核心用法
OpenClaw Shield 是一款专为 AI 代理设计的企业级安全扫描与防护系统,采用三层防御架构:
1. 静态扫描引擎
- 预执行代码审查,无需外部依赖
- 纯 Python 标准库实现,零供应链风险
- 识别凭证窃取模式、数据外泄路径、破坏性操作
2. 运行时防护 (Runtime Guard)
- 文件/网络/进程白名单机制
- 输出内容脱敏处理
- 策略强制与实时拦截
3. 集成安全生态
- ClamAV 病毒库联动(360万+签名)
- Telegram 关键告警推送
- 哈希链审计日志,防篡改报告
显著优点
| 维度 | 优势 |
|------|------|
| **供应链安全** | 纯标准库实现,无外源依赖 |
| **部署灵活** | 支持手动扫描、cron 自动化、常驻守护 |
| **取证能力** | 哈希链日志满足合规审计要求 |
| **生态兼容** | 与现有 ClamAV 基础设施无缝集成 |
潜在局限
- 配置复杂度:运行时防护需手动维护白名单策略,误配可能导致业务中断
- 性能开销:ClamAV 全量扫描对大文件/高频场景存在延迟
- 覆盖盲区:静态分析难以捕捉 0day 漏洞或高度混淆的攻击代码
- 维护责任:Telegram 告警、日志轮转需运维介入
适合人群
- 运行 AI 代理的 DevSecOps 团队
- 需要满足 SOC2/ISO27001 审计要求的组织
- 对供应链攻击高度敏感的开源基础设施
常规风险
⚠️ 策略误杀:过度严格的运行时规则可能阻断合法操作
⚠️ 日志膨胀:高频扫描场景下审计数据增长迅速
⚠️ 单点依赖:关键告警依赖 Telegram 外部服务可用性
> 设计理念:"Don't trust, verify" — 源自 Resonant 开放系统工具包,强调验证而非信任。