Clawdbot白名单设置与采集优化教程

本文详细介绍了Clawdbot五大白名单配置方案——从Telegram Bot的chat_id精准控制、系统级ufw防火墙IP限制、内置FILTERS.md语义过滤，到腾讯云Lighthouse安全组策略和阿里云无影云电脑专属隔离机制，全面覆盖网络层、应用层与云平台层的多重防护，帮助用户轻松实现仅响应可信用户、群组或来源的高安全性采集环境，杜绝误触发与未授权访问，让自动化消息处理既高效又可控。

如果您希望 Clawdbot 仅响应特定用户、群组或消息来源，避免被无关请求干扰或触发误操作，则需通过白名单机制对通信入口进行严格限制。以下是实现白名单配置的多种方法：

一、Telegram Bot 白名单配置（基于 BotFather + ClawdBot 配置面板）

该方式适用于以 Telegram 为唯一或主通道的部署场景，通过在 ClawdBot 网关层拦截非授权 chat_id，无需修改底层代码即可生效。

1、打开 Telegram，搜索 @BotFather，发送 /mybots 指令，选择已创建的 Clawdbot 关联 Bot。

2、点击 “Edit Bot” → “Edit Privacy Settings”，将 “Group Privacy” 设置为 “ON”，确保 Bot 在群组中仅接收对其的直接提及（@botname）或命令。

3、进入 ClawdBot 配置面板，定位到 “Telegram” 模块下的 “Allowed Chat IDs” 字段。

4、手动填入允许交互的 Telegram 用户 ID 或群组 ID（格式为纯数字，如 123456789 或 -1009876543210），多个 ID 用英文逗号分隔。

5、保存配置后，重启 clawd 服务：在终端执行 sudo systemctl restart clawd 或在无影云电脑中点击配置面板右上角“重载服务”按钮。

二、网关层 WebSocket 入口 IP 白名单（适用于自托管服务器）

当 Clawdbot 通过公网暴露 WebSocket 接口（如 ws://your-domain.com:18789）供外部平台回调时，可在系统级限制接入源 IP，防止未授权平台推送消息。

1、确认 Clawdbot 运行主机已启用 ufw 防火墙：执行 sudo ufw status verbose，若显示非活动状态，则运行 sudo ufw enable 启用。

2、清除默认入站规则（谨慎操作）：运行 sudo ufw reset，随后设置默认拒绝策略：sudo ufw default deny incoming。

3、仅放行可信平台回调 IP 段：例如 WhatsApp Cloud API 官方 IP 范围为 157.240.220.0/24，执行 sudo ufw allow from 157.240.220.0/24 to any port 18789 proto tcp。

4、添加 Telegram Bot API 回调白名单（当前官方出口 IP 可查 telegram.org/docs/bots/webhooks）：运行 sudo ufw allow from 149.154.160.0/20 to any port 18789 proto tcp。

5、启用规则并验证：sudo ufw enable，再执行 sudo ufw status numbered 确认条目已加载。

三、ClawdBot 内置消息过滤器（基于正则与关键词）

该方法不依赖网络层，直接在 Clawdbot 的会话处理链路中截断非法内容，适合对消息正文、发件人昵称、群组标题等字段实施语义级白名单控制。

1、进入 ClawdBot 工作空间目录：cd ~/clawd。

2、编辑消息过滤配置文件：nano FILTERS.md（若不存在则新建）。

3、在文件中按 YAML 格式添加白名单规则，例如仅允许含“运维”“监控”“日报”的消息通过：

whitelist_keywords: ["运维", "监控", "日报", "健康检查"]

whitelist_users: ["张工", "李主管", "OpsTeam"]

4、保存退出后，在配置面板中启用 “消息预过滤” 开关，并选择 “FILTERS.md” 作为规则源。

5、向 Bot 发送测试消息，观察日志：journalctl -u clawd -n 50 -f，确认匹配白名单的消息显示 “ACCEPTED”，其余显示 “REJECTED BY FILTER”。

四、Lighthouse 实例安全组白名单（腾讯云轻量应用服务器专用）

当 Clawdbot 部署于腾讯云 Lighthouse 实例且需对外提供 Webhook 接入能力时，应通过云平台安全组策略限定访问源，这是最外层也是最有效的网络隔离手段。

1、登录腾讯云控制台，进入 Lighthouse 实例管理页，点击目标实例右侧 “更多” → “配置安全组”。

2、在安全组规则页，点击 “添加规则”，协议类型选择 “TCP”，端口范围填写 18789（WebSocket 默认端口）。

3、源 IP 地址处填写具体白名单 IP，例如公司办公公网出口 IP：203.208.60.1/32；如需允许多个地址，需逐条添加规则。

4、策略设为 “允许”，描述栏填写 ClawdBot WebSocket – Internal Only。

5、保存后，返回实例详情页，确认安全组状态已更新，且当前规则列表中无全通规则（如 0.0.0.0/0）存在。

五、无影云电脑专属白名单策略（阿里云环境）

针对阿里云无影云电脑部署的 Clawdbot，其网络路径经由阿里云内网代理，因此需结合云桌面策略与 Clawdbot 应用层双重白名单，防止跨租户误触。

1、进入无影云电脑控制台，选择对应 Moltbot 实例，点击 “管理” → “网络与安全” → “访问控制”。

2、开启 “客户端 IP 白名单” 功能，点击 “添加 IP”。

3、填入受信设备的公网 IPv4 地址（如手机热点 IP、家庭宽带 IP），单次最多添加 20 个，格式为 112.65.34.123/32。

4、返回 ClawdBot 配置面板，在 “高级设置” 中启用 “云桌面网络隔离模式”，该模式将自动禁用除白名单 IP 外的所有 WebSocket 连接握手请求。

5、重启云桌面会话：在客户端点击右上角头像 → “重新连接”，确保新策略加载生效。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于科技周边的相关知识，也可关注golang学习网公众号。