OpenGuardrails

🛡️ 开源 AI 代理安全守护,本地脱敏零泄露

开源 AI 代理运行时安全插件,本地优先防护数据泄露、凭证窃取、命令注入等威胁,支持 PII 脱敏与可审计代码。

收藏
7.9k
安装
2.4k
版本
1.0.0
CLS 安全性认证2026-06-25
点击查看完整报告 >

使用说明

核心用法

OpenGuardrails 是面向 OpenClaw AI 代理的运行时安全插件,采用事件钩子机制(before_tool_callafter_tool_calltool_result_persist)实时监控工具调用。安装后执行三步即可激活:通过 npm 或源码安装插件、重启网关加载、运行 /og_activate 完成注册(可选)。插件提供双重保护模式:本地快速路径检测无需网络连接即可拦截高危操作;云端行为评估则在注册后针对边缘风险场景提供增强分析。

显著优点

  • 完全开源可审计:Apache 2.0 许可,GitHub 托管全部检测逻辑与脱敏代码,关键文件(index.tssanitizer.tscontent-injection-scanner.ts)可直接审查
  • 本地优先架构:敏感文件读取-外发检测、Shell 转义拦截、注入内容实时脱敏等核心功能纯本地运行,零网络依赖
  • AI 安全网关(免费):内置本地 HTTP 代理,在请求出网前将 PII、凭证、卡号等敏感数据替换为占位符,LLM 提供商永不接触原始数据
  • 零安装时网络调用:插件下载后暂不建立任何连接,直至用户显式执行 /og_activate
  • 故障开放设计:云端 API 不可达或超时时自动放行,绝不阻断工作流
  • 数据最小化传输:仅上报脱敏后的工具元数据(工具名、参数键、时序信号),原始文件内容、用户消息、对话历史绝对不出境

潜在缺点与局限性

  • 注册收集邮箱:激活行为检测需提供邮箱用于账户门户登录,虽支持临时邮箱测试,但对极度敏感场景仍属外部信息暴露
  • 云端评估为黑盒:边界风险(INTENT_ACTION_MISMATCHUNUSUAL_TOOL_SEQUENCE)的判定逻辑位于服务端,用户无法完全审计评分机制
  • 模式覆盖依赖更新:7 类注入检测基于正则规则库,新型攻击模式需等待上游更新
  • 免费额度有限:30,000 次/月检测配额对高频代理场景可能吃紧,超额需付费升级
  • OpenClaw 生态绑定:目前专为 OpenClaw 网关设计,其他 AI 代理框架需自行适配集成

适合人群

  • 使用 OpenClaw 构建 AI 代理的开发者与团队
  • 处理敏感用户数据(金融、医疗、企业凭证)需合规出网的场景
  • 对 AI 供应链安全有强审计需求、坚持代码透明度的技术团队
  • 希望零成本获得基础 PII 脱敏与注入防护的个人用户

常规风险

  • 供应链风险:虽支持源码安装与 npm tarball 审查,但多数用户直接通过 npm 安装,需验证 repository.url 与 GitHub 一致性
  • 凭证本地存储:API Key 与 Agent ID 以明文形式存放于 ~/.openclaw/credentials/openguardrails/credentials.json,需确保文件系统权限安全
  • 脱敏还原窗口期:AI 安全网关的占位符-原始值映射仅存在于单次请求周期,若本地进程被入侵仍存在内存提取风险
  • 误报可能:过度激进的正则规则可能误伤合法内容(如代码中的 Shell 示例被误判为注入)

安全解读

核心用法

OpenGuardrails 是专为 OpenClaw 代理设计的运行时安全防护插件,通过三步完成部署:
1. 安装插件openclaw plugins install @openguardrails/openclaw-security

2. 重启网关openclaw gateway restart 加载本地保护

3. 可选激活/og_activate 启用云端行为分析(30,000 次免费检测)

插件提供双重防护架构:本地快速路径(零网络延迟)拦截 shell 转义、敏感文件读取后外发等危险模式;云端评估针对边界行为模式进行智能分析。所有敏感数据在本地脱敏为占位符(如 <EMAIL><SECRET>)后才可能上传,云端仅接收工具元数据。

AI 安全网关(免费附赠)作为本地 HTTP 代理,在流量出网前自动脱敏 LLM 请求中的 PII、银行卡号、API 密钥等,响应返回后原位还原,实现"透明加密"体验。

显著优点

  • 本地优先架构:核心保护(注入检测、shell 拦截、内容脱敏)完全离线运行,无需注册即可使用
  • 全开源可审计:Apache 2.0 协议,GitHub 完整源码,关键文件(sanitizer.tscontent-injection-scanner.ts)均可审查
  • 零依赖设计:AI 安全网关无 npm 依赖,单文件运行
  • 隐私合规:GDPR/CCPA 合规,明确数据最小化原则,检测请求不保留,支持随时撤销凭证
  • 来源可验证:npm ↔ GitHub 双向溯源,npm viewdiff 命令可比对源码一致性

潜在局限

  • 外部依赖风险:实际功能由 npm 包 @openguardrails/openclaw-security 提供,需用户自行验证与 GitHub 源码的一致性
  • 云端功能门槛:高级行为分析需邮箱注册,虽可选但可能增加合规审查成本
  • OpenClaw 绑定:专为 OpenClaw 代理框架设计,其他 AI 代理平台需自行适配
  • 规则驱动限制:检测基于正则与规则,新型攻击模式需等待规则更新

适合人群

  • 使用 OpenClaw 处理敏感数据的企业开发团队
  • 需满足 GDPR/CCPA 合规要求的 AI 应用
  • 对 AI 代理安全有高度警觉的个人开发者
  • 希望"零信任审计"安全工具的研究机构

常规风险

| 风险类型 | 说明 | 缓解措施 |
|---------|------|---------|
| 供应链风险 | npm 包与 GitHub 源码可能不一致 | 安装前执行 `npm view` + `diff` 验证 |
| 配置残留 | 卸载时需手动清理 `~/.openclaw/credentials` | 按文档执行 `rm -rf` 命令 |
| 过度信任云端 | 误启云端模式导致元数据外发 | 高敏感场景坚持使用本地模式 |
| 规则绕过 | 新型注入技术可能未被覆盖 | 关注 GitHub release 及时更新 |

OpenGuardrails 内容

手动下载zip · 9.3 kB
SKILL.mdtext/markdown
请选择文件