И да — это потенциально очень опасно.

Вы фактически даёте ИИ:

• доступ к shell на сервере,
• API-токены к почте и календарю,
• интерфейс, в который потенциально может написать кто угодно.

Сканирование публичных VPS показывает: у многих экземпляров OpenClaw открыт gateway-порт без аутентификации. API-ключи, доступ к почте, файловые права — доступны напрямую из интернета.

Большинство гайдов объясняют, как запустить бота. Ниже — как запустить его и не быть взломанным.

Безопасная установка: пошагово

От чистого Ubuntu VPS до защищённого приватного AI-сервера. Делайте именно в этом порядке.

1) Закройте SSH

Только ключи. Без паролей. Без root-логина.

sudo nano /etc/ssh/sshd_config
# Set explicitly:
PasswordAuthentication no
PermitRootLogin no
sudo sshd -t && sudo systemctl reload ssh

2) Firewall по принципу default-deny

Блокируем весь входящий трафик по умолчанию.

sudo apt install ufw -y
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow OpenSSH
sudo ufw enable

3) Защита от brute-force

Автобан IP после неудачных попыток входа.

sudo apt install fail2ban -y
sudo systemctl enable --now fail2ban

4) Установите Tailscale

Приватная mesh-VPN. Сервер становится доступен только вашим устройствам.

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

5) SSH только через Tailscale

Убираем публичный SSH полностью.

# Verify Tailscale is working first!
tailscale status
# Allow SSH only from Tailscale network
sudo ufw allow from 100.64.0.0/10 to any port 22 proto tcp
# Remove the public SSH rule
sudo ufw delete allow OpenSSH

6) Закройте веб-порты

Gateway OpenClaw доступен только через Tailscale.

sudo ufw allow from 100.64.0.0/10 to any port 443 proto tcp
sudo ufw allow from 100.64.0.0/10 to any port 80 proto tcp

7) Установите Node.js 22

Требуется версия 22+. В Ubuntu по умолчанию более старая.

curl -fsSL https://deb.nodesource.com/setup_22.x | bash -
apt install -y nodejs

8) Установка OpenClaw

npm install -g openclaw && openclaw doctor

9) Ограничьте доступ к боту (только владелец)

Только вы можете писать боту.

Добавьте в конфигурацию:

{
  "dmPolicy": "allowlist",
  "allowFrom": ["YOUR_TELEGRAM_ID"],
  "groupPolicy": "allowlist"
}

Никогда не добавляйте OpenClaw в групповые чаты. Любой участник сможет отдавать команды вашему серверу.

10) Включите sandbox-режим

Опасные операции выполняются в контейнере, а не в основной системе.

Следуйте security-документации OpenClaw и включите изоляцию. В случае компрометации ущерб будет ограничен контейнером.

11) Ограничьте список команд

Никаких произвольных команд. Только whitelist.

{
 "allowedCommands": ["git", "npm", "curl"],
 "blockedCommands": ["rm -rf", "sudo", "chmod"]
}

Если бот будет скомпрометирован через prompt injection, он сможет выполнять только разрешённые команды.

12) Минимизируйте права API-токенов

При подключении GitHub, Gmail, Google Drive не используйте токены с полным доступом.

Выдавайте минимально возможные разрешения. Если что-то пойдёт не так, ущерб будет ограничен правами конкретного токена.

13) Закройте доступ к credential-файлам

Не оставляйте секреты world-readable.

chmod 700 ~/.openclaw/credentials
chmod 600 .env

14) Проведите аудит безопасности

→ Не пропускайте этот шаг.

openclaw security audit --deep

Если аудит не проходит — не деплойте. Сначала исправьте найденные проблемы.

Проверьте финальное состояние

sudo ufw status
ss -tulnp
tailscale status
openclaw doctor

Ожидаемый результат:

• Нет публичного SSH
• Нет публичных веб-портов
• Сервер доступен только через Tailscale
• Бот отвечает только вам

Создание Telegram-бота

1. В Telegram найдите @BotFather
2. Отправьте /newbot
3. Скопируйте полученный токен
4. Получите свой ID через @userinfobot

Далее:

openclaw onboard --install-daemon

Подтвердите pairing

После установки бот не отвечает сразу.

openclaw pairing list telegram
openclaw pairing approve telegram YOUR_CODE

После подтверждения бот начнёт отвечать.

Важное: промпт-инъекции — это не теория

Один из участников сообщества OpenClaw провёл тест.

Он отправил письмо на аккаунт, к которому бот имел доступ. В письме были скрытые инструкции. OpenClaw выполнил их и удалил все письма. Включая корзину.

Это реальный случай.

Рекомендуется использовать Claude Opus 4.5, поскольку модель обучена противодействовать prompt injection (по внутренним тестам — около 99% устойчивости). Но это лишь один уровень защиты.

Другие уровни:

• whitelist команд
• sandbox
• минимальные API-права

Без них одного «умного» ИИ недостаточно.

Частые ошибки

“no auth configured”
→ Повторно запустите openclaw onboard и настройте аутентификацию.

Бот не отвечает
→ Не одобрен pairing. Выполните:

openclaw pairing list telegram

и подтвердите.

“node: command not found”
→ Node.js не установлен. Повторите установку через nodesource.

Gateway не запускается
→ Проверьте:

openclaw doctor

Итог

OpenClaw  — это не просто бот. Это удалённый AI-агент с доступом к вашему серверу и цифровой инфраструктуре.

Разворачивать его без:

• firewall,
• VPN,
• sandbox,
• whitelist-команд,
• ограниченных API-токенов

— всё равно что оставить root-доступ открытым в интернет.

Запустить просто.
Запустить безопасно — отдельная задача.