核心用法
Simple Backup 是一款面向 AI agent 的轻量级备份工具,采用「本地归档 + 可选云同步」的双层架构。用户执行 simple-backup 命令后,脚本自动完成以下流程:
1. Staging — 聚合三个核心目录:~/clawd(工作区)、~/.clawdbot(状态持久化)、skills/(技能源码)
2. Compression — 使用 tar 打包为 .tgz 压缩档,节省存储空间
3. Encryption — 调用 GPG 执行 AES256 对称加密,需通过环境变量 BACKUP_PASSWORD 或 ~/.clawdbot/credentials/backup.key 提供密码
4. Rotation — 自动清理过期备份,支持按天(默认 7 天)和按小时(默认 24 小时)双维度保留策略
5. Sync — 若配置 REMOTE_DEST(如 gdrive:backups),通过 rclone 推送加密档案至云端
显著优点
- 零配置开箱即用:依赖仅 rclone、gpg、tar,主流系统均可快速安装
- 端到端加密:AES256-GPG 确保即使云端存储被攻破,数据仍不可读
- 灵活保留策略:通过环境变量细粒度控制存储周期,避免磁盘无限膨胀
- 云中立:rclone 支持 70+ 存储后端(S3、Google Drive、OneDrive、SFTP 等),无厂商锁定
- 原子操作:tar 打包在本地完成后再加密上传,网络中断不会导致档案损坏
潜在缺点与局限性
- 密码管理风险:密钥以明文环境变量或文件形式存放,若主机已被入侵,攻击者可读取
backup.key解密历史备份;缺乏硬件安全模块(HSM)或密钥管理服务(KMS)集成 - 无增量备份:每次全量打包,高频备份时磁盘 I/O 与存储成本较高
- rclone 配置复杂度:云同步依赖用户自行完成
rclone config,配置错误可能导致数据泄露至错误 bucket - 无恢复验证:内置脚本未提供自动化的备份完整性校验或模拟恢复测试
- 单点故障:若本地磁盘与云存储同时配置错误,可能导致备份链断裂
适合人群
- 个人开发者或小型团队,需快速建立 agent 数据保护机制
- 对数据主权敏感、希望加密后再上传公有云的用户
- 已有 rclone 使用经验、熟悉 GPG 工作流的技术用户
常规风险
| 风险类型 | 说明 | 缓解建议 |
|---------|------|---------|
| 密钥泄露 | `BACKUP_PASSWORD` 或 `backup.key` 被进程/日志泄露 | 使用 `export -n BACKUP_PASSWORD` 及时清除,文件权限设为 600 |
| 中间人攻击 | rclone 同步时 TLS 配置不当 | 验证 rclone remote 的 `server_side_encryption` 配置 |
| 备份腐败 | tar 压缩过程磁盘满或进程被杀 | 预留 2x 工作区大小的临时空间,监控退出码 |
| 恢复失败 | 长期未验证导致 GPG 密钥或密码遗忘 | 定期执行 `--dry-run` 解密测试,离线保存密码分片 |