第十章：普通用户权限分配指南（附操作步骤）

上一章我们聊了多Agent协同的基本概念。但无论你是养一只虾还是一支军团，有一个问题必须从一开始就解决：权限怎么分？ 给多了，AI可能失控；给少了，AI什么都干不了。本章就是一本“操作手册”，手把手教你给AI分配权限。

📖 小说情节：权限分配的“第一课”

钱卫坐在沙发上，书还翻在那一页，但一个字都看不进去了。

第二天到公司，他发现小周又用小龙虾搞了个新功能。这次是一个数据分析模块，平时这种活至少得两天，小周一上午就交上来了。赵总亲自过来看演示，拍着小周的肩膀说：“不错不错，年轻人就是脑子活。”

钱卫坐在自己的工位上，盯着屏幕，什么都没干。

——

那天晚上，他打开电脑，先去了GitHub上的OpenClaw项目页面——这是一个运行在你自己设备上的个人AI助手，开源，可以自己部署。然后他又找了一些相关的技术网站和评测文章，总结下来，能写代码，能做表，能操作浏览器，能自动处理邮件。

授权权限。这四个字让他犹豫了。 他是做后端的，知道权限意味着什么。给一个AI访问相册、文档、邮箱、支付账户——万一出事呢？

小说里，钱卫面对“授权权限”四个字犹豫了。这份犹豫，恰恰是安全意识的第一步。但犹豫之后，他需要知道：到底该怎么分？

今天就给他，也给你，一份答案。

🔧 技术解码：为什么权限分配是“生死线”？

AI工具（尤其是OpenClaw这类本地部署的Agent框架）拥有系统指令执行、文件读写、API调用等高权限能力。权限分配不是“要不要给”的问题，而是“给到什么程度”的问题。

核心理念：最小权限原则

只授予完成任务必需的最小权限，不多给一分。

这个原则贯穿所有权限配置。就像一个实习生，你让他整理文件，就只给他文件柜的钥匙，不给他财务室的密码。

🛡️ CNCERT权威建议速览

国家互联网应急中心（CNCERT）与中国网络空间安全协会于2026年3月22日联合发布了《OpenClaw安全使用实践指南》，面向普通用户、企业用户、云服务商及技术开发者提出了系统性防护建议。

以下建议主要面向普通用户：

环境隔离：使用专用设备、虚拟机或容器安装，不宜在日常办公电脑上安装
网络隔离：不将默认端口（18789/19890）暴露到公网，配置为仅本地访问
禁用高权限运行：不使用管理员或超级用户权限运行，创建专用低权限账户
安装可信技能：谨慎安装外部技能，拒绝“自动赚钱、撸羊毛”类黑灰产技能
不处理隐私数据：不用OpenClaw处理银行卡、密码、身份证、密钥等敏感信息
及时更新：及时安装官方安全补丁，关注安全公告

📋 三步走：从安装到日常的权限配置

钱卫关掉浏览器，深吸一口气。他决定从零开始，给自己的电脑“隔出一间房”，专门给AI住。他按照网上的指南，一步步搭建……

第一步：安装时的“底盘配置”

优先级说明：以下配置按重要性分为三级
🔴 基础必做（5分钟）：不做有严重安全风险
🟠 强烈建议（10分钟）：大幅提升安全性
🟡 进阶可选（视情况）：适合有更高安全需求的用户

🔴 1.1 环境隔离：给AI一个“专属房间”

CNCERT建议使用专用设备、虚拟机或容器部署。具体方案：

方案	适用人群	具体操作
闲置旧电脑	家里有旧电脑的用户	清空个人数据，专门用于运行OpenClaw
虚拟机（VMware/VirtualBox）	电脑配置足够（16GB+）的用户	在虚拟机中安装操作系统，在其中部署OpenClaw，与宿主机完全隔离
Docker容器	熟悉命令行的用户	用Docker运行OpenClaw，轻量级隔离
云服务器	愿意每月花几十元的用户	在阿里云/华为云等平台购买轻量服务器，云端部署

💡 个人推荐：如果你是新手，从“虚拟机”或“云服务器”开始。虚拟机搞坏了可以恢复快照，云服务器搞坏了可以重装系统，都不影响主力机。

🔴 1.2 禁用管理员权限：不让AI“当老大”

CNCERT建议不使用管理员或超级用户权限运行OpenClaw，创建专用低权限账户。

具体做法：

Windows：创建一个“标准用户”账户，专门用于运行OpenClaw，不用管理员账户登录。
macOS/Linux：创建一个普通用户账户，不要用root或管理员权限启动OpenClaw。
通用原则：给AI的权限，应该像给新员工——够用就行，不给额外权限。

🔴 1.3 关闭高危系统权限

根据CNCERT指南，建议关闭无障碍、屏幕录制、系统自动化等高危权限。具体来说：

高危权限类型	为什么危险	什么时候才需要开
辅助功能（Accessibility）	可模拟鼠标键盘操作，控制整个系统	只有需要AI自动操作GUI应用时才开启，用完即关
屏幕录制（Screen Recording）	可读取屏幕所有内容，包括密码输入框	只有需要AI“看”屏幕内容时才开启
完全磁盘访问（macOS）/ 文件系统权限（Windows）	可读写系统任何文件	几乎永远不需要。即使需要文件操作，也应限定在专用工作目录
系统自动化（Automation）	可控制其他应用	只在需要AI跨应用操作时按需开启

实操指引（macOS） ：

打开“系统设置” → “隐私与安全性” → 逐项检查上述权限，将OpenClaw的开关保持关闭。只有当某个功能明确需要该权限且你确认安全时，才临时开启。若权限列表中无OpenClaw，可点击「+」手动添加，路径一般为/usr/local/bin/openclaw。

实操指引（Windows） ：

Windows权限设置较分散，打开“设置” → “隐私和安全性”，在“应用权限”中逐项检查（如“相机”“麦克风”“文件系统”等），将不必要的权限关闭。Windows没有直接的“完全磁盘访问”开关，但可通过“设置→隐私和安全性→文件系统”限制应用对文件系统的访问，或通过用户账户控制(UAC)限制管理员权限。

🟠 1.4 配置路径白名单：只让AI进“工作室”

CNCERT建议仅开放专用工作目录，禁止访问桌面、文档、下载、密码管理器目录。

具体做法：

为OpenClaw创建一个专用工作目录（如C:\OpenClawWork或~/openclaw_work）
在OpenClaw配置中，将该目录设为唯一可读写的目录。常见配置文件位置（可能因安装方式不同而有所变化）：
- Windows：C:\Users\你的用户名\.openclaw\config.json
- macOS/Linux：~/.openclaw/config.json
  用文本编辑器打开，找到workspace_path或类似字段，修改为你的专用工作目录。如果找不到该字段，可查阅官方文档。
明确禁止AI访问以下目录：
- 桌面（Desktop）
- 文档（Documents）
- 下载（Downloads）
- 密码管理器目录（如浏览器密码存储文件）
- 配置文件目录（如.ssh/、.aws/）
- 密钥文件目录

生活类比：你请了一个助理，只让他进你的“工作室”（专用工作目录），不让他进你的卧室（桌面）、书房（文档）、保险柜（密码管理器）。他需要什么材料，你从保险柜里拿出来放在工作室里让他处理。

对于新手：建议先用虚拟机的默认配置，等熟悉了再调整路径白名单。

🟡 1.5 限制网络访问

CNCERT建议限制网络访问，仅允许连接必要的AI服务与API。

具体做法：

配置防火墙规则，只允许OpenClaw访问必要的AI服务API（如DeepSeek、Kimi的API域名）
禁止OpenClaw访问非必要的网络服务
严禁将OpenClaw的默认端口（18789/19890）暴露到公网，必须配置为仅本地访问（127.0.0.1）

🟡 1.6 关闭系统命令执行功能

CNCERT建议关闭系统命令执行功能，仅在必要时临时启用并二次确认。

具体做法：

默认情况下，禁止OpenClaw执行系统命令（如rm、del、shutdown等）
如果某个任务确实需要执行系统命令，临时开启，任务完成后立即关闭
对高危命令设置人工二次确认

📦 10分钟快速配置版（仅含🔴必做项）

如果你时间紧迫，只做这三件事就能避免80%的风险：

环境隔离：下载并安装VirtualBox，创建一个虚拟机，在里面装OpenClaw。别装在你日常用的电脑上（具体操作见1.1节）。
禁用管理员权限：在虚拟机里，创建一个普通账户（不要用Administrator），用这个账户登录并运行OpenClaw（具体操作见1.2节）。
关闭高危权限：在虚拟机的系统设置里，找到“隐私与安全性”（macOS）或“应用权限”（Windows），把“辅助功能”“屏幕录制”“完全磁盘访问”等开关全部关掉（具体操作见1.3节）。如果找不到，就先保持默认关闭状态。

完成这三步，你的AI已经住进了“隔间”且没拿“万能钥匙”。后续的🟠和🟡项可以等熟悉了再逐步加上。

💡 遇到问题怎么办？

配置文件在哪？ 常见位置：Windows C:\Users\用户名\.openclaw\；macOS/Linux ~/.openclaw/。具体以官方文档为准。
权限修改后不生效？ 尝试重启OpenClaw服务或重启电脑。
AI无法正常工作？ 检查审计日志（通常位于logs/audit.log或安装目录下），看是哪个权限被拒绝了，然后临时放宽对应权限。

🔄 配置失败怎么办？

检查审计日志，定位被拒绝的权限。
临时放宽权限（如将执行审批从allowlist改为ask模式），确认问题原因。
调整配置，逐步收紧，不要一步到位。
如果彻底搞乱，可以从虚拟机快照恢复，或者重新部署。

第二步：日常使用中的“行为管控”

装好之后，钱卫没有急着让AI干活。他想起之前看到的那些AI失控的新闻，花了一个小时研究怎么给AI戴上“笼头”——也就是执行审批。

2.1 执行审批（Exec Approvals）：AI的“安全护栏”

OpenClaw提供了执行审批机制，只有当策略 + 允许列表 + （可选）用户审批都同意时，命令才会被允许执行。

核心配置项：

deny：阻止所有主机执行请求
allowlist：仅允许在允许列表中的命令
full：允许所有命令（不推荐）

推荐配置：对于普通用户，建议将security设为allowlist，同时将ask设为on-miss（仅在允许列表未匹配时提示）。

以下为进阶配置示例，需要编辑配置文件。普通用户可跳过，保持默认的ask模式即可（每次执行命令前会询问你）。
简单说，允许列表就是一张白名单：只有名单上的命令可以自动执行，其他命令都会问你“要不要执行”。

"allowlist": [
  {
    "pattern": "~/myproject/**/python",
    "lastUsedCommand": "python my_script.py"
  }
]

pattern是允许执行的命令路径（支持通配符），lastUsedCommand只是用来显示的示例命令，不影响实际匹配。

2.2 技能插件（Skills）管理：只装“官方认证”

CNCERT建议谨慎安装外部社区/个人发布的Skills，拒绝“自动赚钱、撸羊毛、破解”类不明技能。

安全技能安装四步法：

看来源：优先从官方技能库获取
查代码：安装前快速浏览代码，确认无异常
限权限：安装时仔细审查申请的权限
隔离试：先在虚拟机中试用几天，确认安全再迁移到主力环境

2.3 禁用高危工具

CNCERT建议禁用shell、browser写权限等高危工具。这些工具一旦被恶意利用，后果严重。

2.4 权限定期审计

CNCERT建议定期运行官方安全审计工具：

openclaw security audit：常规安全检查
openclaw security audit --deep：实时网关探测
openclaw security audit --fix：自动加固

第三步：特殊场景的“分级授权”

用了一段时间，钱卫发现有些任务确实需要更高权限。他学会了“分级授权”，就像给不同的员工发不同的工卡。

场景	AI需要的权限	建议配置
代码助手	代码库文件夹（读写）、终端（仅限工作目录，高危命令需审批）	专用工作目录+允许列表模式
资料整理	指定文件夹（读写）、浏览器（仅限白名单网站，操作需审批）	专用工作目录+白名单路径
邮件处理	邮箱API（读写）	使用OAuth授权，不直接给密码
自动化交易	交易API（只限交易、不提现）	单独子账户+每日限额+风控Agent审核
系统维护	系统命令（按需）	临时开启，任务完成后立即关闭

说明：代码助手的“终端”权限通过执行审批的允许列表实现，只允许白名单中的命令（如ls、grep、python），且路径限定在工作目录内。高危命令（如rm -rf）会被自动拦截或要求二次确认。资料整理的浏览器权限应限制在可信域名（如官方文档网站），并建议开启操作审批。

分级授权的核心逻辑：从低到高，渐进式授权。一开始只给最低权限，确认需要后再逐步增加，而不是一开始就给满。

📝 本章小结

隔离降权白名单，审批审计防未然。
给权限就像发工卡，从访客卡开始慢慢加。

配置阶段	核心动作	一句话口诀
安装底盘	环境隔离、禁用管理员、关闭高危权限、路径白名单、限制网络、关闭命令执行	“隔离降权白名单”
日常管控	执行审批（allowlist）、技能审查、禁用高危工具、定期审计	“审批审查禁高危，定期审计别偷懒”
分级授权	场景适配、渐进授权	“从低到高，够用就好”

本章与前面章节的呼应：

第二章讲了“权限失控的代价”（夏知晓给AI全部权限导致微信借钱）
第五章讲了“技能包投毒”（10.8%插件含恶意代码）
第六章讲的是“多Agent之间的隔离”，本章讲的是“单个Agent的权限边界”，两者结合才是完整的权限管理体系
第七章讲了“卸载后扫尾”（改密码、撤权限）
本章则是在使用前就建立正确的权限框架——防患于未然，比事后补救重要一百倍

日常维护小贴士：

每周花5分钟检查OpenClaw的审计日志（通常位于logs/audit.log或安装目录下），看看AI都干了什么。
每月审查一次已安装的技能列表，卸载不再使用的。
关注官方安全公告，及时更新版本。

📋 权限配置完成检查清单

AI运行在隔离环境（虚拟机/云服务器/旧电脑）
使用普通账户运行，不是管理员
关闭了辅助功能、屏幕录制等高危权限（Windows用户注意文件系统权限）
设置了专用工作目录，并禁止AI访问桌面/文档等
执行审批模式设为allowlist或ask
只安装了来自官方或可信源的技能
知道如何查看审计日志

记住：权限分配是AI使用的第一课，也是最重要的一课。给对了，它是你的得力助手；给错了，它可能是你的最大威胁。像钱卫一样，在点击“授权”之前，先问自己：它真的需要这个权限吗？

🔜 下一章预告

本章我们完成了普通用户的权限分配指南。从部署、清理、技能安全、多Agent协同，到学习方法、能力进阶、权限分配——这个系列已经覆盖了AI工具使用的方方面面。下一章（第十一章），我们将回到“模型”本身，聊一聊国内大模型与OpenClaw的适配指南：哪些模型适合写代码？哪些模型适合长文档？哪些模型性价比最高？敬请期待。

📌 参考文献与数据来源

编号	来源	链接
[1]	国家互联网应急中心（CNCERT）《OpenClaw安全使用实践指南》（2026年3月22日）	https://www.donews.com/news/detail/4/6478025.html
[2]	CNCERT安全指南（太平洋科技转载）	https://g.pconline.com.cn/x/2119/21192152.html
[3]	OpenClaw执行审批文档	https://www.w3cschool.cn/openclawdocs/openclaw-tools-exec-approvals.html
[4]	关于防范OpenClaw等开源AI智能体网络安全风险的通知	https://www.hist.edu.cn/info/1831/403441.htm
[5]	Mac电脑部署OpenClaw保姆级教程	https://blog.csdn.net/weixin_41870061/article/details/159352953

*本文基于小说《香樟树旁的龙虾公司（钱卫篇）》情节，结合国家互联网应急中心（CNCERT）发布的《OpenClaw安全使用实践指南》及行业最佳实践撰写。文中所涉及的配置步骤和命令基于截至2026年4月初的主流实践，实际操作请以官方最新文档为准。部分操作路径以macOS/Linux为例，Windows用户请自行搜索对应操作或参考官方文档。*

免责声明：本文提供的权限配置指南仅供参考，具体操作请根据你的系统和AI工具实际情况调整。涉及系统权限修改的操作，请务必谨慎，避免误删重要配置或导致系统功能异常。文中引用的安全建议均基于官方机构发布的最新指南。

香樟树旁的龙虾公司（钱卫篇）：一个35岁程序员在AI浪潮里的焦虑与岸

为什么卸载比装机贵？——部署与清理的真相

AI权限失控的代价：为什么不能给“全部权限”？附防范指南

token去哪了？从“哗哗流走”到“精打细算”全指南

AI写的代码为什么会出bug？——深度剖析“全表扫描”事件

夏知晓安装的“自动交易”技能，到底藏着什么毒？

一人公司的技术底座——多Agent协同与沙盒隔离

卸载AI不是删文件夹就完了：改密码、撤权限、清残留，三步扫尾指南

别让AI废了你的学习能力：从“复制粘贴”到“主动思考”的转型指南

一人多Agent公司——AI时代个人能力的放大器

普通用户AI权限分配指南：基于CNCERT建议，三步守住安全底线

AI模型涨价潮下，如何为你的OpenClaw选对“大脑”