Segurança e privacidade
OpenClaw pode executar rotinas via skills. Isso é poder. O jeito certo de usar é tratar automação como software: permissões mínimas, revisão, logs e limites claros.
Princípio 1: skills são código
Se uma skill consegue enviar mensagens, acessar arquivos ou chamar APIs, ela é código com permissão. Não instale skill “mágica” sem entender o que ela faz.
- Prefira skills simples, com entrada e saída explícitas.
- Evite permissões amplas (filesystem completo, tokens globais, admin).
- Se possível, rode em usuário sem privilégios.
Princípio 2: automação tem limite
O melhor fluxo é: o assistente rascunha e você aprova. Depois, você amplia a autonomia só onde for seguro.
- Para atendimento: automatize o básico; escale reclamações e casos ambíguos para humano.
- Para financeiro: nada de “pagar”, “emitir”, “cancelar” sem confirmação humana.
- Para follow-up: defina regras anti-spam (quantidade máxima, janela, e stop).
Dados: minimize, separe, audite
- Minimize dados sensíveis em prompts (CPF, cartão, senhas, tokens).
- Separe ambientes: pessoal vs trabalho, cliente vs interno.
- Mantenha registro do que foi executado (log) para auditoria.
Dica prática: comece com templates e regras prontas, e só depois conecte integrações críticas. Veja: Templates (copiar e colar).
Rodando 24/7 (VPS): cuidado extra
VPS é ótimo para rotinas contínuas, mas aumenta a superfície de ataque. Trate como servidor.
- Atualizações regulares do sistema.
- Chaves/tokens em variáveis de ambiente, não em arquivos soltos.
- Backups e rotação de credenciais.
Comece pelo hub: VPS (OpenClaw 24/7).
Checklist rápido (cole na sua rotina)
Quer começar com o mínimo risco?
Faça o primeiro fluxo como “copiloto”: template + rascunho + aprovação. Depois você aumenta autonomia onde for seguro.