Authensor Gateway

核心用法

Authensor Gateway 是一款面向 OpenClaw 生态的策略网关，通过「提示词级拦截」机制为第三方技能提供运行时安全管控。其工作流程为：在每次工具调用执行前，自动分类操作风险等级（安全读取/高危写入/危险删除/敏感信息访问等），将脱敏后的元数据（操作类型+资源标识）发送至 Authensor 控制平面获取决策，再按「自动放行/人工审批/直接阻断」三种策略执行。

典型场景：安装未知来源的 Marketplace 技能后，所有 Bash 命令、Write 写入、WebFetch 网络请求均会被拦截审查。例如 curl | sh 管道执行、SSH 密钥读取、.env 文件访问等敏感操作默认阻断；常规文件读取自动放行；文件修改和命令执行需人工确认。

显著优点

1. 零数据泄露架构：仅传输操作类型与脱敏资源路径，文件内容、对话历史、API 密钥绝不上传
2. 分级动态管控：低危自动放行不打扰工作流，高危需审批，危险操作默认阻断
3. 合规审计支持：每笔操作生成独立收据 ID 与时间戳，满足监管环境的「人工介入」证据要求
4. 故障安全设计（Fail-closed）：控制平面失联时自动拒绝所有操作，而非静默放行
5. 完全开源透明：MIT 协议源码可审计，无隐藏代码或后台安装
6. 用户主导启用：disable-model-invocation: true 确保仅用户可激活，防止技能链式加载攻击

潜在局限与风险

• 提示词级非代码级：依赖 LLM 遵循系统提示，理论上存在对抗性提示注入绕过可能
• 自分类可靠性：操作类型由模型自行判断，恶意注入可能诱导误分类（如将删除标记为读取）
• 网络依赖强制：离线环境无法使用，控制 plane 冷启动延迟可达 30-60 秒
• 审批延迟：邮件审批轮询间隔导致 5 分钟级延迟，实时场景体验受限
• 无运行时 Hook：OpenClaw 尚未开放 preToolExecution 原生钩子，无法提供密码学级不可绕过保障
• Demo 版本限制：7 天密钥有效期、速率限制、策略定制受限

适合人群

• 频繁使用 ClawHub 第三方技能但担忧供应链安全的开发者
• 需要 SOC2/ISO27001 等合规审计留痕的企业团队
• 在沙箱隔离基础上寻求额外纵深防御的安全敏感用户
• 不适合：完全离线环境、仅使用内置工具且信任 Docker 沙箱的极简用户

常规风险提示

1. 第三方控制平面信任：需信赖 Authensor 服务商不滥用元数据，建议自托管企业版
2. API 密钥管理：AUTHENSOR_API_KEY 泄露可导致策略绕过，需按机密保管
3. 审批疲劳：高频开发场景下大量「需审批」操作可能降低用户警惕性
4. 与沙箱的互补性：本工具不能替代 Docker 沙箱，建议组合使用实现纵深防御

核心用法

Authensor Gateway 是一款专为 OpenClaw 生态设计的纯指令型安全网关，通过向代理系统提示词注入强制协议，在每个工具调用执行前向 Authensor 控制平面查询策略决策。

典型工作流程：
1. 分类：代理根据工具类型和资源特征自动判定动作类别（safe.read/secrets.access/filesystem.write/code.exec/dangerous.delete/network.http）
2. 脱敏：URL 参数、命令行凭证、环境变量等敏感信息被剥离，仅保留动作类型和通用资源描述
3. 查询：向控制平面发送 POST 请求获取策略决策（allow/deny/require_approval）
4. 执行：根据决策结果自动放行、阻断或暂停等待人工审批

配置要求： 需设置 CONTROL_PLANE_URL 和 AUTHENSOR_API_KEY 两个环境变量。

显著优点

• 零代码入侵：纯 Markdown 指令文档，无可执行代码、无文件写入、无进程创建
• 数据最小化：仅传输动作元数据，绝不发送文件内容、对话历史或用户凭证
• 故障关闭设计：控制平面不可达时默认拒绝所有动作（fail-closed），符合安全关键系统原则
• 人在回路保障：写文件、执行命令、网络请求等高危操作需用户显式批准
• 完整审计轨迹：每个动作生成唯一 receipt ID，记录类型、资源、结果和时间戳
• 开源可审计：MIT 许可证，代码托管于 GitHub AUTHENSOR 组织，接受社区审查
• 主动防御恶意 Skill：可拦截 ClawHavoc 报告中披露的 341+ 恶意 Skill 的典型攻击模式（curl | sh、SSH 密钥窃取、数据外泄等）

潜在缺点与局限性

• 提示词级执行非密码学保证：当前 OpenClaw 尚未支持 preToolExecution 运行时钩子，依赖 LLM 遵循系统提示词。理论上对抗性提示词注入可能尝试绕过检查
• 模型自分类风险：动作分类由代理自行判断，精心构造的注入可能误导分类结果
• 网络强依赖：控制平面必须可达，不支持离线使用；托管于 Render，冷启动延迟 30-60 秒
• 审批延迟：邮件/CLI 审批模式存在 5 分钟轮询延迟，无实时推送通道
• Demo 级限制：演示密钥 7 天过期，有速率限制和策略定制限制

适合人群

• 使用第三方 Marketplace Skill 的开发者：特别是需要运行未经完全审计的外部代码
• 需要合规审计轨迹的企业用户：金融、医疗、政府等受监管行业
• 安全意识强的个人用户：希望在便利性与安全性之间取得平衡
• DevSecOps 团队：需要为团队建立统一的 AI 工具使用策略

不适合：仅使用 OpenClaw 内置工具且无第三方 Skill 的用户，或已运行在完全隔离 Docker 沙箱（无网络访问）的环境。

常规风险

| 风险类别 | 等级 | 说明 |

|---------|------|------|

| 提示词注入绕过 | 中 | 对抗性 Skill 可能尝试覆盖系统提示词，需结合 Docker 沙箱纵深防御 |

| 控制平面单点故障 | 中 | 网络中断或服务商故障将导致所有操作被拒绝，需监控可用性 |

| 动作误分类 | 低 | 模型可能将危险操作误判为低风险类型，但默认规则较为保守 |

| API 密钥泄露 | 低 | 需妥善保管 `AUTHENSOR_API_KEY`，但密钥本身权限仅限于策略查询 |

| 依赖项供应链 | 极低 | 零第三方依赖，无供应链攻击面 |