核心用法
OpenGuardrails 是面向 OpenClaw AI 代理的运行时安全插件,采用事件钩子机制(before_tool_call、after_tool_call、tool_result_persist)实时监控工具调用。安装后执行三步即可激活:通过 npm 或源码安装插件、重启网关加载、运行 /og_activate 完成注册(可选)。插件提供双重保护模式:本地快速路径检测无需网络连接即可拦截高危操作;云端行为评估则在注册后针对边缘风险场景提供增强分析。
显著优点
- 完全开源可审计:Apache 2.0 许可,GitHub 托管全部检测逻辑与脱敏代码,关键文件(
index.ts、sanitizer.ts、content-injection-scanner.ts)可直接审查 - 本地优先架构:敏感文件读取-外发检测、Shell 转义拦截、注入内容实时脱敏等核心功能纯本地运行,零网络依赖
- AI 安全网关(免费):内置本地 HTTP 代理,在请求出网前将 PII、凭证、卡号等敏感数据替换为占位符,LLM 提供商永不接触原始数据
- 零安装时网络调用:插件下载后暂不建立任何连接,直至用户显式执行
/og_activate - 故障开放设计:云端 API 不可达或超时时自动放行,绝不阻断工作流
- 数据最小化传输:仅上报脱敏后的工具元数据(工具名、参数键、时序信号),原始文件内容、用户消息、对话历史绝对不出境
潜在缺点与局限性
- 注册收集邮箱:激活行为检测需提供邮箱用于账户门户登录,虽支持临时邮箱测试,但对极度敏感场景仍属外部信息暴露
- 云端评估为黑盒:边界风险(
INTENT_ACTION_MISMATCH、UNUSUAL_TOOL_SEQUENCE)的判定逻辑位于服务端,用户无法完全审计评分机制 - 模式覆盖依赖更新:7 类注入检测基于正则规则库,新型攻击模式需等待上游更新
- 免费额度有限:30,000 次/月检测配额对高频代理场景可能吃紧,超额需付费升级
- OpenClaw 生态绑定:目前专为 OpenClaw 网关设计,其他 AI 代理框架需自行适配集成
适合人群
- 使用 OpenClaw 构建 AI 代理的开发者与团队
- 处理敏感用户数据(金融、医疗、企业凭证)需合规出网的场景
- 对 AI 供应链安全有强审计需求、坚持代码透明度的技术团队
- 希望零成本获得基础 PII 脱敏与注入防护的个人用户
常规风险
- 供应链风险:虽支持源码安装与 npm tarball 审查,但多数用户直接通过 npm 安装,需验证
repository.url与 GitHub 一致性 - 凭证本地存储:API Key 与 Agent ID 以明文形式存放于
~/.openclaw/credentials/openguardrails/credentials.json,需确保文件系统权限安全 - 脱敏还原窗口期:AI 安全网关的占位符-原始值映射仅存在于单次请求周期,若本地进程被入侵仍存在内存提取风险
- 误报可能:过度激进的正则规则可能误伤合法内容(如代码中的 Shell 示例被误判为注入)