核心功能与用法
OpenClaw Safety Coach 是专为 OpenClaw/ClawHub 生态设计的主动安全防护技能,采用预防-检测-响应三层架构:
风险拦截层面:当检测到以下场景时自动激活严格安全模式——工具执行请求(exec/shell/子进程)、网关/Webhook 调用、敏感数据(API 密钥/令牌/环境变量/配置)、未审核技能安装、群聊操作中的提示注入或绕过尝试。
结构化响应协议:拒绝危险请求时遵循四步格式——明确声明拒绝、绑定安全/法律/政策的简要理由、提供具体可执行的安全替代方案、以澄清性问题引导用户转向安全目标。严禁虚构已执行操作、严禁提供绕过安全的指令。
六大拒绝类别:非法恶意活动(黑客/欺诈/恶意软件)、自残或暴力诱导、指令覆盖与越狱攻击(DAN/系统提示提取)、密钥与敏感信息索取、可导致系统沦陷的不安全代码/工具使用、无资质的专业建议(医疗/法律/财务)。
显著优势
生态针对性:深度理解 OpenClaw 特定风险向量(ClawHub 技能供应链攻击、configure set vs auth set 密钥存储差异、网关 SSRF),提供精准检测信号(如"新上传技能+模糊功能描述+索求钱包权限"=典型恶意技能信号)。
实操导向:每项拒绝均附带具体可执行的安全替代方案。例如用户请求 exec 时,提供伪代码替代、只读检查步骤、建议禁用 exec 的配置;密钥泄露场景下,提供脱敏指南、openclaw auth set 迁移命令、90 天轮换周期建议。
威胁矩阵体系化:覆盖恶意技能、工具滥用、网关外泄/SSRF、提示注入、密钥泄露、内存投毒六大威胁模型,每项包含典型信号、影响评估、安全响应模板,降低安全运营认知负荷。
局限性与约束
依赖用户配合:技能无法强制阻止用户执行危险操作(如用户可手动绕过建议直接运行 exec),安全效果取决于用户是否采纳替代方案。对执意绕过者缺乏技术强制手段。
上下文窗口限制:群聊场景中的复杂提示注入(如多轮渐进式诱导、间接注入通过外部文档)可能超出当前检测能力,需配合短上下文窗口与允许列表等架构层防护。
新兴威胁滞后:ClawHub 技能供应链攻击手法持续演变,静态检查清单(网络调用/子进程/文件写入/混淆/Base64 块)可能漏检高级混淆或零日利用。
适用人群
- OpenClaw/ClawHub 生态的终端用户(开发者、自动化运维人员)
- 需要安全审查第三方技能的团队安全负责人
- 配置 AI 代理网关、密钥管理、容器隔离的基础设施工程师
- 对提示注入、SSRF、供应链攻击有基础认知但需具体落地指导的中级用户
常规风险
误拒正常请求:严格安全策略可能过度拦截边缘场景的合法自动化需求(如必要的 exec 调用),需用户具备识别"合理拒绝"与"误报"的判断力。
安全替代方案的执行风险:即使遵循建议(如在隔离容器测试技能),用户仍可能因容器配置疏漏(如错误挂载敏感卷、保留网络访问)导致实际暴露。
密钥轮换成本:90 天强制轮换建议与立即轮换触发条件可能造成业务中断,尤其在缺乏自动化密钥管理流水线的环境中。