安全使用提示

本章节安全建议参考国家互联网应急中心（CNCERT）与中国网络空间安全协会联合发布的《OpenClaw 安全使用实践指南》整理，适用于 SCNet 客户端中的 SClaw 用户。

SClaw 基于 OpenClaw 构建，具备本地文件读写、系统指令执行、API 调用等高权限能力。默认配置下若使用不当，可能引发数据泄露或远程接管风险，请务必阅读以下提示。

⚠️ 技能（Skill）安装安全

• 仅安装来自 SCNet 官方 Skill 社区或经过安全审查的技能，不要安装来历不明的第三方技能包。

• 拒绝"自动赚钱、撸羊毛、破解"类技能，此类技能极可能携带恶意代码或存在数据窃取风险。

• 安装前建议使用内置的 Skill Vetter 技能对第三方技能进行沙箱安全审查，检查是否存在危险权限申请、可疑网络请求或数据越权行为。

🔒 数据与隐私保护

• 不要通过 SClaw 处理银行卡号、账户密码、身份证号、私钥等敏感数据。

• 不要将含有企业核密文件、未公开研究数据的目录开放给 SClaw 访问。

• API 密钥仅存储于本地，请妥善保管，不要将密钥通过对话发送给 SClaw 或任何第三方技能。

• 不在 SClaw 会话或定时任务中传递 token、助记词等认证凭据。

🛡️ 权限最小化原则

• SClaw 仅需访问其完成任务所必要的目录，避免授予超出需要的系统权限。

• 如无明确需要，关闭无障碍、屏幕录制等高危系统权限。

• 定时任务中涉及文件操作或外部推送的指令，请确认执行范围符合预期，避免因"一句话授权"导致意外批量操作。

• 禁止 SClaw 执行危险命令（如 rm -rf /）、修改认证配置或向外网传输私钥等高危操作。

📡 消息频道配置安全

• 绑定飞书 / 钉钉 / 企业微信等消息渠道后，建议仅允许本人或已授权人员通过该渠道向 SClaw 发送指令。

• 不要将消息频道设置为对所有群成员开放触发，防止他人通过群聊下达非预期指令。

• 若需远程访问 SClaw 服务，建议通过 VPN 等安全隧道方式，不要将服务端口直接暴露至公网。

🔄 保持版本更新

• 请及时将 SCNet 客户端升级至最新版本，以获得最新安全补丁。

• 关注 SCNet 官方安全公告，发现异常行为请及时通过客户端内"建议反馈"入口上报。