Authensor Gateway

🛡️ 第三方技能的安全守门人

为 OpenClaw 第三方技能提供安全策略网关,自动拦截高危险操作并生成审计日志,保护用户免受恶意技能侵害。

收藏
6.2k
安装
2.5k
版本
0.7.0
CLS 安全性认证2026-06-04
点击查看完整报告 >

使用说明

Authensor Gateway 核心评估

核心用法

Authensor Gateway 是 OpenClaw 生态系统的安全策略门控,通过拦截所有工具调用前的执行请求,实现对第三方技能的动态风险评估。用户需在配置文件中注入 CONTROL_PLANE_URLAUTHENSOR_API_KEY,系统将按照 Agent Protocol 对每次操作进行三级分类:低风险(safe.read)自动放行、高风险(filesystem.write / code.exec / network.http)需人工审批、危险操作(secrets.access / dangerous.delete)直接阻断。

显著优点

1. 分层防御架构:结合提示层(prompt-level)与代码层(shell hook)双重验证,即使 LLM 被提示注入攻击,外部钩子仍能强制执行策略
2. 零信任数据模型:仅传输操作元数据(action type + redacted resource),文件内容、API 密钥、对话历史永不离开本地环境

3. 合规审计能力:为每次操作生成带 receipt ID 的审计日志,支持 7 天追溯,满足受监管环境的人机协作(human-in-the-loop)要求

4. 透明开源:MIT 协议完整开源,策略规则与分类逻辑可审计、可定制

潜在局限

  • 网络依赖性强:控制平面不可达时默认拒绝所有操作(fail-closed),离线场景无法使用
  • 提示层可绕过:仅启用本 skill 时,分类依赖 LLM 自我判断,存在理论上被对抗性提示覆盖的风险(需配合 authensor-gate.sh 代码层钩子弥补)
  • 审批延迟:演示层依赖邮件轮询,实时性不足(5 分钟级延迟)
  • 生态绑定:专为 OpenClaw 设计,不兼容 Claude Code、Cursor 等其他 Agent 框架

适合人群

  • 频繁使用 ClawHub 第三方技能的开发者
  • 需满足 SOC 2 / ISO 27001 合规审计的企业安全团队
  • 在沙箱受限环境中寻求额外防护层的运维工程师

常规风险

  • 控制平面单点故障导致业务中断
  • API 密钥泄露将导致策略绕过(需妥善保管 AUTHENSOR_API_KEY
  • 分类规则更新滞后于新型攻击向量(如新型 exfiltration 模式)
  • 第三方托管服务(Render)的冷启动延迟影响首请求体验

安全解读

核心用法

Authensor Gateway 是 OpenClaw 生态的安全策略门控,通过系统提示词注入实现"指令级"防护。它在每个工具调用执行前进行分类检查:低风险操作(如 ReadGrep)自动放行;高风险操作(如 WriteBashWebFetch)需用户显式审批;危险操作(如删除命令、访问 ~/.ssh 等敏感路径)默认阻断。

用户需在 ~/.openclaw/openclaw.json 配置 CONTROL_PLANE_URLAUTHENSOR_API_KEY,系统便会自动拦截并分类所有工具调用,向 Authensor 控制平面请求策略决策,返回 allowdenyrequire_approval 三种结果。

显著优点

1. 零代码入侵设计
纯 Markdown 指令型 Skill,无可执行代码、不写磁盘、不启动进程,通过系统提示词注入实现防护,避免传统安全工具的安装风险。

2. 精细分级管控
将操作细分为 safe.readfilesystem.writecode.execdangerous.deletesecrets.access 等类型,支持"自动放行-人工审批-强制阻断"三级策略,而非简单粗暴的全局禁用。

3. 数据脱敏传输
仅发送 action 元数据(类型+资源标识),URL 参数、命令行凭证、文件内容均就地脱敏,符合 GDPR/CCPA 数据最小化原则。

4. 完整审计链路
每个操作生成唯一 receipt ID,记录时间戳与结果,满足合规场景的"人在回路"(human-in-the-loop)证据要求。

5. 故障安全(fail-closed)
控制平面不可达时默认拒绝所有操作,而非静默放行,符合安全关键系统的失效模式设计。

潜在缺点与局限

1. 提示词级执行存在绕过理论风险
当前实现依赖 LLM 遵循系统提示词进行自分类,虽可靠性较高,但对抗性提示注入理论上可能绕过。官方建议搭配 authensor-gate.sh 代码级钩子实现双层防护。

2. 强网络依赖
策略决策必须实时连接 Authensor 控制平面,离线环境无法使用,且 Render 托管的免费实例存在冷启动延迟(30-60秒)。

3. 审批体验待优化
当前邮件/CLI 轮询机制存在 5 分钟级延迟,实时推送通道仍在开发中。

4. Demo 层级功能受限
试用 key 仅 7 天有效期,策略自定义、数据保留周期等均受限制,正式使用需商务对接。

适合人群

  • 使用第三方 Marketplace Skill 的开发者(防范供应链攻击)
  • 金融、医疗等受监管行业需合规审计的团队
  • 对 AI 自动执行命令持谨慎态度的高安全需求用户
  • 已使用 OpenClaw 且希望在不牺牲效率前提下增强安全边界的组织

常规风险

| 风险类型 | 等级 | 说明 |
|---------|------|------|
| 供应链投毒 | 中 | 第三方 Skill 可能含恶意命令,本工具提供拦截层 |
| 数据外泄 | 低 | 仅传输脱敏元数据,但操作模式 metadata 仍被收集 |
| 服务可用性 | 中 | 网络中断或控制平面故障会导致工具调用被拒绝 |
| 策略误判 | 低 | 分类规则基于关键字匹配,复杂场景可能误判需人工复核 |

开源仓库: https://github.com/AUTHENSOR/Authensor-for-OpenClaw

Authensor Gateway 内容

手动下载zip · 6.1 kB
SKILL.mdtext/markdown
请选择文件