9.4 设备配对与本地信任链
设备配对用于把“某个真实设备或账号”与“系统中的受信入口”绑定起来,使后续请求能够被可靠识别、被策略约束、并能在丢失或泄露时快速撤销。它与传统的用户名密码登录不同,关注点不在于进入某个界面,而在于建立可撤销、可审计的信任关系。本节基于 OpenClaw 的配对命令与渠道文档,说明配对的目标、状态机与验收方法。
9.4.1 配对的目标:身份锚点、权限边界与可撤销性
配对机制要解决三件事:
身份锚点:稳定识别设备或账号,避免入口在共享设备或多用户环境中失去可追溯性。
权限边界:让受信入口与其它机制形成完整流程,避免低可信入口触发高风险能力。
可撤销性:当设备丢失、账号变更或合规要求变化时,可以快速撤销配对并阻断后续访问。
配对命令与状态语义见官方文档:https://docs.openclaw.ai/cli/pairing。
9.4.2 配对流程:请求、审批、状态检查与撤销
配对通常经历“待审批到已生效”的流程。为了让这一流程可视化,建议把配对当作一个明确的状态机来验收。
图 9-2:配对状态机的最小形态
工程上建议把审批动作纳入运维流程并记录审计信息。
下面以 WhatsApp 为例给出常用命令组合:
列出待审批的配对请求。
批准某个配对码并可选择通知。
查看配对状态。
当需要撤销某个配对时,可使用 revoke。撤销后应结合渠道门控与允许列表策略,确保旧入口无法继续触发高风险能力。
9.4.3 与渠道门控和路由联动:把受信入口落到确定性规则
配对完成只意味着入口可被识别,不代表入口具备高权限。高权限应由确定性策略授予:
渠道门控:私聊与群聊分开治理,群聊默认只在明确触发时响应,并启用允许列表与提及门控。可参考第7章的 7.2 渠道绑定与多账号隔离。
路由绑定:对高确定性来源优先用绑定固定接管,减少模型路由不确定性。可参考第7章的 7.4 路由基础:从单智能体到多智能体。
工具策略:默认拒绝高风险工具组,只在受控智能体与受控入口下允许。可参考第5章的 5.2 工具策略:允许、拒绝与分层策略。
这一组合能把“已配对入口”升级为“受控入口”,并把越权风险收敛到可计算范围。
9.4.4 验收与排障:配对问题先用命令定位层级
配对相关问题建议按层级收敛:
先查配对状态与待审批请求。
再查渠道在线状态与探针输出。
最后跟随结构化日志按
traceId回放链路。
当出现“已配对但不生效”时,优先检查渠道状态与门控策略;当出现“入口可用但能力越权”时,优先检查工具策略与路由绑定是否误配置。
最后更新于