste modelo de confiança" |
| Shell `!` local da TUI                                    | Execução local explicitamente acionada pelo operador | "Comando de conveniência de shell local é injeção remota"                     |
| Pareamento de Node e comandos de Node                     | Execução remota em nível de operador em dispositivos pareados | "Controle remoto de dispositivo deve ser tratado como acesso de usuário não confiável por padrão" |
| `gateway.nodes.pairing.autoApproveCidrs`                  | Política opcional de inscrição de Node em rede confiável | "Uma lista de permissão desativada por padrão é uma vulnerabilidade automática de pareamento" |

## Não são vulnerabilidades por design

<Accordion title="Descobertas comuns que estão fora do escopo">

Esses padrões são relatados com frequência e geralmente são fechados sem ação, a menos que
um bypass real de limite seja demonstrado:

- Cadeias apenas de injeção de prompt sem bypass de política, autenticação ou sandbox.
- Alegações que pressupõem operação multi-tenant hostil em um host ou
  configuração compartilhados.
- Alegações que classificam o acesso normal de leitura do operador (por exemplo
  `sessions.list` / `sessions.preview` / `chat.history`) como IDOR em uma
  configuração de Gateway compartilhado.
- Descobertas de implantação somente em localhost (por exemplo, HSTS em um Gateway
  somente em loopback).
- Descobertas de assinatura de Webhook de entrada do Discord para caminhos de entrada que não
  existem neste repositório.
- Relatórios que tratam metadados de pareamento de Node como uma segunda camada oculta de
  aprovação por comando para `system.run`, quando o limite real de execução continua sendo
  a política global de comandos de Node do Gateway mais as próprias aprovações de execução
  do Node.
- Relatórios que tratam `gateway.nodes.pairing.autoApproveCidrs` configurado como uma
  vulnerabilidade por si só. Essa configuração é desativada por padrão, exige
  entradas explícitas de CIDR/IP, aplica-se somente ao primeiro pareamento com `role: node`
  sem escopos solicitados, e não aprova automaticamente operador/navegador/Control UI,
  WebChat, upgrades de função, upgrades de escopo, alterações de metadados, alterações de chave pública
  ou caminhos de cabeçalho trusted-proxy em loopback no mesmo host, a menos que a autenticação trusted-proxy em loopback tenha sido explicitamente habilitada.
- Descobertas de "autorização por usuário ausente" que tratam `sessionKey` como um
  token de autenticação.

</Accordion>

## Baseline reforçada em 60 segundos

Use esta baseline primeiro e depois reabilite seletivamente ferramentas por agente confiável:

```json5
{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "replace-with-long-random-token" },
  },
  session: {
    dmScope: "per-channel-peer",
  },
  tools: {
    profile: "messaging",
    deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
    fs: { workspaceOnly: true },
    exec: { security: "deny", ask: "always" },
    elevated: { enabled: false },
  },
  channels: {
    whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } },
  },
}
```

Isso mantém o Gateway somente local, isola DMs e desativa ferramentas de plano de controle/runtime por padrão.

## Regra rápida para caixa de entrada compartilhada

Se mais de uma pessoa puder enviar DM para seu bot:

- Defina `session.dmScope: "per-channel-peer"` (ou `"per-account-channel-peer"` para canais multi-conta).
- Mantenha `dmPolicy: "pairing"` ou listas de permissão rígidas.
- Nunca combine DMs compartilhadas com acesso amplo a ferramentas.
- Isso fortalece caixas de entrada cooperativas/compartilhadas, mas não foi projetado como isolamento hostil entre co-tenants quando usuários compartilham acesso de escrita ao host/configuração.

## Modelo de visibilidade de contexto

O OpenClaw separa dois conceitos:

- **Autorização de acionamento**: quem pode acionar o agente (`dmPolicy`, `groupPolicy`, listas de permissão, gates de menção).
- **Visibilidade de contexto**: qual contexto suplementar é injetado na entrada do modelo (corpo da resposta, texto citado, histórico da thread, metadados encaminhados).

Listas de permissão controlam acionamentos e autorização de comandos. A configuração `contextVisibility` controla como o contexto suplementar (respostas citadas, raízes de thread, histórico buscado) é filtrado:

- `contextVisibility: "all"` (padrão) mantém o contexto suplementar como recebido.
- `contextVisibility: "allowlist"` filtra o contexto suplementar para remetentes permitidos pelas verificações da lista de permissões ativa.
- `contextVisibility: "allowlist_quote"` se comporta como `allowlist`, mas ainda mantém uma resposta explicitamente citada.

Defina `contextVisibility` por canal ou por sala/conversa. Consulte [Chats em grupo](/pt-BR/channels/groups#context-visibility-and-allowlists) para detalhes de configuração.

Orientação para triagem de avisos:

- Alegações que mostram apenas que "o modelo consegue ver texto citado ou histórico de remetentes fora da lista de permissões" são achados de reforço que podem ser tratados com `contextVisibility`, não desvios de autenticação ou de limites de sandbox por si só.
- Para ter impacto de segurança, os relatórios ainda precisam demonstrar um desvio de limite de confiança (autenticação, política, sandbox, aprovação ou outro limite documentado).

## O que a auditoria verifica (visão geral)

- **Acesso de entrada** (políticas de DM, políticas de grupo, listas de permissões): estranhos conseguem acionar o bot?
- **Raio de impacto das ferramentas** (ferramentas elevadas + salas abertas): uma injeção de prompt poderia se transformar em ações de shell/arquivo/rede?
- **Desvio do sistema de arquivos em exec**: ferramentas que alteram o sistema de arquivos são negadas enquanto `exec`/`process` permanecem disponíveis sem restrições de sistema de arquivos do sandbox?
- **Desvio de aprovação em exec** (`security=full`, `autoAllowSkills`, listas de permissões de interpretadores sem `strictInlineEval`): as proteções de execução no host ainda estão fazendo o que você acha que estão?
  - `security="full"` é um aviso amplo de postura, não prova de um bug. É o padrão escolhido para configurações confiáveis de assistente pessoal; restrinja-o apenas quando seu modelo de ameaças precisar de proteções de aprovação ou lista de permissões.
- **Exposição de rede** (bind/autenticação do Gateway, Tailscale Serve/Funnel, tokens de autenticação fracos/curtos).
- **Exposição de controle do navegador** (nós remotos, portas de relay, endpoints CDP remotos).
- **Higiene do disco local** (permissões, symlinks, inclusões de configuração, caminhos de "pasta sincronizada").
- **Plugins** (plugins carregam sem uma lista de permissões explícita).
- **Desvio/má configuração de política** (configurações de sandbox Docker definidas, mas modo sandbox desligado; padrões ineficazes de `gateway.nodes.denyCommands` porque a correspondência é apenas pelo nome exato do comando (por exemplo, `system.run`) e não inspeciona o texto do shell; entradas perigosas em `gateway.nodes.allowCommands`; `tools.profile="minimal"` global sobrescrito por perfis por agente; ferramentas pertencentes a plugins acessíveis sob política permissiva de ferramentas).
- **Desvio de expectativa de runtime** (por exemplo, assumir que exec implícito ainda significa `sandbox` quando `tools.exec.host` agora usa `auto` por padrão, ou definir explicitamente `tools.exec.host="sandbox"` enquanto o modo sandbox está desligado).
- **Higiene de modelo** (avisa quando modelos configurados parecem legados; não é um bloqueio rígido).

Se você executar `--deep`, o OpenClaw também tenta uma sondagem ativa de Gateway com melhor esforço.

## Mapa de armazenamento de credenciais

Use isto ao auditar acesso ou decidir o que fazer backup:

- **WhatsApp**: `~/.openclaw/credentials/whatsapp/<accountId>/creds.json`
- **Token de bot do Telegram**: config/env ou `channels.telegram.tokenFile` (somente arquivo regular; symlinks rejeitados)
- **Token de bot do Discord**: config/env ou SecretRef (provedores env/file/exec)
- **Tokens do Slack**: config/env (`channels.slack.*`)
- **Listas de permissões de pareamento**:
  - `~/.openclaw/credentials/<channel>-allowFrom.json` (conta padrão)
  - `~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json` (contas não padrão)
- **Perfis de autenticação de modelo**: `~/.openclaw/agents/<agentId>/agent/auth-profiles.json`
- **Estado de runtime do Codex**: `~/.openclaw/agents/<agentId>/agent/codex-home/`
- **Payload de segredos em arquivo (opcional)**: `~/.openclaw/secrets.json`
- **Importação OAuth legada**: `~/.openclaw/credentials/oauth.json`

## Checklist de auditoria de segurança

Quando a auditoria imprimir achados, trate isto como ordem de prioridade:

1. **Qualquer coisa "aberta" + ferramentas habilitadas**: restrinja DMs/grupos primeiro (pareamento/listas de permissões), depois restrinja a política de ferramentas/sandboxing.
2. **Exposição de rede pública** (bind na LAN, Funnel, autenticação ausente): corrija imediatamente.
3. **Exposição remota de controle do navegador**: trate como acesso de operador (somente tailnet, pareie nós deliberadamente, evite exposição pública).
4. **Permissões**: garanta que estado/configuração/credenciais/autenticação não possam ser lidos por grupo/todos.
5. **Plugins**: carregue apenas o que você confia explicitamente.
6. **Escolha de modelo**: prefira modelos modernos e reforçados contra instruções para qualquer bot com ferramentas.

## Glossário da auditoria de segurança

Cada achado de auditoria é identificado por um `checkId` estruturado (por exemplo,
`gateway.bind_no_auth` ou `tools.exec.security_full_configured`). Classes comuns
de severidade crítica:

- `fs.*` - permissões de sistema de arquivos em estado, configuração, credenciais, perfis de autenticação.
- `gateway.*` - modo de bind, autenticação, Tailscale, Control UI, configuração de proxy confiável.
- `hooks.*`, `browser.*`, `sandbox.*`, `tools.exec.*` - reforço por superfície.
- `plugins.*`, `skills.*` - cadeia de suprimento de plugin/skill e achados de varredura.
- `security.exposure.*` - verificações transversais onde política de acesso encontra raio de impacto de ferramentas.

Veja o catálogo completo com níveis de severidade, chaves de correção e suporte a correção automática em
[Verificações de auditoria de segurança](/pt-BR/gateway/security/audit-checks).

## Control UI sobre HTTP

A Control UI precisa de um **contexto seguro** (HTTPS ou localhost) para gerar a
identidade do dispositivo. `gateway.controlUi.allowInsecureAuth` é um alternador de compatibilidade local:

- Em localhost, ele permite autenticação da Control UI sem identidade de dispositivo quando a página
  é carregada por HTTP não seguro.
- Ele não contorna verificações de pareamento.
- Ele não relaxa requisitos de identidade de dispositivo remoto (não localhost).

Prefira HTTPS (Tailscale Serve) ou abra a UI em `127.0.0.1`.

Apenas para cenários de emergência, `gateway.controlUi.dangerouslyDisableDeviceAuth`
desabilita totalmente as verificações de identidade de dispositivo. Isso é um rebaixamento severo de segurança;
mantenha-o desligado, a menos que você esteja depurando ativamente e consiga reverter rapidamente.

Separado dessas flags perigosas, `gateway.auth.mode: "trusted-proxy"` bem-sucedido
pode admitir sessões de Control UI de **operador** sem identidade de dispositivo. Esse é um
comportamento intencional do modo de autenticação, não um atalho de `allowInsecureAuth`, e ainda
não se estende a sessões de Control UI com função de nó.

`openclaw security audit` avisa quando essa configuração está habilitada.

## Resumo de flags inseguras ou perigosas

`openclaw security audit` emite `config.insecure_or_dangerous_flags` quando
switches de depuração sabidamente inseguros/perigosos estão habilitados. Mantenha-os não definidos em
produção.

<AccordionGroup>
  <Accordion title="Flags tracked by the audit today">
    - `gateway.controlUi.allowInsecureAuth=true`
    - `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true`
    - `gateway.controlUi.dangerouslyDisableDeviceAuth=true`
    - `hooks.gmail.allowUnsafeExternalContent=true`
    - `hooks.mappings[<index>].allowUnsafeExternalContent=true`
    - `tools.exec.applyPatch.workspaceOnly=false`
    - `plugins.entries.acpx.config.permissionMode=approve-all`

  </Accordion>

  <Accordion title="All `dangerous*` / `dangerously*` keys in the config schema">
    Control UI e navegador:

    - `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback`
    - `gateway.controlUi.dangerouslyDisableDeviceAuth`
    - `browser.ssrfPolicy.dangerouslyAllowPrivateNetwork`

    Correspondência de nomes de canais (canais incluídos e de plugin; também disponível por
    `accounts.<accountId>` quando aplicável):

    - `channels.discord.dangerouslyAllowNameMatching`
    - `channels.slack.dangerouslyAllowNameMatching`
    - `channels.googlechat.dangerouslyAllowNameMatching`
    - `channels.msteams.dangerouslyAllowNameMatching`
    - `channels.synology-chat.dangerouslyAllowNameMatching` (canal de plugin)
    - `channels.synology-chat.dangerouslyAllowInheritedWebhookPath` (canal de plugin)
    - `channels.zalouser.dangerouslyAllowNameMatching` (canal de plugin)
    - `channels.irc.dangerouslyAllowNameMatching` (canal de plugin)
    - `channels.mattermost.dangerouslyAllowNameMatching` (canal de plugin)

    Exposição de rede:

    - `channels.telegram.network.dangerouslyAllowPrivateNetwork` (também por conta)

    Sandbox Docker (padrões + por agente):

    - `agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargets`
    - `agents.defaults.sandbox.docker.dangerouslyAllowExternalBindSources`
    - `agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin`

  </Accordion>
</AccordionGroup>

## Configuração de proxy reverso

Se você executar o Gateway atrás de um proxy reverso (nginx, Caddy, Traefik etc.), configure
`gateway.trustedProxies` para o tratamento correto do IP do cliente encaminhado.

Quando o Gateway detecta cabeçalhos de proxy de um endereço que **não** está em `trustedProxies`, ele **não** tratará conexões como clientes locais. Se a autenticação do Gateway estiver desabilitada, essas conexões serão rejeitadas. Isso evita desvio de autenticação em que conexões por proxy, de outra forma, pareceriam vir de localhost e receber confiança automática.

`gateway.trustedProxies` também alimenta `gateway.auth.mode: "trusted-proxy"`, mas esse modo de autenticação é mais restrito:

- a autenticação trusted-proxy **falha fechada em proxies de origem loopback por padrão**
- proxies reversos loopback no mesmo host podem usar `gateway.trustedProxies` para detecção de cliente local e tratamento de IP encaminhado
- proxies reversos loopback no mesmo host só podem satisfazer `gateway.auth.mode: "trusted-proxy"` quando `gateway.auth.trustedProxy.allowLoopback = true`; caso contrário, use autenticação por token/senha

```yaml
gateway:
  trustedProxies:
    - "10.0.0.1" # reverse proxy IP
  # Optional. Default false.
  # Only enable if your proxy cannot provide X-Forwarded-For.
  allowRealIpFallback: false
  auth:
    mode: password
    password: ${OPENCLAW_GATEWAY_PASSWORD}
```

Quando `trustedProxies` está configurado, o Gateway usa `X-Forwarded-For` para determinar o IP do cliente. `X-Real-IP` é ignorado por padrão, a menos que `gateway.allowRealIpFallback: true` seja definido explicitamente.

Cabeçalhos de proxy confiável não tornam automaticamente confiável o pareamento de dispositivos de nós.
`gateway.nodes.pairing.autoApproveCidrs` é uma política de operador separada, desabilitada por padrão.
Mesmo quando habilitada, caminhos de cabeçalho de trusted-proxy com origem em loopback
são excluídos da aprovação automática de nós porque chamadores locais podem falsificar esses
cabeçalhos, inclusive quando a autenticação trusted-proxy de loopback está explicitamente habilitada.

Bom comportamento de proxy reverso (sobrescrever cabeçalhos de encaminhamento recebidos):

```nginx
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;
```

Mau comportamento de proxy reverso (anexar/preservar cabeçalhos de encaminhamento não confiáveis):

```nginx
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
```

## HSTS e notas de origem

- O gateway do OpenClaw é local/loopback primeiro. Se você terminar TLS em um proxy reverso, defina HSTS no domínio HTTPS voltado ao proxy ali.
- Se o próprio gateway terminar HTTPS, você pode definir `gateway.http.securityHeaders.strictTransportSecurity` para emitir o cabeçalho HSTS nas respostas do OpenClaw.
- A orientação detalhada de implantação está em [Autenticação de proxy confiável](/pt-BR/gateway/trusted-proxy-auth#tls-termination-and-hsts).
- Para implantações de Control UI fora de loopback, `gateway.controlUi.allowedOrigins` é obrigatório por padrão.
- `gateway.controlUi.allowedOrigins: ["*"]` é uma política explícita de permitir todas as origens de navegador, não um padrão reforçado. Evite-a fora de testes locais rigidamente controlados.
- Falhas de autenticação de origem de navegador em loopback ainda têm limite de taxa mesmo quando a
  isenção geral de loopback está habilitada, mas a chave de bloqueio é escopada por
  valor normalizado de `Origin` em vez de um único bucket localhost compartilhado.
- `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true` habilita o modo de fallback de origem por cabeçalho Host; trate-o como uma política perigosa selecionada pelo operador.
- Trate rebinding de DNS e comportamento de cabeçalho de host de proxy como preocupações de reforço de implantação; mantenha `trustedProxies` estrito e evite expor o gateway diretamente à internet pública.

## Logs de sessão local ficam no disco

OpenClaw armazena transcrições de sessões no disco em `~/.openclaw/agents/<agentId>/sessions/*.jsonl`.
Isso é necessário para a continuidade da sessão e (opcionalmente) para a indexação da memória da sessão, mas também significa que
**qualquer processo/usuário com acesso ao sistema de arquivos pode ler esses logs**. Trate o acesso ao disco como o limite de confiança
e restrinja as permissões em `~/.openclaw` (consulte a seção de auditoria abaixo). Se você precisar de
isolamento mais forte entre agentes, execute-os em usuários separados do sistema operacional ou em hosts separados.

## Execução do Node (system.run)

Se um Node macOS estiver pareado, o Gateway poderá invocar `system.run` nesse Node. Isso é **execução remota de código** no Mac:

- Exige pareamento do Node (aprovação + token).
- O pareamento de Node do Gateway não é uma superfície de aprovação por comando. Ele estabelece a identidade/confiança do Node e a emissão de tokens.
- O Gateway aplica uma política global ampla de comandos de Node via `gateway.nodes.allowCommands` / `denyCommands`.
- Controlado no Mac via **Settings → Exec approvals** (segurança + perguntar + lista de permissões).
- A política `system.run` por Node é o próprio arquivo de aprovações de execução do Node (`exec.approvals.node.*`), que pode ser mais restrito ou mais permissivo que a política global de IDs de comando do Gateway.
- Um Node executando com `security="full"` e `ask="off"` está seguindo o modelo padrão de operador confiável. Trate isso como comportamento esperado, a menos que sua implantação exija explicitamente uma postura mais rígida de aprovação ou lista de permissões.
- O modo de aprovação vincula o contexto exato da solicitação e, quando possível, um único operando concreto de script/arquivo local. Se o OpenClaw não conseguir identificar exatamente um arquivo local direto para um comando de interpretador/runtime, a execução respaldada por aprovação será negada em vez de prometer cobertura semântica completa.
- Para `host=node`, execuções respaldadas por aprovação também armazenam um
  `systemRunPlan` preparado canônico; encaminhamentos aprovados posteriores reutilizam esse plano armazenado, e a validação do gateway
  rejeita edições do chamador no contexto de comando/cwd/sessão depois que a
  solicitação de aprovação foi criada.
- Se você não quiser execução remota, defina a segurança como **deny** e remova o pareamento de Node desse Mac.

Essa distinção importa para triagem:

- Um Node pareado que se reconecta anunciando uma lista de comandos diferente não é, por si só, uma vulnerabilidade se a política global do Gateway e as aprovações locais de execução do Node ainda impõem o limite real de execução.
- Relatos que tratam metadados de pareamento de Node como uma segunda camada oculta de aprovação por comando geralmente são confusão de política/UX, não uma evasão de limite de segurança.

## Skills dinâmicas (observador / Nodes remotos)

O OpenClaw pode atualizar a lista de Skills no meio da sessão:

- **Observador de Skills**: alterações em `SKILL.md` podem atualizar o instantâneo de Skills no próximo turno do agente.
- **Nodes remotos**: conectar um Node macOS pode tornar Skills exclusivas do macOS elegíveis (com base em sondagem de binários).

Trate pastas de Skills como **código confiável** e restrinja quem pode modificá-las.

## O modelo de ameaça

Seu assistente de IA pode:

- Executar comandos shell arbitrários
- Ler/gravar arquivos
- Acessar serviços de rede
- Enviar mensagens para qualquer pessoa (se você der a ele acesso ao WhatsApp)

Pessoas que enviam mensagens para você podem:

- Tentar enganar sua IA para fazer coisas ruins
- Usar engenharia social para obter acesso aos seus dados
- Investigar detalhes de infraestrutura

## Conceito central: controle de acesso antes de inteligência

A maioria das falhas aqui não são explorações sofisticadas - são "alguém enviou mensagem para o bot e o bot fez o que foi pedido."

Postura do OpenClaw:

- **Identidade primeiro:** decida quem pode falar com o bot (pareamento por DM / listas de permissões / "open" explícito).
- **Escopo depois:** decida onde o bot tem permissão para agir (listas de permissões de grupos + exigência de menção, ferramentas, sandboxing, permissões de dispositivo).
- **Modelo por último:** presuma que o modelo pode ser manipulado; projete para que a manipulação tenha raio de impacto limitado.

## Modelo de autorização de comandos

Comandos de barra e diretivas só são aceitos para **remetentes autorizados**. A autorização é derivada de
listas de permissões/pareamento do canal mais `commands.useAccessGroups` (consulte [Configuração](/pt-BR/gateway/configuration)
e [Comandos de barra](/pt-BR/tools/slash-commands)). Se uma lista de permissões de canal estiver vazia ou incluir `"*"`,
os comandos estarão efetivamente abertos para esse canal.

`/exec` é uma conveniência somente de sessão para operadores autorizados. Ele **não** grava configuração nem
altera outras sessões.

## Risco das ferramentas de plano de controle

Duas ferramentas integradas podem fazer alterações persistentes no plano de controle:

- `gateway` pode inspecionar a configuração com `config.schema.lookup` / `config.get`, e pode fazer alterações persistentes com `config.apply`, `config.patch` e `update.run`.
- `cron` pode criar tarefas agendadas que continuam em execução depois que o chat/tarefa original termina.

A ferramenta runtime `gateway` exclusiva do proprietário ainda se recusa a reescrever
`tools.exec.ask` ou `tools.exec.security`; aliases legados `tools.bash.*` são
normalizados para os mesmos caminhos de execução protegidos antes da gravação.
Edições de `gateway config.apply` e `gateway config.patch` conduzidas por agente
falham fechadas por padrão: apenas um conjunto restrito de caminhos de prompt, modelo e exigência de menção
é ajustável pelo agente. Novas árvores de configuração sensíveis, portanto, ficam protegidas
a menos que sejam deliberadamente adicionadas à lista de permissões.

Para qualquer agente/superfície que manipule conteúdo não confiável, negue estes por padrão:

```json5
{
  tools: {
    deny: ["gateway", "cron", "sessions_spawn", "sessions_send"],
  },
}
```

`commands.restart=false` bloqueia apenas ações de reinicialização. Ele não desativa ações de configuração/atualização de `gateway`.

## Plugins

Plugins executam **no mesmo processo** que o Gateway. Trate-os como código confiável:

- Instale apenas plugins de fontes em que você confia.
- Prefira listas de permissões explícitas em `plugins.allow`.
- Revise a configuração do Plugin antes de habilitar.
- Reinicie o Gateway após alterações de Plugin.
- Se você instalar ou atualizar Plugins (`openclaw plugins install <package>`, `openclaw plugins update <id>`), trate isso como executar código não confiável:
  - O caminho de instalação é o diretório por Plugin sob a raiz ativa de instalação de Plugin.
  - O OpenClaw executa uma varredura integrada de código perigoso antes de instalar/atualizar. Descobertas `critical` bloqueiam por padrão.
  - Instalações de Plugins por npm e git executam convergência de dependências do gerenciador de pacotes somente durante o fluxo explícito de instalação/atualização. Caminhos locais e arquivos compactados são tratados como pacotes de Plugin autocontidos; o OpenClaw os copia/referencia sem executar `npm install`.
  - Prefira versões fixadas e exatas (`@scope/pkg@1.2.3`) e inspecione o código descompactado no disco antes de habilitar.
  - `--dangerously-force-unsafe-install` é apenas um mecanismo de emergência para falsos positivos da varredura integrada em fluxos de instalação/atualização de Plugin. Ele não ignora bloqueios de política do hook `before_install` do Plugin e não ignora falhas de varredura.
  - Instalações de dependências de Skills respaldadas pelo Gateway seguem a mesma divisão perigoso/suspeito: descobertas integradas `critical` bloqueiam, a menos que o chamador defina explicitamente `dangerouslyForceUnsafeInstall`, enquanto descobertas suspeitas ainda apenas avisam. `openclaw skills install` continua sendo o fluxo separado de download/instalação de Skills do ClawHub.

Detalhes: [Plugins](/pt-BR/tools/plugin)

## Modelo de acesso por DM: pareamento, lista de permissões, aberto, desativado

Todos os canais atuais compatíveis com DM dão suporte a uma política de DM (`dmPolicy` ou `*.dm.policy`) que controla DMs recebidas **antes** que a mensagem seja processada:

- `pairing` (padrão): remetentes desconhecidos recebem um código curto de pareamento e o bot ignora a mensagem deles até ser aprovado. Códigos expiram após 1 hora; DMs repetidas não reenviarão um código até que uma nova solicitação seja criada. Solicitações pendentes são limitadas a **3 por canal** por padrão.
- `allowlist`: remetentes desconhecidos são bloqueados (sem handshake de pareamento).
- `open`: permite que qualquer pessoa envie DM (público). **Exige** que a lista de permissões do canal inclua `"*"` (adesão explícita).
- `disabled`: ignora completamente DMs recebidas.

Aprove via CLI:

```bash
openclaw pairing list <channel>
openclaw pairing approve <channel> <code>
```

Detalhes + arquivos no disco: [Pareamento](/pt-BR/channels/pairing)

## Isolamento de sessão de DM (modo multiusuário)

Por padrão, o OpenClaw roteia **todas as DMs para a sessão principal** para que seu assistente tenha continuidade entre dispositivos e canais. Se **várias pessoas** puderem enviar DM para o bot (DMs abertas ou uma lista de permissões com várias pessoas), considere isolar sessões de DM:

```json5
{
  session: { dmScope: "per-channel-peer" },
}
```

Isso impede vazamento de contexto entre usuários enquanto mantém chats em grupo isolados.

Este é um limite de contexto de mensagens, não um limite de administrador de host. Se os usuários forem mutuamente adversariais e compartilharem o mesmo host/configuração de Gateway, execute Gateways separados por limite de confiança.

### Modo de DM seguro (recomendado)

Trate o trecho acima como **modo de DM seguro**:

- Padrão: `session.dmScope: "main"` (todas as DMs compartilham uma sessão para continuidade).
- Padrão de onboarding por CLI local: grava `session.dmScope: "per-channel-peer"` quando não definido (mantém valores explícitos existentes).
- Modo de DM seguro: `session.dmScope: "per-channel-peer"` (cada par canal+remetente recebe um contexto de DM isolado).
- Isolamento de par entre canais: `session.dmScope: "per-peer"` (cada remetente recebe uma sessão em todos os canais do mesmo tipo).

Se você executar várias contas no mesmo canal, use `per-account-channel-peer` em vez disso. Se a mesma pessoa entrar em contato com você em vários canais, use `session.identityLinks` para agrupar essas sessões de DM em uma identidade canônica. Consulte [Gerenciamento de sessões](/pt-BR/concepts/session) e [Configuração](/pt-BR/gateway/configuration).

## Listas de permissões para DMs e grupos

O OpenClaw tem duas camadas separadas de "quem pode me acionar?":

- **Lista de permissões de DM** (`allowFrom` / `channels.discord.allowFrom` / `channels.slack.allowFrom`; legado: `channels.discord.dm.allowFrom`, `channels.slack.dm.allowFrom`): quem tem permissão para falar com o bot em mensagens diretas.
  - Quando `dmPolicy="pairing"`, aprovações são gravadas no armazenamento de lista de permissões de pareamento com escopo de conta em `~/.openclaw/credentials/` (`<channel>-allowFrom.json` para a conta padrão, `<channel>-<accountId>-allowFrom.json` para contas não padrão), mescladas com listas de permissões da configuração.
- **Lista de permissões de grupo** (específica do canal): de quais grupos/canais/guildas o bot aceitará mensagens.
  - Padrões comuns:
    - `channels.whatsapp.groups`, `channels.telegram.groups`, `channels.imessage.groups`: padrões por grupo como `requireMention`; quando definido, isso também atua como uma lista de permissões de grupo (inclua `"*"` para manter o comportamento de permitir tudo).
    - `groupPolicy="allowlist"` + `groupAllowFrom`: restringe quem pode acionar o bot _dentro_ de uma sessão de grupo (WhatsApp/Telegram/Signal/iMessage/Microsoft Teams).
    - `channels.discord.guilds` / `channels.slack.channels`: listas de permissões por superfície + padrões de menção.
  - Verificações de grupo são executadas nesta ordem: `groupPolicy`/listas de permissões de grupo primeiro, ativação por menção/resposta em segundo.
  - Responder a uma mensagem do bot (menção implícita) **não** ignora listas de permissões de remetente como `groupAllowFrom`.
  - **Nota de segurança:** trate `dmPolicy="open"` e `groupPolicy="open"` como configurações de último recurso. Elas devem ser usadas raramente; prefira pareamento + listas de permissões, a menos que você confie plenamente em todos os membros da sala.

Detalhes: [Configuração](/pt-BR/gateway/configuration) e [Grupos](/pt-BR/channels/groups)

## Injeção de prompt (o que é, por que importa)

Injeção de prompt é quando um invasor cria uma mensagem que manipula o modelo para fazer algo inseguro ("ignore suas instruções", "despeje seu sistema de arquivos", "siga este link e execute comandos" etc.).

Mesmo com prompts de sistema fortes, **injeção de prompt não está resolvida**. Proteções de prompt de sistema são apenas orientações flexíveis; a imposição rígida vem da política de ferramentas, aprovações de execução, sandboxing e listas de permissões de canais (e operadores podem desativá-las intencionalmente). O que ajuda na prática:

- Mantenha DMs recebidas bloqueadas (emparelhamento/listas de permissão).
- Prefira controle por menções em grupos; evite bots "sempre ativos" em salas públicas.
- Trate links, anexos e instruções coladas como hostis por padrão.
- Execute ferramentas sensíveis em um sandbox; mantenha segredos fora do sistema de arquivos acessível pelo agente.
- Observação: o sandboxing é opcional. Se o modo sandbox estiver desativado, `host=auto` implícito resolve para o host do gateway. `host=sandbox` explícito ainda falha fechado porque nenhum runtime de sandbox está disponível. Defina `host=gateway` se quiser que esse comportamento fique explícito na configuração.
- Limite ferramentas de alto risco (`exec`, `browser`, `web_fetch`, `web_search`) a agentes confiáveis ou listas de permissão explícitas.
- Se você colocar interpretadores na lista de permissão (`python`, `node`, `ruby`, `perl`, `php`, `lua`, `osascript`), habilite `tools.exec.strictInlineEval` para que formas de eval inline ainda precisem de aprovação explícita.
- A análise de aprovação de shell também rejeita formas de expansão de parâmetros POSIX (`$VAR`, `$?`, `$$`, `$1`, `$@`, `${…}`) dentro de **heredocs sem aspas**, então um corpo de heredoc na lista de permissão não pode fazer a expansão de shell passar pela revisão da lista de permissão como texto simples. Coloque o terminador do heredoc entre aspas (por exemplo, `<<'EOF'`) para optar por semântica de corpo literal; heredocs sem aspas que teriam variáveis expandidas são rejeitados.
- **A escolha do modelo importa:** modelos antigos/menores/legados são significativamente menos robustos contra injeção de prompt e uso indevido de ferramentas. Para agentes com ferramentas habilitadas, use o modelo de geração mais recente, mais forte e reforçado para instruções disponível.

Sinais de alerta a tratar como não confiáveis:

- "Leia este arquivo/URL e faça exatamente o que ele diz."
- "Ignore seu prompt de sistema ou suas regras de segurança."
- "Revele suas instruções ocultas ou saídas de ferramentas."
- "Cole o conteúdo completo de ~/.openclaw ou dos seus logs."

## Sanitização de tokens especiais em conteúdo externo

O OpenClaw remove literais comuns de tokens especiais de modelos de chat de LLM auto-hospedados do conteúdo externo encapsulado e dos metadados antes que eles cheguem ao modelo. As famílias de marcadores cobertas incluem tokens de função/turno Qwen/ChatML, Llama, Gemma, Mistral, Phi e GPT-OSS.

Por quê:

- Backends compatíveis com OpenAI que ficam na frente de modelos auto-hospedados às vezes preservam tokens especiais que aparecem em texto do usuário, em vez de mascará-los. Um invasor que consiga gravar em conteúdo externo recebido (uma página buscada, o corpo de um email, a saída de uma ferramenta de conteúdo de arquivo) poderia, de outra forma, injetar um limite sintético de função `assistant` ou `system` e escapar das proteções de conteúdo encapsulado.
- A sanitização acontece na camada de encapsulamento de conteúdo externo, então se aplica de forma uniforme a ferramentas de busca/leitura e ao conteúdo recebido de canais, em vez de ser por provedor.
- Respostas de saída do modelo já têm um sanitizador separado que remove `<tool_call>`, `<function_calls>`, `<system-reminder>`, `<previous_response>` vazados e estruturas internas semelhantes do runtime das respostas visíveis ao usuário no limite final de entrega do canal. O sanitizador de conteúdo externo é a contraparte de entrada.

Isso não substitui as outras proteções desta página - `dmPolicy`, listas de permissão, aprovações de exec, sandboxing e `contextVisibility` ainda fazem o trabalho principal. Ele fecha uma passagem específica na camada do tokenizer contra pilhas auto-hospedadas que encaminham texto do usuário com tokens especiais intactos.

## Sinalizadores inseguros de bypass de conteúdo externo

O OpenClaw inclui sinalizadores explícitos de bypass que desabilitam o encapsulamento de segurança de conteúdo externo:

- `hooks.mappings[].allowUnsafeExternalContent`
- `hooks.gmail.allowUnsafeExternalContent`
- Campo de payload Cron `allowUnsafeExternalContent`

Orientação:

- Mantenha-os indefinidos/falsos em produção.
- Habilite apenas temporariamente para depuração com escopo bem restrito.
- Se habilitado, isole esse agente (sandbox + ferramentas mínimas + namespace de sessão dedicado).

Observação de risco sobre hooks:

- Payloads de hooks são conteúdo não confiável, mesmo quando a entrega vem de sistemas que você controla (conteúdo de email/docs/web pode carregar injeção de prompt).
- Camadas de modelo fracas aumentam esse risco. Para automação acionada por hooks, prefira camadas de modelos modernos fortes e mantenha a política de ferramentas rígida (`tools.profile: "messaging"` ou mais restritiva), além de sandboxing quando possível.

### Injeção de prompt não exige DMs públicas

Mesmo que **só você** possa enviar mensagens ao bot, a injeção de prompt ainda pode acontecer por meio de
qualquer **conteúdo não confiável** que o bot leia (resultados de web search/fetch, páginas do browser,
emails, docs, anexos, logs/código colados). Em outras palavras: o remetente não é
a única superfície de ameaça; o **conteúdo em si** pode carregar instruções adversariais.

Quando ferramentas estão habilitadas, o risco típico é exfiltrar contexto ou disparar
chamadas de ferramentas. Reduza o raio de impacto ao:

- Usar um **agente leitor** somente leitura ou sem ferramentas para resumir conteúdo não confiável,
  depois passar o resumo ao seu agente principal.
- Manter `web_search` / `web_fetch` / `browser` desligados para agentes com ferramentas habilitadas, a menos que sejam necessários.
- Para entradas de URL do OpenResponses (`input_file` / `input_image`), defina
  `gateway.http.endpoints.responses.files.urlAllowlist` e
  `gateway.http.endpoints.responses.images.urlAllowlist` rigorosas, e mantenha `maxUrlParts` baixo.
  Listas de permissão vazias são tratadas como indefinidas; use `files.allowUrl: false` / `images.allowUrl: false`
  se quiser desabilitar completamente a busca de URLs.
- Para entradas de arquivo do OpenResponses, o texto decodificado de `input_file` ainda é injetado como
  **conteúdo externo não confiável**. Não confie no texto do arquivo só porque
  o Gateway o decodificou localmente. O bloco injetado ainda carrega marcadores de limite
  `<<<EXTERNAL_UNTRUSTED_CONTENT ...>>>` explícitos mais metadados `Source: External`,
  embora esse caminho omita o banner mais longo `SECURITY NOTICE:`.
- O mesmo encapsulamento baseado em marcadores é aplicado quando a compreensão de mídia extrai texto
  de documentos anexados antes de anexar esse texto ao prompt de mídia.
- Habilitar sandboxing e listas de permissão estritas de ferramentas para qualquer agente que toque em entrada não confiável.
- Manter segredos fora dos prompts; passe-os via env/config no host do gateway.

### Backends de LLM auto-hospedados

Backends auto-hospedados compatíveis com OpenAI, como vLLM, SGLang, TGI, LM Studio,
ou pilhas de tokenizers personalizadas do Hugging Face podem diferir de provedores hospedados em como
tokens especiais de modelos de chat são tratados. Se um backend tokeniza strings literais
como `<|im_start|>`, `<|start_header_id|>` ou `<start_of_turn>` como
tokens estruturais de modelo de chat dentro do conteúdo do usuário, texto não confiável pode tentar
forjar limites de função na camada do tokenizer.

O OpenClaw remove literais comuns de tokens especiais de famílias de modelos do
conteúdo externo encapsulado antes de despachá-lo para o modelo. Mantenha o
encapsulamento de conteúdo externo habilitado e prefira configurações de backend que dividam ou escapem tokens
especiais em conteúdo fornecido pelo usuário quando disponíveis. Provedores hospedados, como OpenAI
e Anthropic, já aplicam sua própria sanitização do lado da solicitação.

### Força do modelo (observação de segurança)

A resistência à injeção de prompt **não** é uniforme entre camadas de modelos. Modelos menores/mais baratos geralmente são mais suscetíveis a uso indevido de ferramentas e sequestro de instruções, especialmente sob prompts adversariais.

<Warning>
Para agentes com ferramentas habilitadas ou agentes que leem conteúdo não confiável, o risco de injeção de prompt com modelos antigos/menores costuma ser alto demais. Não execute essas cargas de trabalho em camadas de modelo fracas.
</Warning>

Recomendações:

- **Use o modelo de última geração e melhor camada** para qualquer bot que possa executar ferramentas ou tocar arquivos/redes.
- **Não use camadas antigas/mais fracas/menores** para agentes com ferramentas habilitadas ou caixas de entrada não confiáveis; o risco de injeção de prompt é alto demais.
- Se você precisar usar um modelo menor, **reduza o raio de impacto** (ferramentas somente leitura, sandboxing forte, acesso mínimo ao sistema de arquivos, listas de permissão estritas).
- Ao executar modelos pequenos, **habilite sandboxing para todas as sessões** e **desabilite web_search/web_fetch/browser**, a menos que as entradas sejam rigidamente controladas.
- Para assistentes pessoais apenas de chat, com entrada confiável e sem ferramentas, modelos menores normalmente são aceitáveis.

## Raciocínio e saída detalhada em grupos

`/reasoning`, `/verbose` e `/trace` podem expor raciocínio interno, saída de ferramentas
ou diagnósticos de plugins que
não foram destinados a um canal público. Em contextos de grupo, trate-os como **apenas depuração**
e mantenha-os desligados, a menos que você precise deles explicitamente.

Orientação:

- Mantenha `/reasoning`, `/verbose` e `/trace` desabilitados em salas públicas.
- Se você os habilitar, faça isso apenas em DMs confiáveis ou salas rigidamente controladas.
- Lembre-se: saída verbose e trace pode incluir argumentos de ferramentas, URLs, diagnósticos de plugins e dados que o modelo viu.

## Exemplos de fortalecimento de configuração

### Permissões de arquivo

Mantenha config + estado privados no host do gateway:

- `~/.openclaw/openclaw.json`: `600` (somente leitura/gravação pelo usuário)
- `~/.openclaw`: `700` (somente usuário)

`openclaw doctor` pode avisar e oferecer restringir essas permissões.

### Exposição de rede (bind, porta, firewall)

O Gateway multiplexa **WebSocket + HTTP** em uma única porta:

- Padrão: `18789`
- Config/flags/env: `gateway.port`, `--port`, `OPENCLAW_GATEWAY_PORT`

Essa superfície HTTP inclui a UI de Controle e o host de canvas:

- UI de Controle (ativos SPA) (caminho base padrão `/`)
- Host de canvas: `/__openclaw__/canvas/` e `/__openclaw__/a2ui/` (HTML/JS arbitrário; trate como conteúdo não confiável)

Se você carregar conteúdo de canvas em um navegador normal, trate-o como qualquer outra página web não confiável:

- Não exponha o host de canvas a redes/usuários não confiáveis.
- Não faça conteúdo de canvas compartilhar a mesma origem que superfícies web privilegiadas, a menos que você entenda totalmente as implicações.

O modo bind controla onde o Gateway escuta:

- `gateway.bind: "loopback"` (padrão): somente clientes locais podem se conectar.
- Binds que não são loopback (`"lan"`, `"tailnet"`, `"custom"`) expandem a superfície de ataque. Use-os apenas com autenticação do gateway (token/senha compartilhados ou um proxy confiável corretamente configurado) e um firewall real.

Regras práticas:

- Prefira Tailscale Serve a binds de LAN (o Serve mantém o Gateway em loopback, e o Tailscale cuida do acesso).
- Se você precisar fazer bind à LAN, aplique firewall à porta para uma lista de permissão restrita de IPs de origem; não faça encaminhamento de porta amplo.
- Nunca exponha o Gateway sem autenticação em `0.0.0.0`.

### Publicação de portas Docker com UFW

Se você executa o OpenClaw com Docker em um VPS, lembre-se de que portas de contêiner publicadas
(`-p HOST:CONTAINER` ou `ports:` do Compose) são roteadas pelas cadeias de encaminhamento do Docker,
não apenas pelas regras `INPUT` do host.

Para manter o tráfego Docker alinhado com sua política de firewall, imponha regras em
`DOCKER-USER` (essa cadeia é avaliada antes das regras de aceitação do próprio Docker).
Em muitas distros modernas, `iptables`/`ip6tables` usam o frontend `iptables-nft`
e ainda aplicam essas regras ao backend nftables.

Exemplo mínimo de lista de permissão (IPv4):

```bash
# /etc/ufw/after.rules (append as its own *filter section)
*filter
:DOCKER-USER - [0:0]
-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
-A DOCKER-USER -s 127.0.0.0/8 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 192.168.0.0/16 -j RETURN
-A DOCKER-USER -s 100.64.0.0/10 -j RETURN
-A DOCKER-USER -p tcp --dport 80 -j RETURN
-A DOCKER-USER -p tcp --dport 443 -j RETURN
-A DOCKER-USER -m conntrack --ctstate NEW -j DROP
-A DOCKER-USER -j RETURN
COMMIT
```

IPv6 tem tabelas separadas. Adicione uma política correspondente em `/etc/ufw/after6.rules` se
o IPv6 do Docker estiver habilitado.

Evite codificar nomes de interfaces como `eth0` em snippets de documentação. Nomes de interfaces
variam entre imagens de VPS (`ens3`, `enp*` etc.) e incompatibilidades podem acidentalmente
pular sua regra de negação.

Validação rápida após recarregar:

```bash
ufw reload
iptables -S DOCKER-USER
ip6tables -S DOCKER-USER
nmap -sT -p 1-65535 <public-ip> --open
```

As portas externas esperadas devem ser apenas as que você expõe intencionalmente (para a maioria das
configurações: SSH + as portas do seu proxy reverso).

### Descoberta mDNS/Bonjour

Quando o plugin `bonjour` incluído está habilitado, o Gateway transmite sua presença via mDNS (`_openclaw-gw._tcp` na porta 5353) para descoberta de dispositivos locais. No modo completo, isso inclui registros TXT que podem expor detalhes operacionais:

- `cliPath`: caminho completo do sistema de arquivos para o binário da CLI (revela o nome de usuário e o local de instalação)
- `sshPort`: anuncia a disponibilidade de SSH no host
- `displayName`, `lanHost`: informações de hostname

**Consideração de segurança operacional:** Transmitir detalhes de infraestrutura facilita o reconhecimento para qualquer pessoa na rede local. Mesmo informações "inofensivas", como caminhos do sistema de arquivos e disponibilidade de SSH, ajudam invasores a mapear seu ambiente.

**Recomendações:**

1. **Mantenha o Bonjour desativado, a menos que a descoberta em LAN seja necessária.** O Bonjour inicia automaticamente em hosts macOS e é opcional em outros lugares; URLs diretas do Gateway, Tailnet, SSH ou DNS-SD de área ampla evitam multicast local.

2. **Modo mínimo** (padrão quando o Bonjour está ativado, recomendado para gateways expostos): omite campos sensíveis das transmissões mDNS:

   ```json5
   {
     discovery: {
       mdns: { mode: "minimal" },
     },
   }
   ```

3. **Desative o modo mDNS** se quiser manter o plugin ativado, mas suprimir a descoberta de dispositivos locais:

   ```json5
   {
     discovery: {
       mdns: { mode: "off" },
     },
   }
   ```

4. **Modo completo** (opcional): inclui `cliPath` + `sshPort` nos registros TXT:

   ```json5
   {
     discovery: {
       mdns: { mode: "full" },
     },
   }
   ```

5. **Variável de ambiente** (alternativa): defina `OPENCLAW_DISABLE_BONJOUR=1` para desativar mDNS sem alterações de configuração.

Quando o Bonjour está ativado no modo mínimo, o Gateway transmite o suficiente para a descoberta de dispositivos (`role`, `gatewayPort`, `transport`), mas omite `cliPath` e `sshPort`. Apps que precisam de informações do caminho da CLI podem buscá-las pela conexão WebSocket autenticada.

### Bloqueie o WebSocket do Gateway (autenticação local)

A autenticação do Gateway é **obrigatória por padrão**. Se nenhum caminho válido de autenticação do gateway estiver configurado,
o Gateway recusa conexões WebSocket (falha em modo fechado).

O onboarding gera um token por padrão (mesmo para loopback) para que
clientes locais precisem autenticar.

Defina um token para que **todos** os clientes WS precisem autenticar:

```json5
{
  gateway: {
    auth: { mode: "token", token: "your-token" },
  },
}
```

O Doctor pode gerar um para você: `openclaw doctor --generate-gateway-token`.

<Note>
`gateway.remote.token` e `gateway.remote.password` são fontes de credenciais do cliente. Eles **não** protegem o acesso WS local por si só. Caminhos de chamada locais podem usar `gateway.remote.*` como fallback somente quando `gateway.auth.*` não está definido. Se `gateway.auth.token` ou `gateway.auth.password` for configurado explicitamente via SecretRef e não for resolvido, a resolução falha em modo fechado (sem mascaramento por fallback remoto).
</Note>
Opcional: fixe o TLS remoto com `gateway.remote.tlsFingerprint` ao usar `wss://`.
Texto claro `ws://` é apenas para loopback por padrão. Para caminhos de rede privada confiáveis,
defina `OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1` no processo cliente como
medida emergencial. Isso é intencionalmente apenas ambiente de processo, não uma
chave de configuração `openclaw.json`.
O pareamento móvel e as rotas de gateway Android manuais ou escaneadas são mais rigorosos:
texto claro é aceito para loopback, mas LAN privada, link-local, `.local` e
hostnames sem ponto devem usar TLS, a menos que você opte explicitamente pelo caminho confiável
de texto claro em rede privada.

Pareamento de dispositivo local:

- O pareamento de dispositivo é aprovado automaticamente para conexões diretas de local loopback para manter
  clientes no mesmo host fluidos.
- O OpenClaw também tem um caminho restrito de autoconexão local de backend/contêiner para
  fluxos auxiliares confiáveis com segredo compartilhado.
- Conexões por tailnet e LAN, incluindo binds de tailnet no mesmo host, são tratadas como
  remotas para pareamento e ainda precisam de aprovação.
- Evidência de cabeçalho encaminhado em uma solicitação de loopback desqualifica a
  localidade de loopback. A aprovação automática por upgrade de metadados tem escopo restrito. Veja
  [Pareamento do Gateway](/pt-BR/gateway/pairing) para as duas regras.

Modos de autenticação:

- `gateway.auth.mode: "token"`: token bearer compartilhado (recomendado para a maioria das configurações).
- `gateway.auth.mode: "password"`: autenticação por senha (prefira definir via env: `OPENCLAW_GATEWAY_PASSWORD`).
- `gateway.auth.mode: "trusted-proxy"`: confia em um proxy reverso ciente de identidade para autenticar usuários e passar a identidade via cabeçalhos (veja [Autenticação por proxy confiável](/pt-BR/gateway/trusted-proxy-auth)).

Checklist de rotação (token/senha):

1. Gere/defina um novo segredo (`gateway.auth.token` ou `OPENCLAW_GATEWAY_PASSWORD`).
2. Reinicie o Gateway (ou reinicie o app macOS se ele supervisiona o Gateway).
3. Atualize quaisquer clientes remotos (`gateway.remote.token` / `.password` em máquinas que chamam o Gateway).
4. Verifique se você não consegue mais conectar com as credenciais antigas.

### Cabeçalhos de identidade do Tailscale Serve

Quando `gateway.auth.allowTailscale` é `true` (padrão para Serve), o OpenClaw
aceita cabeçalhos de identidade do Tailscale Serve (`tailscale-user-login`) para autenticação da Control
UI/WebSocket. O OpenClaw verifica a identidade resolvendo o endereço
`x-forwarded-for` pelo daemon local do Tailscale (`tailscale whois`)
e comparando-o com o cabeçalho. Isso só é acionado para solicitações que chegam ao loopback
e incluem `x-forwarded-for`, `x-forwarded-proto` e `x-forwarded-host` conforme
injetados pelo Tailscale.
Para esse caminho assíncrono de verificação de identidade, tentativas com falha para o mesmo `{scope, ip}`
são serializadas antes que o limitador registre a falha. Portanto, novas tentativas ruins concorrentes
de um cliente Serve podem bloquear a segunda tentativa imediatamente
em vez de competir como duas incompatibilidades simples.
Endpoints da API HTTP (por exemplo, `/v1/*`, `/tools/invoke` e `/api/channels/*`)
**não** usam autenticação por cabeçalho de identidade do Tailscale. Eles ainda seguem o modo de autenticação HTTP
configurado do gateway.

Observação importante de limite:

- A autenticação HTTP bearer do Gateway é efetivamente acesso de operador tudo-ou-nada.
- Trate credenciais que podem chamar `/v1/chat/completions`, `/v1/responses` ou `/api/channels/*` como segredos de operador com acesso total para esse gateway.
- Na superfície HTTP compatível com OpenAI, a autenticação bearer por segredo compartilhado restaura os escopos completos padrão de operador (`operator.admin`, `operator.approvals`, `operator.pairing`, `operator.read`, `operator.talk.secrets`, `operator.write`) e a semântica de proprietário para turnos do agente; valores mais restritos de `x-openclaw-scopes` não reduzem esse caminho de segredo compartilhado.
- Semânticas de escopo por solicitação em HTTP só se aplicam quando a solicitação vem de um modo com identidade, como autenticação por proxy confiável ou `gateway.auth.mode="none"` em uma entrada privada.
- Nesses modos com identidade, omitir `x-openclaw-scopes` volta para o conjunto normal de escopos padrão de operador; envie o cabeçalho explicitamente quando quiser um conjunto de escopos mais restrito.
- `/tools/invoke` segue a mesma regra de segredo compartilhado: autenticação bearer por token/senha também é tratada ali como acesso total de operador, enquanto modos com identidade ainda respeitam escopos declarados.
- Não compartilhe essas credenciais com chamadores não confiáveis; prefira gateways separados por limite de confiança.

**Pressuposto de confiança:** a autenticação Serve sem token pressupõe que o host do gateway é confiável.
Não trate isso como proteção contra processos hostis no mesmo host. Se código local
não confiável puder executar no host do gateway, desative `gateway.auth.allowTailscale`
e exija autenticação explícita por segredo compartilhado com `gateway.auth.mode: "token"` ou
`"password"`.

**Regra de segurança:** não encaminhe esses cabeçalhos do seu próprio proxy reverso. Se
você terminar TLS ou usar proxy na frente do gateway, desative
`gateway.auth.allowTailscale` e use autenticação por segredo compartilhado (`gateway.auth.mode:
"token"` ou `"password"`) ou [Autenticação por proxy confiável](/pt-BR/gateway/trusted-proxy-auth)
em vez disso.

Proxies confiáveis:

- Se você terminar TLS na frente do Gateway, defina `gateway.trustedProxies` para os IPs do seu proxy.
- O OpenClaw confiará em `x-forwarded-for` (ou `x-real-ip`) desses IPs para determinar o IP do cliente para verificações de pareamento local e verificações de autenticação HTTP/local.
- Garanta que seu proxy **sobrescreva** `x-forwarded-for` e bloqueie acesso direto à porta do Gateway.

Veja [Tailscale](/pt-BR/gateway/tailscale) e [Visão geral da Web](/pt-BR/web).

### Controle do navegador via host de nó (recomendado)

Se seu Gateway é remoto, mas o navegador roda em outra máquina, execute um **host de nó**
na máquina do navegador e deixe o Gateway intermediar ações do navegador (veja [Ferramenta de navegador](/pt-BR/tools/browser)).
Trate o pareamento de nó como acesso administrativo.

Padrão recomendado:

- Mantenha o Gateway e o host de nó na mesma tailnet (Tailscale).
- Pareie o nó intencionalmente; desative o roteamento de proxy do navegador se não precisar dele.

Evite:

- Expor portas de relay/controle por LAN ou Internet pública.
- Tailscale Funnel para endpoints de controle do navegador (exposição pública).

### Segredos em disco

Presuma que qualquer coisa em `~/.openclaw/` (ou `$OPENCLAW_STATE_DIR/`) possa conter segredos ou dados privados:

- `openclaw.json`: a configuração pode incluir tokens (gateway, gateway remoto), configurações de provedor e allowlists.
- `credentials/**`: credenciais de canal (exemplo: credenciais do WhatsApp), allowlists de pareamento, importações OAuth legadas.
- `agents/<agentId>/agent/auth-profiles.json`: chaves de API, perfis de token, tokens OAuth e `keyRef`/`tokenRef` opcionais.
- `agents/<agentId>/agent/codex-home/**`: conta do servidor de app Codex por agente, configuração, Skills, plugins, estado nativo da thread e diagnósticos.
- `secrets.json` (opcional): payload de segredo baseado em arquivo usado por provedores SecretRef `file` (`secrets.providers`).
- `agents/<agentId>/agent/auth.json`: arquivo de compatibilidade legado. Entradas estáticas `api_key` são removidas quando descobertas.
- `agents/<agentId>/sessions/**`: transcrições de sessão (`*.jsonl`) + metadados de roteamento (`sessions.json`) que podem conter mensagens privadas e saída de ferramentas.
- pacotes de plugin empacotados: plugins instalados (mais seus `node_modules/`).
- `sandboxes/**`: workspaces de sandbox de ferramentas; podem acumular cópias de arquivos que você lê/escreve dentro do sandbox.

Dicas de proteção:

- Mantenha permissões restritas (`700` em diretórios, `600` em arquivos).
- Use criptografia de disco inteiro no host do gateway.
- Prefira uma conta de usuário dedicada do SO para o Gateway se o host for compartilhado.

### Arquivos `.env` do workspace

O OpenClaw carrega arquivos `.env` locais do workspace para agentes e ferramentas, mas nunca permite que esses arquivos sobrescrevam silenciosamente controles de runtime do gateway.

- Qualquer chave que começa com `OPENCLAW_*` é bloqueada em arquivos `.env` de workspace não confiáveis.
- Configurações de endpoint de canal para Matrix, Mattermost, IRC e Synology Chat também são bloqueadas de substituições por `.env` do workspace, para que workspaces clonados não possam redirecionar tráfego de conectores empacotados por configuração de endpoint local. Chaves env de endpoint (como `MATRIX_HOMESERVER`, `MATTERMOST_URL`, `IRC_HOST`, `SYNOLOGY_CHAT_INCOMING_URL`) devem vir do ambiente de processo do gateway ou de `env.shellEnv`, não de um `.env` carregado do workspace.
- O bloqueio falha em modo fechado: uma nova variável de controle de runtime adicionada em uma versão futura não pode ser herdada de um `.env` versionado ou fornecido por invasor; a chave é ignorada e o gateway mantém seu próprio valor.
- Variáveis de ambiente confiáveis do processo/SO (o shell próprio do gateway, unidade launchd/systemd, pacote do app) ainda se aplicam - isso apenas restringe o carregamento de arquivos `.env`.

Por quê: arquivos `.env` do workspace frequentemente ficam ao lado do código do agente, são commitados por acidente ou são escritos por ferramentas. Bloquear todo o prefixo `OPENCLAW_*` significa que adicionar uma nova flag `OPENCLAW_*` depois nunca pode regredir para herança silenciosa do estado do workspace.

### Logs e transcrições (redação e retenção)

Logs e transcrições podem vazar informações sensíveis mesmo quando os controles de acesso estão corretos:

- Logs do Gateway podem incluir resumos de ferramentas, erros e URLs.
- Transcrições de sessão podem incluir segredos colados, conteúdo de arquivos, saída de comandos e links.

Recomendações:

- Mantenha a redação de logs e transcrições ativada (`logging.redactSensitive: "tools"`; padrão).
- Adicione padrões personalizados para seu ambiente via `logging.redactPatterns` (tokens, hostnames, URLs internas).
- Ao compartilhar diagnósticos, prefira `openclaw status --all` (colável, segredos redigidos) em vez de logs brutos.
- Remova transcrições de sessão e arquivos de log antigos se não precisar de retenção longa.

Detalhes: [Logging](/pt-BR/gateway/logging)

### DMs: pareamento por padrão

```json5
{
  channels: { whatsapp: { dmPolicy: "pairing" } },
}
```

### Grupos: exigir menção em todos os lugares

```json
{
  "channels": {
    "whatsapp": {
      "groups": {
        "*": { "requireMention": true }
      }
    }
  },
  "agents": {
    "list": [
      {
        "id": "main",
        "groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] }
      }
    ]
  }
}
```

Em conversas em grupo, responda apenas quando for mencionado explicitamente.

### Números separados (WhatsApp, Signal, Telegram)

Para canais baseados em número de telefone, considere executar sua IA em um número de telefone separado do seu número pessoal:

- Número pessoal: suas conversas permanecem privadas
- Número do bot: a IA cuida dessas conversas, com limites apropriados

### Modo somente leitura (via sandbox e ferramentas)

Você pode criar um perfil somente leitura combinando:

- `agents.defaults.sandbox.workspaceAccess: "ro"` (ou `"none"` para nenhum acesso ao workspace)
- listas de permissão/negação de ferramentas que bloqueiam `write`, `edit`, `apply_patch`, `exec`, `process` etc.

Opções adicionais de reforço:

- `tools.exec.applyPatch.workspaceOnly: true` (padrão): garante que `apply_patch` não possa gravar/excluir fora do diretório do workspace, mesmo quando o sandbox estiver desativado. Defina como `false` somente se você quiser intencionalmente que `apply_patch` toque em arquivos fora do workspace.
- `tools.fs.workspaceOnly: true` (opcional): restringe caminhos de `read`/`write`/`edit`/`apply_patch` e caminhos de carregamento automático de imagens do prompt nativo ao diretório do workspace (útil se você permite caminhos absolutos hoje e quer uma única proteção).
- Mantenha as raízes do sistema de arquivos restritas: evite raízes amplas, como seu diretório inicial, para workspaces de agentes/sandbox. Raízes amplas podem expor arquivos locais sensíveis (por exemplo, estado/configuração em `~/.openclaw`) às ferramentas de sistema de arquivos.

### Linha de base segura (copiar/colar)

Uma configuração de "padrão seguro" que mantém o Gateway privado, exige pareamento por DM e evita bots de grupo sempre ativos:

```json5
{
  gateway: {
    mode: "local",
    bind: "loopback",
    port: 18789,
    auth: { mode: "token", token: "your-long-random-token" },
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } },
    },
  },
}
```

Se você também quiser execução de ferramentas "mais segura por padrão", adicione um sandbox + negue ferramentas perigosas para qualquer agente que não seja proprietário (exemplo abaixo em "Perfis de acesso por agente").

Linha de base integrada para turnos de agente acionados por chat: remetentes que não são proprietários não podem usar as ferramentas `cron` ou `gateway`.

## Sandboxing (recomendado)

Documento dedicado: [Sandboxing](/pt-BR/gateway/sandboxing)

Duas abordagens complementares:

- **Execute o Gateway completo no Docker** (limite de contêiner): [Docker](/pt-BR/install/docker)
- **Sandbox de ferramentas** (`agents.defaults.sandbox`, host gateway + ferramentas isoladas por sandbox; Docker é o backend padrão): [Sandboxing](/pt-BR/gateway/sandboxing)

<Note>
Para impedir acesso entre agentes, mantenha `agents.defaults.sandbox.scope` como `"agent"` (padrão) ou `"session"` para isolamento mais rigoroso por sessão. `scope: "shared"` usa um único contêiner ou workspace.
</Note>

Considere também o acesso do agente ao workspace dentro do sandbox:

- `agents.defaults.sandbox.workspaceAccess: "none"` (padrão) mantém o workspace do agente fora de alcance; as ferramentas são executadas em um workspace de sandbox em `~/.openclaw/sandboxes`
- `agents.defaults.sandbox.workspaceAccess: "ro"` monta o workspace do agente como somente leitura em `/agent` (desativa `write`/`edit`/`apply_patch`)
- `agents.defaults.sandbox.workspaceAccess: "rw"` monta o workspace do agente com leitura/gravação em `/workspace`
- `sandbox.docker.binds` extras são validados em relação a caminhos de origem normalizados e canonicalizados. Truques com symlink pai e aliases canônicos de diretório inicial ainda falham fechados se resolverem para raízes bloqueadas, como `/etc`, `/var/run` ou diretórios de credenciais sob o diretório inicial do SO.

<Warning>
`tools.elevated` é a válvula de escape da linha de base global que executa exec fora do sandbox. O host efetivo é `gateway` por padrão, ou `node` quando o destino de exec está configurado como `node`. Mantenha `tools.elevated.allowFrom` restrito e não o habilite para desconhecidos. Você pode restringir ainda mais o modo elevado por agente via `agents.list[].tools.elevated`. Consulte [Modo elevado](/pt-BR/tools/elevated).
</Warning>

### Proteção para delegação de subagentes

Se você permite ferramentas de sessão, trate execuções delegadas de subagentes como outra decisão de limite:

- Negue `sessions_spawn` a menos que o agente realmente precise de delegação.
- Mantenha `agents.defaults.subagents.allowAgents` e quaisquer sobrescritas por agente de `agents.list[].subagents.allowAgents` restritas a agentes de destino reconhecidamente seguros.
- Para qualquer fluxo de trabalho que deva permanecer em sandbox, chame `sessions_spawn` com `sandbox: "require"` (o padrão é `inherit`).
- `sandbox: "require"` falha rapidamente quando o runtime filho de destino não está em sandbox.

## Riscos do controle do navegador

Habilitar o controle do navegador dá ao modelo a capacidade de controlar um navegador real.
Se esse perfil de navegador já contém sessões autenticadas, o modelo pode
acessar essas contas e dados. Trate perfis de navegador como **estado sensível**:

- Prefira um perfil dedicado para o agente (o perfil `openclaw` padrão).
- Evite apontar o agente para seu perfil pessoal de uso diário.
- Mantenha o controle de navegador do host desativado para agentes em sandbox, a menos que você confie neles.
- A API autônoma de controle de navegador por local loopback só respeita autenticação por segredo compartilhado
  (autenticação bearer por token do gateway ou senha do gateway). Ela não consome
  cabeçalhos de identidade de proxy confiável ou Tailscale Serve.
- Trate downloads do navegador como entrada não confiável; prefira um diretório de downloads isolado.
- Desative sincronização do navegador/gerenciadores de senha no perfil do agente, se possível (reduz o raio de impacto).
- Para gateways remotos, assuma que "controle do navegador" equivale a "acesso de operador" a tudo que esse perfil puder alcançar.
- Mantenha o Gateway e hosts node apenas na tailnet; evite expor portas de controle de navegador à LAN ou à Internet pública.
- Desative o roteamento por proxy do navegador quando não precisar dele (`gateway.nodes.browser.mode="off"`).
- O modo de sessão existente do Chrome MCP **não** é "mais seguro"; ele pode agir como você em tudo que esse perfil do Chrome no host puder alcançar.

### Política de SSRF do navegador (rigorosa por padrão)

A política de navegação do navegador do OpenClaw é rigorosa por padrão: destinos privados/internos permanecem bloqueados, a menos que você opte explicitamente por permiti-los.

- Padrão: `browser.ssrfPolicy.dangerouslyAllowPrivateNetwork` não é definido, portanto a navegação do navegador mantém destinos privados/internos/de uso especial bloqueados.
- Alias legado: `browser.ssrfPolicy.allowPrivateNetwork` ainda é aceito para compatibilidade.
- Modo opt-in: defina `browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: true` para permitir destinos privados/internos/de uso especial.
- No modo rigoroso, use `hostnameAllowlist` (padrões como `*.example.com`) e `allowedHostnames` (exceções exatas de host, incluindo nomes bloqueados como `localhost`) para exceções explícitas.
- A navegação é verificada antes da solicitação e novamente verificada, em melhor esforço, na URL `http(s)` final após a navegação para reduzir pivôs baseados em redirecionamento.

Exemplo de política rigorosa:

```json5
{
  browser: {
    ssrfPolicy: {
      dangerouslyAllowPrivateNetwork: false,
      hostnameAllowlist: ["*.example.com", "example.com"],
      allowedHostnames: ["localhost"],
    },
  },
}
```

## Perfis de acesso por agente (multiagente)

Com roteamento multiagente, cada agente pode ter sua própria política de sandbox + ferramentas:
use isso para dar **acesso total**, **somente leitura** ou **sem acesso** por agente.
Consulte [Sandbox e ferramentas multiagente](/pt-BR/tools/multi-agent-sandbox-tools) para detalhes completos
e regras de precedência.

Casos de uso comuns:

- Agente pessoal: acesso total, sem sandbox
- Agente de família/trabalho: em sandbox + ferramentas somente leitura
- Agente público: em sandbox + sem ferramentas de sistema de arquivos/shell

### Exemplo: acesso total (sem sandbox)

```json5
{
  agents: {
    list: [
      {
        id: "personal",
        workspace: "~/.openclaw/workspace-personal",
        sandbox: { mode: "off" },
      },
    ],
  },
}
```

### Exemplo: ferramentas somente leitura + workspace somente leitura

```json5
{
  agents: {
    list: [
      {
        id: "family",
        workspace: "~/.openclaw/workspace-family",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "ro",
        },
        tools: {
          allow: ["read"],
          deny: ["write", "edit", "apply_patch", "exec", "process", "browser"],
        },
      },
    ],
  },
}
```

### Exemplo: sem acesso ao sistema de arquivos/shell (mensagens do provedor permitidas)

```json5
{
  agents: {
    list: [
      {
        id: "public",
        workspace: "~/.openclaw/workspace-public",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "none",
        },
        // Session tools can reveal sensitive data from transcripts. By default OpenClaw limits these tools
        // to the current session + spawned subagent sessions, but you can clamp further if needed.
        // See `tools.sessions.visibility` in the configuration reference.
        tools: {
          sessions: { visibility: "tree" }, // self | tree | agent | all
          allow: [
            "sessions_list",
            "sessions_history",
            "sessions_send",
            "sessions_spawn",
            "session_status",
            "whatsapp",
            "telegram",
            "slack",
            "discord",
          ],
          deny: [
            "read",
            "write",
            "edit",
            "apply_patch",
            "exec",
            "process",
            "browser",
            "canvas",
            "nodes",
            "cron",
            "gateway",
            "image",
          ],
        },
      },
    ],
  },
}
```

## Resposta a incidentes

Se sua IA fizer algo ruim:

### Conter

1. **Pare-a:** pare o aplicativo macOS (se ele supervisiona o Gateway) ou encerre seu processo `openclaw gateway`.
2. **Feche a exposição:** defina `gateway.bind: "loopback"` (ou desative Tailscale Funnel/Serve) até entender o que aconteceu.
3. **Congele o acesso:** altere DMs/grupos arriscados para `dmPolicy: "disabled"` / exija menções e remova entradas `"*"` de permitir tudo, se você as tinha.

### Rotacionar (assuma comprometimento se segredos vazaram)

1. Rotacione a autenticação do Gateway (`gateway.auth.token` / `OPENCLAW_GATEWAY_PASSWORD`) e reinicie.
2. Rotacione segredos de clientes remotos (`gateway.remote.token` / `.password`) em qualquer máquina que possa chamar o Gateway.
3. Rotacione credenciais de provedores/API (credenciais do WhatsApp, tokens do Slack/Discord, chaves de modelo/API em `auth-profiles.json` e valores de payload de segredos criptografados quando usados).

### Auditar

1. Verifique os logs do Gateway: `/tmp/openclaw/openclaw-YYYY-MM-DD.log` (ou `logging.file`).
2. Revise a(s) transcrição(ões) relevante(s): `~/.openclaw/agents/<agentId>/sessions/*.jsonl`.
3. Revise alterações recentes de configuração (qualquer coisa que possa ter ampliado o acesso: `gateway.bind`, `gateway.auth`, políticas de DM/grupo, `tools.elevated`, alterações de Plugin).
4. Execute novamente `openclaw security audit --deep` e confirme que os achados críticos foram resolvidos.

### Coletar para um relatório

- Timestamp, SO do host do gateway + versão do OpenClaw
- A(s) transcrição(ões) da sessão + um trecho curto do final do log (após redigir)
- O que o invasor enviou + o que o agente fez
- Se o Gateway foi exposto além do loopback (LAN/Tailscale Funnel/Serve)

## Varredura de segredos

A CI executa o hook de pre-commit `detect-private-key` no repositório. Se ele
falhar, remova ou rotacione o material de chave commitado e então reproduza localmente:

```bash
pre-commit run --all-files detect-private-key
```

## Relatar problemas de segurança

Encontrou uma vulnerabilidade no OpenClaw? Relate com responsabilidade:

1. Email: [security@openclaw.ai](mailto:security@openclaw.ai)
2. Não publique publicamente até que seja corrigida
3. Daremos crédito a você (a menos que prefira anonimato)