核心用法
SafeExec 是专为 OpenClaw Agent 设计的安全命令执行中间件,采用透明拦截机制:启用后自动监控所有 Shell 命令,检测到危险模式时暂停执行并请求人工确认。
启用方式:Enable SafeExec / Turn on SafeExec
审批操作:safe-exec-approve <request_id> / safe-exec-reject <request_id> / safe-exec-list
风险分级体系(CRITICAL/HIGH/MEDIUM/LOW)精准匹配不同场景:递归强制删除、磁盘格式化等系统级破坏操作为 CRITICAL;用户数据删除为 HIGH;服务配置变更为 MEDIUM;只读操作为 LOW。支持环境变量精细控制:SAFE_EXEC_AUTO_CONFIRM 可自动放行低危操作,SAFE_EXEC_DISABLE 全局关闭。
显著优点
- 零侵入设计:Agent 无需修改命令格式,启用即生效
- 实时会话内通知:终端原生提示,无需依赖外部消息平台(Feishu/Telegram 等)
- 完整审计追踪:
~/.openclaw/safe-exec-audit.log记录时间戳、命令、风险等级、审批状态、执行结果 - 非交互模式支持:自动化工作流场景下可配置自动确认策略
- 跨平台兼容:独立于通信渠道,Web/IM/CLI 场景统一体验
潜在局限
- 依赖人工响应:CRITICAL/HIGH 操作需用户在线审批,可能中断自动化流程
- 规则覆盖边界:新型攻击模式或混淆命令可能逃逸预设正则
- 单会话状态:需显式启用,Agent 重启或会话切换后需重新激活
- 无回滚机制:审批通过后执行失败不提供自动恢复
适合人群
- 运行 Agent 自动化任务的生产环境运维人员
- 授予 Agent 文件/系统操作权限但需保留最终控制权的开发者
- 需满足合规审计要求的团队(完整操作日志)
常规风险
误配置 SAFE_EXEC_AUTO_CONFIRM 可能导致高危操作绕过;审计日志存储于本地明文文件,敏感环境需额外加密或外接 SIEM;依赖用户正确识别风险等级,社会工程攻击可能诱导误批准。