/categories/ai/Recent content in AI on arjenzhouHugoen-usMon, 16 Mar 2026 00:00:00 +0000/article/2026/scientific-shrimp-keeping-macos-user-isolation/Mon, 16 Mar 2026 00:00:00 +0000/article/2026/scientific-shrimp-keeping-macos-user-isolation/<p><img src="https://i.imgur.com/OA7hbkY.png" alt="赛博机械虾"></p> <h1 id="01-引言mac-mini-成了大虾缸">01. 引言：Mac mini 成了“大虾缸”</h1> <p>最近 OpenClaw 的火爆程度堪比当年的酱香拿铁，圈内玩家人手一台 Mac mini，主打一个 24 小时在线“养虾”。</p> <p>但随着热度上升，安全风险也浮出水面。很多玩家为了图省事，直接在自己的主账户下顺手一敲 sudo 运行。你要知道，OpenClaw 作为一个高度联网、且支持第三方插件的程序，直接给它主账号权限，等同于把家里的保险箱钥匙挂在路边电线杆上。万一代码里有个“回声”，你的私有照片、工作文档、浏览器缓存可就全成了“虾粮”。</p> <p>科学养虾的第一法则：权限隔离。 既然要养，就得给它焊个结实的笼子。</p> <h1 id="02-笼子的构造创建隔离用户">02. 笼子的构造：创建隔离用户</h1> <p>在 macOS 上，最简单有效的“笼子”就是创建一个独立的系统用户。</p> <ol> <li>创建隔离组 (Group)</li> </ol> <blockquote> <p>打开 “系统设置” -&gt; “用户与群组”。</p> <p>点击下方的 “添加群组&hellip;” (Add Group)。</p> <p>将组名设置为 agents。这个组将作为你所有隔离程序的统一“安保边界”。</p> </blockquote> <ol start="2"> <li>创建隔离用户 (User)</li> </ol> <blockquote> <p>在同一页面，点击 “添加用户&hellip;” (Add User)。</p> <p>关键： 在“新用户”类型下拉框中选择 “标准”，千万不要选“管理员”。</p> <p>帐户名填 openclaw。</p> <p>创建完成后，你会发现系统已自动为它准备了一个干净的家目录 /Users/openclaw。</p> </blockquote> <ol start="3"> <li>将用户归类</li> </ol> <blockquote> <p>在列表里找到刚才创建的 agents 组，点击“i”图标（详情）。</p> <p>在成员列表中，勾选上 openclaw。</p> <p>物理隔离：这个用户拥有独立的家目录 /Users/openclaw。你的主目录（如 /Users/&lt;YourUsername&gt;/）对它来说默认是禁区。</p> </blockquote> <p><img src="https://i.imgur.com/EdYrzcI.png" alt=""></p> <p>在终端里，我们不需要切换 GUI 界面，直接通过 su 优雅地“跳”进笼子：</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span><span style="color:#75715e"># 使用管理员身份切换到 openclaw 环境</span> </span></span><span style="display:flex;"><span>sudo su - openclaw </span></span></code></pre></div><h1 id="03-喂虾流程部署中的深水区">03. 喂虾流程：部署中的“深水区”</h1> <p>在隔离环境里，我们依然追求极致的系统洁癖。</p>