ClawGuard

核心用法

ClawGuard是OpenClaw网关的LLM-as-a-Judge安全插件，在工具调用执行前介入评估。安装后通过before_tool_call钩子自动工作：记录工具调用详情→将上下文发送至LLM进行风险评级（none/low/medium/high/critical）→根据配置决定是否阻断高危操作。

显著优点

• 模型无关设计：复用OpenClaw已配置的任意LLM提供商，无需额外模型部署
• 细粒度控制：独立开关日志、安全检测、阻断策略，支持纯审计模式运行
• 上下文感知：可配置2000词会话上下文窗口，兼顾检测精度与性能
• 开箱即用：npm一键安装，与Docker部署无缝兼容

潜在缺点与局限性

• 性能开销：15000ms默认超时（可调整）增加工具调用延迟，高频场景可能影响吞吐量
• 依赖网关端点：必须启用chat completions端点，配置不当易触发401/405错误
• LLM判断固有不确定性：风险评级依赖模型能力，可能出现误报/漏报
• 供应商锁定：仅适配OpenClaw生态，无法独立运行

适合人群

• 部署AI Agent需要动态工具调用管控的企业安全团队
• 已通过OpenClaw构建LLM基础设施、追求最小化改造成本的开发者
• 需满足合规审计要求（日志留存+可解释阻断决策）的金融/医疗场景

常规风险

• 网关token配置错误导致服务中断
• Docker环境下未使用--force-recreate造成环境变量未加载
• 超时设置与模型响应速度不匹配引发检测跳过
• 敏感工具调用上下文被发送至LLM带来的数据暴露面（需确认模型提供商数据处理条款）

ClawGuard 安全插件综合评估

核心用法

ClawGuard 是 OpenClaw 生态系统的官方安全 guardrail 插件，通过 before_tool_call 钩子机制实现 LLM 工具调用的实时风险评估。其核心工作流程为：在工具执行前拦截调用请求，将上下文发送至配置的 LLM 进行安全评判，根据返回的风险等级（none/low/medium/high/critical）决定是否阻断高风险操作。

部署流程简洁：启用网关 chat completions 端点后，通过 npm 安装 @capsulesecurity/clawguard，重启网关即可生效。配置项丰富，支持开关式控制日志记录、安全检测、阻断行为及超时阈值等关键参数，适配从开发调试到生产运行的多种场景。

显著优点

1. 架构原生集成：作为 OpenClaw 官方插件体系成员，与网关深度耦合，无需额外代理或 sidecar 组件
2. 模型无关设计：复用用户已配置的 LLM provider，支持任意模型作为安全评判器，无供应商锁定
3. 灵活策略控制：blockOnRisk 参数支持"仅审计"与"强制阻断"双模式，便于渐进式上线安全策略
4. 运维友好：提供完整的 Docker 部署指引，包含 --force-recreate 等关键运维细节，降低部署踩坑风险
5. 可观测性：内置匿名指标收集与结构化日志输出，便于安全运营团队监控拦截事件

潜在缺点与局限性

1. 性能开销：每次工具调用需额外 LLM 推理，增加 15-30ms 级延迟（默认超时 15s，建议生产调优至 5s 内）
2. 单点依赖：安全评判依赖单一 LLM，若模型本身产生误判或遭遇提示注入，存在绕过风险
3. 上下文窗口限制：maxContextWords 默认 2000 词，复杂多轮会话可能截断关键安全上下文
4. Token 管理复杂度：网关内部调用需独立认证，Docker 环境下 env/config 双源配置易引发 401 故障
5. 误阻断业务风险：高敏感场景下，激进阈值可能导致合法工具调用被误拦截，需配套人工复核机制

适合人群

• OpenClaw 网关用户：已采用该网关架构的 AI 应用团队
• 金融/医疗等合规敏感行业：需满足工具调用审计与风险拦截监管要求的场景
• 多 agent 协作系统：工具链复杂、权限边界模糊的企业级 AI 工作流
• 安全运营团队：需要统一 guardrail 策略而非分散在各业务代码中的方案

常规风险

• 配置漂移风险：网关 Token 与环境变量不一致导致服务中断
• 模型服务降级：LLM provider 超时或限流时，若未配置优雅降级策略可能阻塞全部工具调用
• 隐私合规：虽 Skill 本身无数据收集，但插件运行时需传输工具上下文至 LLM，需确认数据不出境等合规要求