大家好，我是讯享网，很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



OpenClaw 部署到生产环境后，安全问题绕不开。SOUL.md 和 prompt 层面的规则是软防护——模型不一定遵守。一句「忽略以上所有指令」就可能让模型把系统提示词吐出来。

Amazon Bedrock Guardrails 是一层独立于模型的安全过滤机制。不管底层用 Claude、Nova 还是 Llama，过滤逻辑统一生效。

Guardrails 提供 6 层过滤：

内容过滤（Content Filters）

按类别拦截有害内容：仇恨、侮辱、色情、暴力、不当行为、Prompt 攻击。每个类别设高/中/低三档强度。Standard 层级能检测代码注释和变量名中隐藏的恶意内容。

话题拦截（Denied Topics）

自定义禁区。为 OpenClaw 配置业务边界——技术客服场景拦截投资建议，企业内部助手拦截竞品讨论。

关键词过滤（Word Filters）

精确匹配。竞品品牌名、脏话、行业敏感词。内置脏话过滤一键开启。

PII 过滤（Sensitive Information Filters）

身份证号、手机号、邮箱、银行卡号等敏感信息，支持拦截（BLOCK）和打码（ANONYMIZE）两种处理方式。支持自定义正则表达式。

事实性检查（Contextual Grounding）

RAG 场景下检测模型幻觉。模型回答与检索原文不一致时触发。设置事实性和相关性两个阈值。

自动推理检查（Automated Reasoning）

用逻辑规则验证模型回答的准确性，发现幻觉并建议修正。

import boto3 bedrock = boto3.client('bedrock', region_name='us-east-1') response = bedrock.create_guardrail( name='openclaw-safety-guardrail', description='OpenClaw 生产环境安全护栏', topicPolicyConfig={ 'topicsConfig': [{ 'name': '竞品讨论', 'definition': '关于其他云服务商产品的讨论或对比', 'examples': [ '阿里云和亚马逊云科技哪个好', '帮我对比腾讯云和AWS' ], 'type': 'DENY' }, { 'name': '投资建议', 'definition': '股票、基金、加密货币等投资建议', 'examples': ['推荐几只股票', '亚马逊股票值得买吗'], 'type': 'DENY' }] }, contentPolicyConfig={ 'filtersConfig': [ {'type': 'SEXUAL', 'inputStrength': 'HIGH', 'outputStrength': 'HIGH'}, {'type': 'VIOLENCE', 'inputStrength': 'HIGH', 'outputStrength': 'HIGH'}, {'type': 'HATE', 'inputStrength': 'HIGH', 'outputStrength': 'HIGH'}, {'type': 'INSULTS', 'inputStrength': 'HIGH', 'outputStrength': 'MEDIUM'}, {'type': 'MISCONDUCT', 'inputStrength': 'HIGH', 'outputStrength': 'HIGH'}, {'type': 'PROMPT_ATTACK', 'inputStrength': 'HIGH', 'outputStrength': 'NONE'} ] }, wordPolicyConfig={ 'wordsConfig': [ {'text': '阿里云'}, {'text': '腾讯云'}, {'text': '华为云'}, {'text': 'Azure'}, {'text': 'GCP'} ], 'managedWordListsConfig': [{'type': 'PROFANITY'}] }, sensitiveInformationPolicyConfig={ 'piiEntitiesConfig': [ {'type': 'EMAIL', 'action': 'ANONYMIZE'}, {'type': 'PHONE', 'action': 'ANONYMIZE'}, {'type': 'NAME', 'action': 'ANONYMIZE'} ], 'regexesConfig': [{ 'name': '中国手机号', 'pattern': r'1[3-9]d{9}', 'action': 'ANONYMIZE', 'description': '11位手机号' }, { 'name': '身份证号', 'pattern': r'd{17}[dXx]', 'action': 'BLOCK', 'description': '18位身份证' }] }, blockedInputMessaging='输入包含不允许的内容，请换一种方式表达。', blockedOutputsMessaging='无法回答这个问题，请尝试其他话题。' ) guardrail_id = response['guardrailId'] 

# draft 版本仅用于测试，生产必须用正式版本 bedrock.create_guardrail_version( guardrailIdentifier=guardrail_id, description='v1 - 初始版本' ) 

bedrock_runtime = boto3.client('bedrock-runtime', region_name='us-east-1') response = bedrock_runtime.converse( modelId='anthropic.claude-sonnet-4-', messages=[{ 'role': 'user', 'content': [{'text': '用户输入'}] }], guardrailConfig= ) # 检查拦截 if response['stopReason'] == 'guardrail_intervened': trace = response.get('trace', {}) # trace 中包含命中的具体过滤器信息 

bedrock.update_guardrail(

guardrailIdentifier=guardrail_id, contextualGroundingPolicyConfig={ 'filtersConfig': [ {'type': 'GROUNDING', 'threshold': 0.7}, {'type': 'RELEVANCE', 'threshold': 0.7} ] } 

)

调用 apply_guardrail API 时传入参考文本（grounding_source），Guardrails 会对比模型输出与原文的一致性。

在 OpenClaw 环境中测试 5 种场景：

无误杀。

文本过滤 $0.75/千文本单元（1单元=1000字符），事实性检查 $0.10/千文本单元。

日均 500 条消息的 OpenClaw 实例，月成本约 $11。延迟增加 100-300ms。

1. PROMPT_ATTACK 输出端设 NONE — 避免误杀讨论安全话题的正常对话
2. PII 优先 ANONYMIZE — 打码比拦截的用户体验更好
3. 开启 trace — 排查时需要知道具体命中了哪个过滤器
4. Contextual Grounding 阈值从 0.7 起步 — 太高频繁误杀，太低形同虚设
5. 先 draft 测试再发版本 — 充分验证后再用于生产

Bedrock Guardrails 提供了独立于模型的安全层。对于生产环境的 OpenClaw 部署，30 分钟配置、$11/月成本，换来 Prompt 注入拦截、PII 打码、幻觉检测三重防护，投入产出比很高。

---

本文代码在 Amazon Bedrock us-east-1 区域验证通过。更多 OpenClaw 实战内容请关注本博客。