OpenClaw Skills实战：nanobot通过env var注入实现动态system tool白名单控制

1. nanobot简介

nanobot是一款受OpenClaw启发的超轻量级个人人工智能助手，仅需约4000行代码即可提供核心代理功能。相比Clawdbot的430k多行代码，体积缩小了99%。当前实时代码行数为3510行（可通过运行bash core_agent_lines.sh进行验证）。

内置vllm部署的Qwen3-4B-Instruct-2507模型，使用chainlit进行推理交互。支持通过简单配置接入QQ聊天机器人，为开发者提供灵活的AI助手解决方案。

2. 环境准备与部署验证

2.1 模型服务状态检查

部署完成后，可以通过以下命令验证模型服务是否正常运行：

cat /root/workspace/llm.log

当看到服务启动成功的日志信息时，表示模型已准备就绪。

2.2 使用chainlit调用nanobot

通过chainlit可以方便地与nanobot进行交互。启动chainlit后，在界面中输入问题即可获得AI助手的智能回复。

3. 动态system tool白名单控制

3.1 环境变量注入机制

nanobot通过环境变量注入实现了动态system tool白名单控制，这是其核心安全特性之一。开发者可以通过设置以下环境变量来控制系统工具的使用权限：

export NANOBOT_ALLOWED_TOOLS="nvidia-smi,ls,cat"

3.2 白名单配置示例

在config.json中配置基础白名单：

{
  "system": {
    "allowed_tools": ["nvidia-smi", "df", "free"]
  }
}

环境变量将覆盖配置文件中的设置，实现运行时动态控制。

3.3 权限验证流程

当用户请求执行系统命令时，nanobot会按照以下顺序检查权限：

1. 检查环境变量NANOBOT_ALLOWED_TOOLS
2. 检查配置文件中的allowed_tools
3. 如果均未设置，则拒绝所有系统工具请求

4. 接入QQ机器人实战

4.1 注册QQ开放平台

1. 访问QQ开放平台(https://q.qq.com/#/apps)
2. 注册个人或企业开发者账号
3. 创建新的机器人应用

4.2 配置nanobot连接QQ

修改nanobot配置文件：

vim /root/.nanobot/config.json

添加QQ机器人配置：

{
  "channels": {
    "qq": {
      "enabled": true,
      "appId": "YOUR_APP_ID",
      "secret": "YOUR_APP_SECRET",
      "allowFrom": []
    }
  }
}

4.3 启动网关服务

执行以下命令启动QQ机器人网关：

nanobot gateway

服务启动成功后，即可通过QQ与nanobot进行交互。

5. 安全注意事项

1. 谨慎配置system tool白名单，仅开放必要的工具权限
2. 定期检查环境变量设置，避免意外权限提升
3. 生产环境建议结合IP白名单等额外安全措施
4. 及时更新到最新版本以获取安全补丁

6. 总结

通过本文介绍，我们了解了如何利用nanobot的环境变量注入机制实现动态system tool白名单控制。这种设计既保证了灵活性，又提供了必要的安全防护。结合QQ机器人的接入示例，展示了nanobot在实际应用中的强大能力。

获取更多AI镜像

想探索更多AI镜像和应用场景？访问 CSDN星图镜像广场，提供丰富的预置镜像，覆盖大模型推理、图像生成、视频生成、模型微调等多个领域，支持一键部署。