ClawDefender - OpenClaw Security - Prompt injection, rogue skills etc

ClawDefender 综合评估

核心用法

ClawDefender 是一款专为 AI 代理环境设计的轻量级安全工具包，通过 bash 脚本实现，无需复杂依赖。其核心价值在于三层防护：技能审计（--audit 扫描已安装技能）、输入净化（sanitize.sh 管道过滤外部内容）、威胁验证（URL/文本/提示词检查）。用户通过管道操作即可集成到现有工作流，如 curl ... | sanitize.sh --json 安全处理 API 响应。

显著优点

• 覆盖全面：检测 90+ 种提示注入模式（如 DAN 越狱、指令覆盖）、命令注入（rm -rf、fork 炸弹）、SSRF（云元数据端点 169.254.169.254）、路径遍历及凭证窃取尝试
• 零摩擦集成：纯 Bash 实现，依赖 grep/sed/jq 等系统标配工具，无需 Docker 或编译
• 自动化友好：退出码设计（0/1）、静默模式、--strict 失败即停，适配 CI/CD 和 Cron 场景
• 上下文感知：自动排除 node_modules、.git 及安全文档技能的误报

潜在局限

• 规则引擎局限：基于正则匹配，对新型零日提示注入（如多模态编码、Unicode 混淆）防御能力有限；无法防御需要语义理解的复杂社会工程攻击
• 无加密验证：仅检测文本模式，不验证技能代码签名或哈希完整性
• Linux 生态绑定：依赖 Bash 环境，Windows 原生支持需 WSL/MinGW
• 维护依赖：90+ 规则需持续更新以跟进 OWASP LLM Top 10 演变

适合人群

AI 代理开发者、ClawHub 技能安装用户、处理外部不可信数据（邮件、日历、Trello、GitHub Issue）的自动化工作流构建者，以及追求最小安全基线的个人/小团队。

常规风险

• 过度信任风险：标记为「Clean」的内容仍可能包含未覆盖的攻击向量，不应视为绝对安全保证
• 管道误用：忘记添加 --strict 可能导致恶意内容流入下游处理
• 延迟风险：大体积 JSON 的逐行扫描可能引入 I/O 瓶颈

核心用法

ClawDefender 是一款面向 AI Agent 的防御性安全扫描工具，通过四大核心模块构建完整防护体系：

1. 技能安全审计 (`--audit`)

遍历 ~/.claude/skills/ 目录，对已安装技能进行静态代码扫描，按威胁等级输出 CRITICAL/HIGH/WARNING 三级告警，阻断恶意代码注入。支持 CI/CD 集成，实现自动化安全门禁。

2. 输入消毒过滤 (`sanitize.sh`)

作为通用管道过滤器，可处理邮件、日历事件、API 响应、GitHub Issues 等任意外部输入。检测到威胁时自动包裹标记，阻止 Agent 执行其中嵌入的指令。提供 --strict 模式用于自动化中断、--silent 模式用于静默过滤。

3. URL 预检验证 (`--check-url`)

拦截 SSRF 攻击向量（云服务元数据端点 169.254.169.254、私有网段、外泄服务如 webhook.site），阻断危险协议（file://、gopher://）。

4. 实时威胁检测 (`--check-prompt` / `--validate`)

覆盖 90+ 种提示词注入模式（ignore previous instructions、DAN 模式、分隔符攻击）、命令注入（rm -rf、反向 shell）、凭证窃取、路径遍历等攻击特征。

---

显著优点

| 维度 | 优势 |

|------|------|

| **零依赖架构** | 纯 Bash 实现，仅依赖 grep/sed/jq 系统标准工具，无第三方包引入供应链风险 |

| **防御场景完整** | 同时覆盖 LLM 特有的提示词注入与传统安全威胁（命令注入、SSRF），填补 Agent 安全空白 |

| **无缝集成** | 管道化设计兼容现有工作流，可嵌入 HEARTBEAT.md 规范，支持 Cron 定时扫描 |

| **误报控制** | 自动排除 node_modules、.min.js 等目录，提供自定义白名单机制 |

| **透明可信** | 安全认证评分 85 分（S 级），无 eval/exec 危险函数，无硬编码敏感信息 |

---

潜在缺点与局限性

1. 静态模式依赖：基于正则表达式匹配，可能遗漏经过编码混淆（如 Unicode 变体、HTML 实体编码）的新型攻击
2. T3 来源可信度：当前为个人开发者/社区项目，缺乏官方签名与可信分发渠道
3. 无实时威胁情报：内置规则库需手动更新，未连接云端威胁情报源
4. 性能瓶颈：超长输入（如大体积 JSON）未做长度限制，存在资源耗尽风险
5. Bash 环境限制：Windows 原生环境需借助 WSL/Git Bash，跨平台体验受限

---

适合人群

• AI Agent 重度用户：频繁安装第三方技能、处理外部邮件/API 数据的 Claude/Code 用户
• 企业安全团队：需为 AI 工作空间建立安全基线、满足合规审计要求的组织
• 技能开发者：验证自身技能无恶意代码、提升用户信任的发布者
• 红队/安全研究员：测试 LLM 应用防护边界的攻防演练场景

---

常规风险

| 风险场景 | 防护建议 |

|----------|----------|

| 新型零日注入攻击 | 结合人工审查，不单纯依赖自动化扫描 |

| 日志敏感信息泄露 | 确保 `$WORKSPACE/memory/security-scans.md` 权限设为 600 |

| 误报导致业务中断 | 生产环境先用 `--report` 模式观察，再启用 `--strict` |

| 供应链投毒 | 优先通过官方渠道获取，校验 SHA256 哈希 |

底线原则： flagged 内容绝对禁止执行，必须人工二次确认。