4月 19, 2026

OpenClaw Node 危險指令完整攻略｜初學者指南：為什麼要設定？如何安全啟用？

OpenClaw Node 危險指令完整攻略

這是給 OpenClaw 初學者的教學文章，幫助你了解為什麼要設定危險指令，以及如何安全地啟用它們。

測試日期：2026-04-19

測試節點：V2514（Vivo V2514, Android 16）

一、什麼是「危險指令」？

想像一下這個場景

你安裝了一個 App，它突然可以：

📸 偷拍照片
📱 用你的手機發簡訊
📅 在你的日曆上新增假的約會
👤 讀取你所有聯絡人的電話號碼

這些動作，如果被惡意程式利用，可能會：

侵犯你的隱私
消耗你的電話費
竊取你的個人資料
甚至冒充你欺騙你的朋友

OpenClaw 的設計理念

OpenClaw 是一個強大但危險的工具。它讓 AI 助手可以真正「操作」你的手機，而不只是「聊天」。

但正因為它太強大了，OpenClaw 預設把這些危險功能全部關閉。就像保險箱密碼預設是「0000」，但你應該改成自己的密碼。

「危險指令」就是需要你主動「解鎖」才能使用的功能。

二、為什麼 OpenClaw 要設定危險指令？

1. 安全的分層設計

OpenClaw 把指令分成兩層：

類型	預設狀態	範例
普通指令（只讀取資料）	✅ 自動允許	查看日曆、列出聯絡人
危險指令（會修改資料）	❌ 預設關閉	新增日曆、發送簡訊

2. 防止意外濫用

想像你問 AI：「幫我清理一下手機」，如果 AI 可以任意發簡訊、通話、刪除資料，可能會造成無法挽回的損失。

3. 符合現代資安標準

就像：

iOS App 要存取相機，必須得到你的明確授權
Android App 要發簡訊，必須在 Play Store 聲明並取得同意
銀行轉帳需要二次驗證

OpenClaw 的「危險指令」機制，就是讓你像管理 App 權限一樣，管理 AI 助手的操作能力。

三、OpenClaw Node 的危險指令有哪些？

完整列表

指令	平台	說明	風險
`camera.snap`	iOS/Android/macOS	拍照	未經同意拍攝環境
`camera.clip`	iOS/Android/macOS	錄影	未經同意錄製視訊/音訊
`screen.record`	iOS/Android/macOS	螢幕錄影	可能錄到密碼、訊息
`contacts.add`	iOS/Android/macOS	新增聯絡人	寫入私人聯絡人資料
`contacts.search`	iOS/Android/macOS	搜尋聯絡人	讀取私人聯絡人資料
`calendar.add`	iOS/Android/macOS	新增日曆事件	新增假的約會或行程
`reminders.add`	iOS	新增提醒事項	新增假的提醒干擾你
`sms.send`	Android	傳送簡訊	可能發送垃圾簡訊或付費簡訊
`sms.search`	Android	搜尋簡訊	讀取私人簡訊內容

兩種危險程度

🔴 高風險（強烈建議確認後再開啟）：

sms.send — 可以用你的電話號碼發簡訊
contacts.add — 可以寫入你的通訊錄

🟡 中等風險（注意使用場景）：

camera.snap / camera.clip — 已有隱私疑慮
screen.record — 可能錄到敏感畫面
calendar.add — 可能新增假的行程

四、如何開啟危險指令？

步驟一：找到設定檔

OpenClaw 的設定檔位於：

~/.openclaw/openclaw.json

步驟二：編輯設定

用文字編輯器打開這個檔案，找到 gateway.nodes.allowCommands 部分。

原本的內容：

"nodes": {
  "allowCommands": [
    "screen.record",
    "camera.snap",
    "camera.clip"
  ]
}

新增危險指令後：

"nodes": {
  "allowCommands": [
    "screen.record",
    "camera.snap",
    "camera.clip",
    "contacts.add",
    "calendar.add",
    "reminders.add",
    "sms.send",
    "sms.search"
  ]
}

步驟三：儲存並重啟 Gateway

儲存檔案後，執行：

openclaw gateway restart

驗證是否成功

執行以下指令，如果成功代表已啟用：

# 測試日曆新增
openclaw nodes invoke --node "V2514" --command calendar.add --params '{"title": "測試", "startISO": "2026-04-20T10:00:00Z"}'

# 測試聯絡人新增
openclaw nodes invoke --node "V2514" --command contacts.add --params '{"givenName": "測試", "phoneNumbers": ["+886912345678"]}'

五、注意事項（非常重要！）

⚠️ 1. 只開啟你真的需要的指令

如果你的使用情境不需要「發簡訊」，就不要開啟 sms.send。多一個開關，就多一分風險。

⚠️ 2. 注意 AI 的提示

當 AI 使用這些危險指令時，你可能會收到通知。不要忽略這些通知。

⚠️ 3. 定期檢查日曆和簡訊

如果你開啟了 calendar.add 或 sms.send，建議偶爾檢查一下：

日曆有沒有出現不認識的活動
簡訊有沒有異常的發送記錄

⚠️ 4. 保持 Gateway 更新

OpenClaw 團隊會持續修補安全漏洞。確保你使用的是最新版本：

openclaw update

⚠️ 5. 設定強密碼

Gateway 的認證 Token 就像一把鑰匙。確保你的 ~/.openclaw/openclaw.json 檔案權限正確：

chmod 600 ~/.openclaw/openclaw.json

⚠️ 6. Android 特殊權限

在 Android 上，有些功能除了在 Gateway 開啟，還需要使用者在 App 內手動授權：

功能	App 內設定位置
相機	OpenClaw App → 設定 → Camera
位置	OpenClaw App → 設定 → Location
簡訊	Android 系統簡訊權限
通訊錄	Android 系統通訊錄權限
日曆	Android 系統日曆權限

六、常見問題

Q: 如果我不想用了，如何關閉？

把 ~/.openclaw/openclaw.json 中對應的指令從清單中移除，然後重啟 Gateway。

Q: 會影響其他節點嗎？

不會。allowCommands 是針對每個節點設定的，不會影響其他已連線的節點。

Q: 「危險指令」這個詞聽起來很可怕，我應該害怕嗎？

不需要過度擔心。OpenClaw 預設把危險指令關閉，正是因為它了解這些指令的風險。只要你：

不要隨意開啟指令
定期檢查使用記錄
保持警覺

使用 OpenClaw 就是安全的。

Q: 為什麼有些指令有兩種危險程度？

這是根據「萬一被濫用」的後果來分類：

高風險：可以直接金錢消費（發簡訊）或冒充身份（新增聯絡人）
中等風險：可能侵犯隱私，但不會直接造成金錢損失

七、實際應用範例

情境一：建立智慧家庭助理

如果你想用手機語音新增日曆事件，可以開啟 calendar.add。

情境二：出國時快速發簡訊

如果你在國外，想透過 AI 快速發國際簡訊，可以開啟 sms.send。

情境三：Photography Skill 攝影輔助

如果你開發了需要使用相機的 Skill，可以開啟 camera.snap 和 camera.clip。

總結

項目	內容
為什麼要設定危險指令	防止未授權操作，保護隱私和安全
有哪些危險指令	camera、screen、contacts、calendar、sms 等共 9 個
如何開啟	在 `~/.openclaw/openclaw.json` 的 `allowCommands` 中新增，重啟 Gateway
最重要的注意事項	只開啟需要的指令，定期檢查使用記錄

文章更新：2026-04-19

搜尋此網誌

點點滴滴