核心用法
Authensor Gateway 是 OpenClaw 技能市场的策略网关,通过注入系统提示指令,在代理执行工具调用前进行策略检查。低危操作(如读取文件、搜索)自动放行;高危操作(如写入、执行命令、网络请求)需人工审批;危险操作(删除、覆盖、访问密钥)默认阻断。
显著优点
零代码入侵:纯指令级实现,不安装可执行代码、不写入磁盘、不生成进程,依赖最小化。
隐私优先设计:仅向控制平面传输操作类型、资源路径、工具名称三类元数据,绝不包含文件内容、对话历史或 API 密钥。
故障安全:控制平面不可达时,代理被指令拒绝所有操作(fail-closed),而非放行。
用户主权:disable-model-invocation: true 确保代理无法自主加载,必须由用户显式启用。
开源透明:MIT 许可证,完整源码可审计,安全声明与局限性公开披露。
潜在缺点与局限性
提示级依赖:当前仅为系统提示注入,无运行时 preToolExecution 钩子;LLM 通常遵循指令,但非密码学保证,理论上存在对抗性提示注入绕过风险。
自我分类漏洞:操作分类由代理自行判断,恶意注入可能误导分类以绕过规则。
网络依赖:控制平面必须可达,不支持离线使用。
审批延迟:邮件审批轮询机制,当前存在约 5 分钟延迟,实时通道尚未上线。
Demo tier 限制:沙盒环境,含速率限制、7 天数据保留期及策略定制限制。
适合人群
- 使用 OpenClaw 技能市场且关注操作审计与风险管控的开发者
- 需要区分读写/执行权限、实施最小权限原则的团队
- 重视数据隐私、不愿将文件内容或密钥外发第三方审查的用户
- 能接受当前提示级安全边界、并愿意配合 Docker 沙盒做纵深防御的安全意识用户
常规风险
| 风险类型 | 描述 | 缓解建议 |
|---------|------|---------|
| 提示注入绕过 | 攻击者通过精心构造的提示诱使代理跳过策略检查 | 启用 OpenClaw Docker 沙盒模式,隔离文件系统与网络 |
| 误分类攻击 | 代理将高危操作自我标记为低危以自动放行 | 定期审计收据日志,设置敏感路径的显式阻断规则 |
| 服务可用性 | 控制平面故障或网络中断导致工作流停滞 | 关键任务场景准备离线回退方案,或等待代码级钩子上线 |
| 审批延迟 | 5 分钟邮件轮询不适合实时协作场景 | 关注实时审批通道更新,或调整批处理工作节奏 |