余弦的OpenClaw 极简安全实践指南更新了 | 帖子 | github | #指南

适用于：
- OpenClaw 以高权限运行（具备终端/root 权限的环境）
- OpenClaw 持续安装并使用Skills / MCPs / scripts / tools
- 目标是在风险可控、审计明确的前提下实现能力最大化

指南提供了一套经过实战检验的、极简的 三层防御矩阵：

事前 (Pre-action): 行为黑名单与严格的技能包安装审计协议（防供应链投毒）
事中 (In-action): 权限收窄与跨技能业务风控前置检查 (Pre-flight Checks)
事后 (Post-action): 每晚自动化显性巡检（覆盖 13 项核心指标）与大脑 Git 灾备同步

使用方法：把安全指南直接丢给 OpenClaw，让它自己理解、评估、部署整个防御体系。四步：下载指南 → 发给 Agent → Agent 评估 → 部署。

你以为AI编程拼的是提示词，其实高手都在“驯化”项目结构 | 帖子

别再卷提示词了。想让Claude像个真正的工程师一样干活，关键不是怎么“说”，而是怎么“放”。一个结构清晰的代码仓库，远比一段天花乱坠的提示词更重要。

多数人还在琢磨怎么把提示词写出花来，但真正拉开AI编程效率差距的，根本不是提示词。

你以为让Claude写出好代码，靠的是把需求描述得滴水不漏。其实，如果你的代码仓库一团糟，它就只是个聊天机器人；如果结构清晰，它才表现得像个住在你项目里的高级工程师。这中间的差距，比人和狗的差距都大。

秘诀在于给AI建立一套“项目解剖学”。这套结构，就是AI的“短期记忆”和“行为准则”。它只需要四个东西：

1. CLAUDE.md：项目的北极星文件，简要说明系统目的、仓库地图和交互规则。短小精悍，废话太多AI会抓不住重点。2. .claude/skills/：可复用的专家模式。把代码审查、重构、调试等固定流程变成技能包，随时调用，而不是每次都在提示词里重复念叨。

3. .claude/hooks/：自动化护栏。模型会忘事，但钩子不会。比如编辑后自动格式化、核心代码变更后触发测试，把AI工作流变成可靠的工程系统。

4. docs/：渐进式上下文。别把几万字的需求文档塞进提示词，让AI自己去查阅架构图、决策记录和操作手册。它不需要记住一切，只需要知道“真理”在哪。

有人在一个5万行代码的库上实践这套方法，Claude的错误率直接降低了大约60%。评论区里一片“原来如此”的声音，大家普遍认同：结构大于提示词，仓库本身就是终极提示。提示词是租来的，结构才是你自己的。

所以，如果你还在每天花几小时跟AI“念经”，却发现它总是犯些低级错误，问题很可能不在你的提示词写得够不够“魔法”，而在你的项目结构是不是一坨屎。

别再抱怨AI笨了，也许它只是在你的烂摊子里迷了路。

这篇文章精准地指出了当前AI辅助编程领域的一个核心误区：过度迷信“提示词工程”，而忽略了更基础也更重要的“上下文工程”。它提出的“项目结构即提示”的观点，对于那些感觉AI“不好用”的开发者来说，无疑是一次认知矫正。从“教AI做事”转向“为AI搭建舞台”，这才是人与AI协作的正确姿势。