Clawdbot 白名单配置含五种方法:一、Telegram Bot 通过 BotFather 隐私设置与 ClawdBot 面板填入允许的 chat_id;二、网关层用 ufw 限制 WebSocket 回调 IP;三、内置 FILTERS.md 文件按关键词和用户白名单过滤消息;四、腾讯云 Lighthouse 安全组限定 WebSocket 端口访问源;五、阿里云无影云电脑结合客户端 IP 白名单与应用层隔离模式。
☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 免费无限量使用 DeepSeek R1 模型☜☜☜
如果您希望 Clawdbot 仅响应特定用户、群组或消息来源,避免被无关请求干扰或触发误操作,则需通过白名单机制对通信入口进行严格限制。以下是实现白名单配置的多种方法:
一、Telegram Bot 白名单配置(基于 BotFather + ClawdBot 配置面板)
该方式适用于以 Telegram 为唯一或主通道的部署场景,通过在 ClawdBot 网关层拦截非授权 chat_id,无需修改底层代码即可生效。
1、打开 Telegram,搜索 @BotFather,发送 /mybots 指令,选择已创建的 Clawdbot 关联 Bot。
2、点击 “Edit Bot” → “Edit Privacy Settings”,将 “Group Privacy” 设置为 “ON”,确保 Bot 在群组中仅接收对其的直接提及(@botname)或命令。
3、进入 ClawdBot 配置面板,定位到 “Telegram” 模块下的 “Allowed Chat IDs” 字段。
4、手动填入允许交互的 Telegram 用户 ID 或群组 ID(格式为纯数字,如 123456789 或 -1009876543210),多个 ID 用英文逗号分隔。
5、保存配置后,重启 clawd 服务:在终端执行 sudo systemctl restart clawd 或在无影云电脑中点击配置面板右上角“重载服务”按钮。
二、网关层 WebSocket 入口 IP 白名单(适用于自托管服务器)
当 Clawdbot 通过公网暴露 WebSocket 接口(如 ws://your-domain.com:18789)供外部平台回调时,可在系统级限制接入源 IP,防止未授权平台推送消息。
1、确认 Clawdbot 运行主机已启用 ufw 防火墙:执行 sudo ufw status verbose,若显示非活动状态,则运行 sudo ufw enable 启用。
2、清除默认入站规则(谨慎操作):运行 sudo ufw reset,随后设置默认拒绝策略:sudo ufw default deny incoming。
3、仅放行可信平台回调 IP 段:例如 WhatsApp Cloud API 官方 IP 范围为 157.240.220.0/24,执行 sudo ufw allow from 157.240.220.0/24 to any port 18789 proto tcp。
4、添加 Telegram Bot API 回调白名单(当前官方出口 IP 可查 telegram.org/docs/bots/webhooks):运行 sudo ufw allow from 149.154.160.0/20 to any port 18789 proto tcp。
5、启用规则并验证:sudo ufw enable,再执行 sudo ufw status numbered 确认条目已加载。
三、ClawdBot 内置消息过滤器(基于正则与关键词)
该方法不依赖网络层,直接在 Clawdbot 的会话处理链路中截断非法内容,适合对消息正文、发件人昵称、群组标题等字段实施语义级白名单控制。
1、进入 ClawdBot 工作空间目录:cd ~/clawd。
2、编辑消息过滤配置文件:nano FILTERS.md(若不存在则新建)。
3、在文件中按 YAML 格式添加白名单规则,例如仅允许含“运维”“监控”“日报”的消息通过:
whitelist_keywords: ["运维", "监控", "日报", "健康检查"]
whitelist_users: ["张工", "李主管", "OpsTeam"]
4、保存退出后,在配置面板中启用 “消息预过滤” 开关,并选择 “FILTERS.md” 作为规则源。
5、向 Bot 发送测试消息,观察日志:journalctl -u clawd -n 50 -f,确认匹配白名单的消息显示 “ACCEPTED”,其余显示 “REJECTED BY FILTER”。
四、Lighthouse 实例安全组白名单(腾讯云轻量应用服务器专用)
当 Clawdbot 部署于腾讯云 Lighthouse 实例且需对外提供 Webhook 接入能力时,应通过云平台安全组策略限定访问源,这是最外层也是最有效的网络隔离手段。
1、登录腾讯云控制台,进入 Lighthouse 实例管理页,点击目标实例右侧 “更多” → “配置安全组”。
2、在安全组规则页,点击 “添加规则”,协议类型选择 “TCP”,端口范围填写 18789(WebSocket 默认端口)。
3、源 IP 地址处填写具体白名单 IP,例如公司办公公网出口 IP:203.208.60.1/32;如需允许多个地址,需逐条添加规则。
4、策略设为 “允许”,描述栏填写 ClawdBot WebSocket – Internal Only。
5、保存后,返回实例详情页,确认安全组状态已更新,且当前规则列表中无全通规则(如 0.0.0.0/0)存在。
五、无影云电脑专属白名单策略(阿里云环境)
针对阿里云无影云电脑部署的 Clawdbot,其网络路径经由阿里云内网代理,因此需结合云桌面策略与 Clawdbot 应用层双重白名单,防止跨租户误触。
1、进入无影云电脑控制台,选择对应 Moltbot 实例,点击 “管理” → “网络与安全” → “访问控制”。
2、开启 “客户端 IP 白名单” 功能,点击 “添加 IP”。
3、填入受信设备的公网 IPv4 地址(如手机热点 IP、家庭宽带 IP),单次最多添加 20 个,格式为 112.65.34.123/32。
4、返回 ClawdBot 配置面板,在 “高级设置” 中启用 “云桌面网络隔离模式”,该模式将自动禁用除白名单 IP 外的所有 WebSocket 连接握手请求。
5、重启云桌面会话:在客户端点击右上角头像 → “重新连接”,确保新策略加载生效。
