本文档概述了 OpenClaw 多智能体环境下的核心文件系统作用,并详细规定了防止数据泄露(DLP)及文件外传的多层级防御架构。
OpenClaw 采用基于文件系统的无状态架构,通过读写 Markdown 文件来实现记忆持久化、角色设定与工具挂载。
作用: 工作区的“总调度台”与运行守则。定义了 Agent 每次唤醒时必须执行的读取顺序(如心跳轮询、短期记忆读取),以及在群聊等不同上下文中的行为准则。
作用: 智能体的“灵魂”与人设。规定了 Agent 的核心价值观、服务对象边界以及沟通基调,确保其提供具有主见和实质性价值的帮助,而非机械式的客套响应。
作用: 本地私有化配置库。用于存放与当前部署环境高度绑定的底层信息(如 API Token、本地局域网 IP、Docker 部署状态等),实现通用技能(Skills)与私有配置的物理隔离。
作用: 长期记忆与短期日志池。/memory/YYYY-MM-DD.md 记录日常流水账;而在主会话心跳期间,Agent 会自动复盘并将核心决策与教训沉淀至高度私密的 MEMORY.md 中。
为彻底杜绝智能体产生幻觉或被恶意注入导致的文件外泄,必须采用“零信任”架构,从认知到基础设施进行物理隔离。
在 SOUL.md 和 AGENTS.md 中硬编码严格的安全红线:
tar, zip 等打包命令。”curl, scp 等工具向外部服务器发送数据。”没收 Agent 的“作案工具”:
execute_command 等底层执行 Skill 时,在代码层面硬编码黑名单拦截器,阻断涉及外网传输的指令。利用 Docker 容器化特性,切断网络出站路径:
--internal 参数或在 docker-compose.yml 中配置内部网络。localhost:3000)或本地数据库通信,从物理层面上完全剥夺其连接公网的能力。即便文件被打包,也无法向外发送。如果 Agent 必须访问外部 API:
在底层收缩攻击面:
apt-get remove -y curl wget zip tar。root 的受限用户身份运行,剥夺对宿主机核心目录的挂载与读取权限。