核心用法
ClawDefender是一款专为AI Agent设计的防御性安全扫描工具,采用纯Bash脚本实现,无需复杂依赖。核心功能覆盖四大场景:
1. Skill安装审计 (--audit / --install): 扫描已安装技能或新安装技能,按CRITICAL/HIGH/WARNING三级风险评分输出
2. 输入消毒 (sanitize.sh): 管道化过滤外部输入(邮件、API响应、日历事件),支持--strict模式用于自动化流程中断
3. URL安全验证 (--check-url): 拦截SSRF攻击(169.254.169.254元数据端点)、私有IP、已知数据外泄服务(webhook.site)
4. 实时威胁检测 (--check-prompt / --validate): 90+正则模式识别提示词注入、命令注入、路径遍历
典型工作流:curl 第三方API | ./sanitize.sh --json → 无标记则处理,有标记则阻断告警
显著优点
- 零执行风险:仅使用grep/sed模式匹配,无eval/exec等危险操作,检测逻辑与执行逻辑完全隔离
- 轻量部署:依赖bash/grep/sed/jq标准工具,无需Docker/编译环境
- 防御覆盖全面:整合OWASP LLM Top 10研究,覆盖prompt injection、command injection、SSRF、credential exfiltration、path traversal五类攻击向量
- CI/CD友好:退出码规范(0/1),支持
--silent/--report等自动化模式,可嵌入技能安装钩子 - 隐私合规:扫描日志本地存储($WORKSPACE/memory/),无敏感数据外发,通过GDPR数据最小化审计
潜在局限
- 静态规则局限:基于正则的模式匹配难以应对对抗性绕过(如编码变形、分块注入),无法替代动态行为监控
- 误报成本:安全文档类技能可能被误判为恶意(需手动维护排除列表)
- T3来源风险:个人开发者维护,无顶级开源基金会背书,长期更新与应急响应能力不确定
- 性能瓶颈:大输入无长度限制,超长文本可能导致grep处理延迟
- 白名单粗放:ALLOWED_DOMAINS包含非必要域名(如wttr.in),最小权限原则执行不彻底
适合人群
- AI Agent开发者:需为自研Agent添加输入过滤层
- ClawHub重度用户:频繁安装第三方技能,需前置安全审计
- 自动化工作流搭建者:通过HEARTBEAT.md规范团队安全操作习惯
- 安全合规敏感场景:需满足基础数据本地化与GDPR要求的环境
常规风险
| 风险场景 | 说明 |
|---------|------|
| 规则绕过 | 攻击者使用base64编码、Unicode变体等规避正则检测 |
| 依赖工具漏洞 | jq/grep等基础工具若存在CVE可能影响检测链 |
| 日志膨胀 | security-scans.md无自动轮转,长期运行可能占用磁盘 |
| ClawHub供应链 | `--install`功能依赖npx clawhub,未验证软件包签名 |
建议:生产环境关键节点结合人工复核,定期审查T3来源更新动态,对高敏感场景补充动态沙箱检测。