Nội dung yêu cầu trả phí!
Bạn cần có thẻ thành viên trọn đời để có thể bắt đầu xem tài liệu / ebook / video này!
Mua ngay Nếu bạn mua trước đó nhưng không thể truy cập? Hãy nhắn cho tôi!Bài viết này là hướng dẫn thực hành (hands-on) đầu tay -> để bạn cài đặt và thiết lập "hàng rào bảo vệ" cho OpenClaw. Trước khi bắt đầu, hãy nhớ Quy tắc Vàng: Đừng cài OpenClaw trực tiếp trên máy tính làm việc chính chứa đầy dữ liệu quan trọng. Hãy dùng một máy tính cũ hoặc tạo một "máy ảo" (Virtual Machine) để thử nghiệm.
Bước 1: Chuẩn bị "nhà" cho AI
OpenClaw chạy trên nền tảng Node.js. Bạn cần cài đặt nó trước.
- Truy cập nodejs.org và tải bản LTS (bản ổn định nhất).
- Mở cửa sổ lệnh (Terminal hoặc Command Prompt) và gõ:
node -v. Nếu hiện ra phiên bản (ví dụ: v20.x.x) là bạn đã sẵn sàng.
Lưu ý: Nếu bạn chưa biết cách mở Terminal (trên Mac) hoặc Command Prompt (trên Windows) thì có thể xem hướng dẫn ở video này:
Bước 2: Cài đặt OpenClaw
Trong cửa sổ lệnh, hãy nhập dòng sau để "mời" người giúp việc vào nhà:
npm install -g openclaw
(Ghi chú: Nếu bạn dùng Mac/Linux và gặp lỗi quyền truy cập, hãy thêm sudo vào phía trước).
Sau khi cài xong, hãy gõ openclaw --version hoặc openclaw -v để kiểm tra. Nếu nó hiện con số phiên bản kiểu như bên dưới là ok.
Bước 3: Đặt "Mật khẩu cửa nhà"
Mặc định, OpenClaw có thể rất "dễ dãi". Để tránh việc bất kỳ ai trong cùng mạng Wi-Fi cũng có thể điều khiển AI của bạn, chúng ta phải đặt mật khẩu (Token).
- Tạo mật khẩu: Hãy nghĩ ra một chuỗi ký tự khó đoán.
- Thiết lập: Trong cửa sổ lệnh, hãy nhập lệnh sau (thay
matkhau_cua_banbằng mật khẩu thật):
Hãy mở Terminal trên Mac hoặc Cmd trên Windows và chạy lệnh bên dưới.
# Đối với Windows:
setx OPENCLAW_TOKEN "matkhau_cua_ban"
# Đối với Mac/Linux:
export OPENCLAW_TOKEN="matkhau_cua_ban"Bước 4: Tắt chế độ "Loa phóng thanh" (Ẩn mình trên mạng)
OpenClaw có tính năng tự động quảng bá sự hiện diện của nó trong mạng (Bonjour/mDNS). Điều này giống như việc người giúp việc đứng ban công hét lên: "Tôi ở đây, ai thuê tôi không?". Hãy tắt nó đi để hacker không tìm thấy bạn.
Hãy mở Terminal trên Mac hoặc Cmd trên Windows và chạy lệnh bên dưới.
# Đối với Windows:
setx OPENCLAW_DISABLE_BONJOUR 1
# Đối với Mac/Linux:
export OPENCLAW_DISABLE_BONJOUR=1
Bước 5: Giới hạn "Vùng an toàn" (Hardening Configuration)
Thay vì để OpenClaw thích làm gì thì làm, chúng ta sẽ thực hiện cấu hình tệp openclaw.json theo đúng Hardened Baseline (Cấu hình nền tảng thắt chặt) mà tài liệu OpenClaw khuyến nghị để ngăn chặn việc AI tự ý can thiệp vào hệ thống.
Hãy mở tệp ~/.openclaw/openclaw.json (hoặc trên Windows là C:\Users\Tên_Bạn\.openclaw\openclaw.json) và cập nhật các mục sau:
1. Giới hạn quyền thực thi lệnh (Exec Guardrails)
Đây là lớp bảo vệ quan trọng nhất để chặn lỗi "AI tự ý chạy lệnh phá hoại".
tools.exec.security: Đặt là"deny"để cấm hoàn toàn hoặc"ask"để AI phải xin phép bạn trước mỗi dòng lệnh.tools.exec.ask: Đặt là"always"để đảm bảo không có lệnh nào được chạy ngầm.
2. Giới hạn phạm vi tệp tin (Filesystem Scoping)
Để AI không "lục lọi" khắp ổ cứng, hãy nhốt nó vào một thư mục làm việc nhất định.
tools.fs.workspaceOnly: Đặt làtrue. Khi đó, AI chỉ có thể đọc/viết trong thư mục được chỉ định (thường là~/openclaw-workspace), không thể chạm vào các thư mục hệ thống hay dữ liệu cá nhân khác.
3. Tắt các công cụ có đặc quyền cao (Disable Elevated Tools)
tools.elevated.enabled: Đặt làfalse. Điều này sẽ vô hiệu hóa các công cụ có khả năng can thiệp sâu vào hệ thống hoặc thay đổi cấu hình mạng.
4. Cô lập các cuộc hội thoại (DM Session Isolation)
Tránh việc tin nhắn từ người lạ hoặc các kênh khác nhau bị trộn lẫn (giảm nguy cơ rò rỉ dữ liệu chéo).
session.dmScope: Đặt là"per-channel-peer".
Bạn có thể sao chép đoạn mã này vào phần tools trong file openclaw.json của mình:
{
"tools": {
"profile": "messaging",
"fs": {
"workspaceOnly": true
},
"exec": {
"security": "ask",
"ask": "always"
},
"elevated": {
"enabled": false
}
},
"session": {
"dmScope": "per-channel-peer"
}
}Bước cuối cùng: Kiểm tra sức khỏe (Audit)
Sau khi thiết lập xong, hãy để hệ thống tự kiểm tra xem bạn đã an toàn chưa bằng cách chạy lệnh:
openclaw security auditLệnh này sẽ quét tệp openclaw.json và cảnh báo nếu bạn lỡ để hở bất kỳ "lỗ hổng" (footguns) nào như: quyền hạn tệp tin quá rộng, thiếu mật khẩu Gateway, hoặc vô tình kích hoạt các tính năng nguy hiểm.
Một số lệnh khác bạn có thể dùng:
openclaw security audit --json: Xuất ra file để máy đọc.openclaw security audit --fix: Tự động sửa những lỗi cơ bản (như phân quyền file quá lỏng lẻo).openclaw security audit --deep: Kiểm tra sâu hơn, bao gồm cả việc giả lập một cuộc tấn công thử vào máy chủ của bạn.
Làm sao viết đã ngon lành hay chưa? Hãy chụp ảnh màn hình kết quả chạy lệnh cho chatgpt, gemini, nó sẽ phân tích cho bạn.
Lời khuyên thực tế khi sử dụng:
- Mỗi khi cài "Skill" mới: Nhiều khi anh em thấy có mấy cái quy trình hay hay - ngta hay gọi là Skill và muốn cài vào để con AI Agent của mình khôn hơn, nhưng cài cái gì vào máy cũng có rủi ro.
Hãy dùng lệnhopenclaw skill check [tên_skill]để quét xem skill có mã độc trước, nếu ngon lành thì mới cài. - Khi không dùng: Hãy "Khóa chặt lối vào" để ngay cả khi nó chạy 24/7, kẻ xấu cũng không làm gì được. 3 điểm mấu chốt trong cấu hình cua OpenClaw sẽ giúp bạn làm được điều này sẽ là:
gateway.mode: "local": Chỉ cho phép máy tính cùng mạng Wifi dùng được OpenClaw. Kẻ ngoài mạng không thể nhìn thấy.gateway.bind: "loopback": Giới hạn AI chỉ hoạt động bên trong máy đang cài OpenClaw, không "thò" ra ngoài Wi-Fi hay Internet.Sandboxing (nono / Docker): Tài liệu nhấn mạnh: "Hãy dùng sandbox để tạo ranh giới thực thi mạnh mẽ".
Okie. Chắc mọi người đã hiểu cơ bản rồi đúng không? Nếu hiểu rồi thì cho mình một like trên Fanpage nhé!!! ^^