別急著開啟 Clawdbot/Moltbot：先補上這些安全護欄

如果你最近也被 Clawdbot/Moltbot 的影片洗版，我懂那個心情：它看起來不像聊天機器人，而像「真的會幫你做事」的助理。官方 README 也明講，它是你在自己設備上跑的個人 AI 助理，能接 WhatsApp、Telegram、Slack、Discord、Signal、iMessage、Teams 等通道訊息。

但這種「會做事」其實也是風險來源。它能長駐在背景、維持 Gateway 與多通道收訊，而且官方安裝流程還會建立 daemon 讓它長期運作。這不是單純的聊天視窗，是一個有你權限、能被訊息觸發的代理。

先補一句：Clawdbot 近期改名為 Moltbot（商標原因），官方站點已改成 molt.bot，但功能本質相同。

下面是我整理給「一般開發者」的最小防線。你不需要成為資安專家，但至少不要在「預設設定」下直接上線。

1) 先把工具執行關進 Sandbox

官方文件明確說明，Moltbot 可以把工具執行放進 Docker 沙盒，以減少爆炸半徑；沙盒不是萬靈丹，但能明顯降低檔案與程序暴露面。

三個重要設定概念：

mode: off / non-main / all（要最安全就用 all）
scope: session / agent / shared（session 隔離最強）
workspaceAccess: none / ro / rw（預設 none 最嚴）

一句話重點：先把它關在容器裡，再讓它做事。

2) 工具權限不要全開

README 裡的安全模型提醒：主對話（main session）預設工具會跑在主機。

如果你在主機上把所有工具都打開，那只要一次錯誤或被誤導，影響範圍就是整台機器。

官方也提供「沙盒下的工具 allowlist/denylist 範例」，預設就會封掉瀏覽器、節點、cron 等高風險工具。

能不用就不用，能關就關。

3) 誰能跟它說話，比你想的更關鍵

Clawdbot/Moltbot 的價值在於「多通道」，但這也意味著「多入口」。官方 README 針對 WhatsApp 就提供 allowlist 的做法：你可以限制只有特定帳號能對它發話。

這不是體驗問題，而是攻擊面控制。

如果是個人助理，請嚴格限制可互動的人數與通道。

4) 外部服務授權，永遠走最小權限

這是一般安全原則，不是 Clawdbot 專屬，但在這種「可執行」代理上特別重要。

只給讀取就不要給寫入
只給單一 repo 就不要給整個 org
只給日曆就不要給 email

你給的 token 能做什麼，代理就能做什麼。

5) 模型選擇不是奢侈，是風險控制

官方 README 明確建議使用 Anthropic Pro/Max + Opus 4.5，理由是長上下文與更好的 prompt injection 抗性。

這不是「省不省錢」的問題，而是「你能不能承受錯一次」的問題。

一句話洞察

24/7 助理真正的成本不是 API 費，而是你給出去的權限。

結語

我不反對用 Clawdbot/Moltbot，反而覺得它代表了「AI 助理終於能真正落地」。

但你不會把一台裸機直接丟到公網上，你也不該讓一個有權限的代理在預設設定下對外開放。

如果你想要，我可以把上面這些整理成「一頁式設定清單」，讓你照著打勾就好。

參考資料

Clawdbot GitHub README: https://github.com/clawdbot/clawdbot
Moltbot 官方站: https://moltbot.you/
Moltbot Sandboxing 文件: https://docs.clawd.bot/gateway/sandboxing