【OpenClaw】揭秘 Secure DM Pairing:如何为你的 AI 机器人构建安全私信访问机制

优质文章学习记录

2 min read

【OpenClaw】揭秘 Secure DM Pairing:如何为你的 AI 机器人构建安全私信访问机制

在构建基于 LLM 的聊天机器人(如 Telegram、WhatsApp Bot)时,如何控制谁能与机器人对话是一个核心安全问题。直接开放访问可能导致 Token 滥用,而手动配置白名单又过于繁琐。

OpenClaw 提供了一套优雅的解决方案,称为 “Secure DM Pairing” (安全私信配对)。本文将深入解析这套机制的运作流程、使用指令以及底层的代码实现。
注意本文基于 OpenClaw v2026.1.29 版本源码分析。

1. 什么是 Secure DM Pairing?

Secure DM Pairing 是 OpenClaw 网关默认的一种访问控制策略。

当一个未授权的用户首次通过私信(Direct Message)联系机器人时,系统不会直接拒绝,而是拦截消息并生成一个临时的 8位配对码 (Pairing Code)。用户将此码发送给机器人管理员,管理员在服务器端通过 CLI 指令“批准”该码,从而完成用户身份的绑定与授权。

核心优势:

  • 安全性:防止未经授权的 API 调用。
  • 便捷性:无需管理员手动查找用户的长 ID(如 Telegram User ID),通过简短的配对码即可完成鉴权。
  • 交互性:用户能得到明确的反馈,知道系统处于“待授权”状态。

2. 完整交互流程演示

假设你的机器人部署在 Telegram 上,流程如下:

第一步:用户触发 (User Action)

陌生用户(UserA)向机器人发送消息:“你好,我想使用服务。”

第二步:系统拦截与回复 (System Response)

OpenClaw 检测到 UserA 不在白名单中,且策略配置为 pairing
机器人自动回复:

OpenClaw: access not configured.

Your Telegram user id: 773988xxxx

Pairing code: 2B9VQY42

Ask the bot owner to approve with:
openclaw pairing approve telegram 2B9VQY42

第三步:管理员批准 (Admin Action)

管理员在运行 OpenClaw Gateway 的服务器终端执行以下指令:

查看待处理请求(可选):

openclaw pairing list telegram

批准配对(核心指令):

openclaw pairing approve telegram 2B9VQY42

执行结果:

Approved telegram sender 773988xxxx.

此时,UserA 的 ID 被正式写入系统的白名单,之后的所有消息都将正常透传给 LLM 处理。

3. 核心代码实现解析

这套机制是如何通过代码实现的?我们可以从 OpenClaw 的源码中一探究竟。

3.1 消息拦截与逻辑判断

核心逻辑位于 bot-message-context.js 中。系统在处理每一条入站消息时,会检查 dmPolicy

代码位置dist/telegram/bot-message-context.js

// 伪代码摘要if(!isGroup &&!allowed){ if(dmPolicy ==="pairing")

Read more

YOLOv8 模型移植到高通机器人RB5 平台详细指南

YOLOv8 模型移植到高通机器人RB5 平台详细指南

💡前言 随着边缘端 AI 推理需求的增长,将深度学习模型部署到嵌入式平台成为许多开发者的关注焦点。本文将详细介绍如何将 Ultralytics YOLOv8 训练后的目标检测模型移植到高通机器人RB5平台设备上运行,涵盖从 PyTorch 模型到最终部署的完整流程,并提供常见问题的解决方案和性能优化建议。除了该设备外,如果你手上是一台Thundercomm EB5平台的设备,同样可以按照该步骤完成模型训练,快尝试下吧。 1. 概述 1.1 背景介绍 本文档详细介绍如何将 Ultralytics YOLOv8 训练后的目标检测模型移植到高通机器人 RB5平台(Robotics RB5)上运行。RB5 平台是一款强大的机器人开发平台,搭载 Qualcomm QRB5165 处理器,支持 AI 加速和 5G 连接,非常适合边缘端 AI 推理任务。 1.2 模型移植流程 模型移植的完整流程如下: 1.
本地部署中文OpenClaw 飞书机器人部署指南

本地部署中文OpenClaw 飞书机器人部署指南

适用场景:在 Windows 本地(PowerShell)一键部署 OpenClaw,使用阿里云百炼作为大模型后端,通过飞书长连接模式实现 AI 机器人。 安装skills工具参考:OpenClaw 最新必安装 10 个 Skills-ZEEKLOG博客 自动化发布小红书:OpenClaw 实现小红书自动化发文:操作指南 步骤 1:安装 OpenClaw(openclaw中文社区) 1. 打开 PowerShell。 2. 执行以下命令一键安装: # 在 PowerShell 中运行 iwr -useb https://clawd.org.cn/install.ps1 | iex * 安装过程会自动下载 Node.js、依赖等,耗时几分钟。 * 安装完成后会自动进入配置向导,或提示你继续下一步。
【论文阅读】SWE-CI: Evaluating Agent Capabilities in Maintaining Codebases via Continuous Integration

【论文阅读】SWE-CI: Evaluating Agent Capabilities in Maintaining Codebases via Continuous Integration

SWE-CI:基于持续集成评估智能体在代码库维护中的能力 * 论文链接 * 摘要 * 1. 简介 * 2. 评估智能体维护代码库的能力 * 2.1 任务形式化 * 2.2 归一化变更 * 2.3 EvoScore(演进得分) * 3 SWE-CI * 3.1 数据构建(Data curation) * Step 1: Repository Collection * Step 2: Commit Span Extraction * Step 3: Environment Construction * Step 4: Case Filtering * 3.2 双智能体评估协议 * 4 Experiments * 4.1 Experiment
【异常】飞书OpenClaw机器人 HTTP 401: Invalid Authentication 报错排查与解决方案

【异常】飞书OpenClaw机器人 HTTP 401: Invalid Authentication 报错排查与解决方案

飞书OpenClaw机器人 HTTP 401: Invalid Authentication 报错排查与解决方案 一、报错内容 在飞书客户端会话场景中,用户向企业OpenClaw机器人发送交互消息后,OpenClaw无预期业务响应,会话内持续返回标准化报错信息:HTTP 401: Invalid Authentication。 该报错可稳定复现于单聊、群聊等所有机器人交互场景,表现为用户每触发一次机器人交互,就会同步返回该报错信息,无正常业务逻辑执行结果返回。 二、报错说明 2.1 报错本质定义 HTTP 401 是HTTP协议标准定义的未授权(Unauthorized) 状态码,核心含义为请求方身份认证无效,服务端拒绝执行本次请求。 在飞书开放平台的机器人场景中,该报错的本质是:飞书开放平台服务端对自建机器人的全链路鉴权校验失败。无论是机器人接收飞书事件推送的上行请求,还是机器人主动调用飞书开放平台API的下行请求,只要身份凭证无效、鉴权逻辑校验不通过,飞书服务端就会返回该报错,并最终透传到飞书客户端会话窗口中。