Authensor Gateway

🛡️ 第三方技能的安全策略网关,支持人工审批

安全合规榜 #1

OpenClaw 技能的安全策略网关,拦截高风险工具调用并支持人工审批,仅传输元数据不泄露文件内容,适合需要审计合规或运行第三方技能的场景。

收藏
5.6k
安装
2.5k
版本
0.5.0
CLS 安全性认证2026-07-01
点击查看完整报告 >

使用说明

Authensor Gateway 综合评估

核心用法

Authensor Gateway 是 OpenClaw 生态的安全策略网关,通过系统提示注入的方式拦截所有工具调用。每次工具执行前,Agent 需按强制协议向控制平面发送 POST 请求,携带动作类型(如 filesystem.writecode.exec)和资源路径,获取 allow/deny/require_approval 决策后方可执行。

显著优点

  • 分层风险控制:低风险读操作自动放行,高风险写/执行操作需人工审批,危险操作(删除、密钥访问)默认阻断
  • 审计合规支持:每项操作生成带时间戳的 receipt ID,满足监管环境的人机协同(human-in-the-loop)要求
  • 数据最小化:仅传输动作元数据(类型+资源+工具名),绝不发送文件内容、对话历史或环境变量
  • 失效保护(fail-closed):控制平面不可达时,Agent 被指令拒绝所有操作
  • 零代码部署:纯指令驱动,无安装脚本、无磁盘写入,MIT 开源可审计

潜在缺点与局限性

  • 提示级执行的固有风险:当前依赖 LLM 遵循系统提示,理论上存在对抗性提示注入绕过的可能(文档明确承认此点)
  • 无运行时钩子:OpenClaw 尚未开放 preToolExecution 代码级钩子,无法提供加密级别的不可绕过保障
  • 动作分类依赖模型自判:Agent 自行分类操作类型,攻击者可能通过提示注入诱导误分类
  • 网络依赖与延迟:控制平面必须在线,demo 层邮件审批延迟约 5 分钟,冷启动可能 30-60 秒
  • 第三方技能生态威胁真实存在:引用 Snyk 报告提及的 ClawHavoc 事件(341 个恶意技能),但网关本身无法阻止首次恶意尝试,仅能拦截已识别风险动作

适合人群

  • 运行未审计第三方 marketplace skills 的开发者
  • 需要操作审计追踪的企业/受监管环境
  • 希望保留灵活审批而非 blanket-deny 的安全团队

常规风险

  • 提示注入绕过:精心构造的输入可能覆盖系统指令
  • 控制平面可用性:单点故障导致工作流中断
  • 误分类漏报:模型错误将危险操作标记为安全类别

建议:结合 OpenClaw Docker 沙箱模式使用,形成纵深防御。

安全解读

核心用法

Authensor Gateway 是 OpenClaw 平台的纯指令式安全网关 Skill,通过向 Agent 系统提示注入「Agent Protocol」,强制要求每个工具调用前向 Authensor 控制平面请求策略决策。用户需在 ~/.openclaw/openclaw.json 中配置 CONTROL_PLANE_URLAUTHENSOR_API_KEY 后即可启用。

工作流程分为四步:① 根据内置规则表自分类操作类型(safe.read/filesystem.write/code.exec/dangerous.delete/secrets.access/network.http 等);② 向控制平面发送仅包含操作元数据(type + resource + tool)的 POST 请求;③ 根据返回的 allow/deny/require_approval 决策执行、阻断或等待人工审批;④ 对控制平面不可达等错误执行 fail-closed 拒绝。

显著优点

  • 零代码攻击面:纯 Markdown 指令,无可执行代码、无依赖、无文件写入,从根本上消除传统 Skill 的代码注入风险。
  • 分级安全策略:默认策略合理——读取操作自动放行,写入/执行/网络操作需审批,删除/密钥访问默认阻断。
  • Fail-Closed 设计:控制平面不可达时明确指示 Agent 拒绝所有操作,避免静默绕过。
  • 数据最小化合规:仅传输操作类型与资源路径,绝不发送文件内容、API 密钥或对话历史,通过 GDPR/CCPA 审计。
  • T2 可信来源:AUTHENSOR 组织维护,GitHub 开源(MIT),安全认证评分 92/S 级。
  • 审计与合规支持:每个决策生成带时间戳的 receipt ID,支持人工审批留痕,满足监管环境的人机协同要求。

潜在缺点与局限性

  • 提示级执行的固有限制:依赖 LLM 遵循系统提示指令,无加密级保证;理论上可能被对抗性提示注入绕过;动作分类由模型自判断,存在误分类可能。
  • 网络强依赖:控制平面必须可达,离线场景不可用;托管于 Render,冷启动可能延迟 30–60 秒。
  • 审批延迟:邮件轮询机制导致审批延迟约 5 分钟,实时通道仍在开发中。
  • 无运行时钩子:OpenClaw 尚未发布 preToolExecution 钩子,无法实现代码级不可绕过执行(Issue #10502 跟踪中)。
  • Demo 版本限制:0.5.0 版本为演示阶段,API Key 7 天过期,策略自定义受限,建议等待 1.0 生产版本。

适合人群

  • 运行第三方市场技能且需防范恶意代码(如 ClawHavoc 报告的 341 个恶意技能)的安全敏感用户
  • 需要「人工审批+审计留痕」满足 SOC2/ISO27001 等合规要求的金融、医疗、政务场景
  • 希望替代「全放行或全拒绝」二元策略、实现精细化操作管控的开发团队
  • 已使用 OpenClaw Docker Sandbox、希望叠加纵深防御的安全架构师

常规风险

  • 控制平面单点风险:虽为官方服务且 HTTPS 加密,但若被攻陷可能导致策略泄露或决策操纵;建议监控可用性并考虑本地缓存降级方案。
  • 配置泄露风险AUTHENSOR_API_KEY 存储于本地配置文件,需确保文件权限正确; Skill 已声明不向用户或输出暴露该密钥。
  • LLM 指令遵循不确定性:尽管一般可靠,但复杂提示注入场景下可能跳过检查;建议结合 Docker 沙箱隔离使用。
  • 版本成熟度:当前 0.5.0 为早期版本,API 和策略语法可能变化,生产环境建议等待正式版并充分测试。

Authensor Gateway 内容

手动下载zip · 5.7 kB
SKILL.mdtext/markdown
请选择文件