Safe Exec

🛡️ Agent 命令安全执行与风险拦截

开发榜 #33

OpenClaw Agent 安全命令执行层,自动拦截危险操作(rm -rf、fork炸弹等),提供分级风险评估与人工审批流程,保障自动化工作流可控。

收藏
18.2k
安装
9.1k
版本
0.3.4
CLS 安全性认证2026-07-11
点击查看完整报告 >

使用说明

核心功能

SafeExec 是为 OpenClaw Agent 设计的命令执行安全中间层,通过自动危险模式识别拦截潜在破坏性操作。系统采用四级风险评估(CRITICAL/HIGH/MEDIUM/LOW),覆盖从 rm -rf / 到配置变更的各类场景,确保 Agent 在获得显式授权前无法执行高危指令。

显著优点

风险分级精准:内置正则模式识别递归删除、格式化、fork 炸弹等典型危险操作,避免一刀切的过度拦截;双模式运行:交互模式下实时弹窗请求审批,Agent 模式自动转为异步待审队列,防止自动化流程挂死;审计完备:本地日志记录时间戳、风险等级、执行模式(agent_auto/user_approved)、结果与追踪 ID,满足合规溯源需求;零外部依赖:无网络调用、无监控进程、无第三方通知服务,数据不出本地;平台无关:基于会话层实现,适配 webchat、Feishu、Telegram 等任意 OpenClaw 通信渠道。

潜在局限

1. 覆盖盲区:复杂管道(如 echo 'rm -rf /' | bash)或编码混淆可能绕过静态模式检测;2. 审批延迟:交互模式下人工响应成为性能瓶颈,高频自动化场景需依赖 Agent 模式的事后审计;3. 权限边界:作为 shell 层拦截工具,无法防御内核级漏洞或已提权进程的直接系统调用;4. 配置依赖SAFE_EXEC_AUTO_CONFIRM 等环境变量若被误设,可能削弱 MEDIUM/LOW 风险的默认保护。

适合人群

  • 部署 OpenClaw Agent 执行自动化运维/数据处理任务的技术团队
  • 需要平衡「Agent 自主性」与「操作可逆性」的 DevOps 工程师
  • 受合规要求约束、需保留完整命令审计日志的企业用户

常规风险

  • 误拦截:合法批量操作(如 CI 清理脚本)被标记为 HIGH/CRITICAL 需人工放行
  • 日志膨胀:高频 Agent 调用场景下审计文件持续增长需定期轮转
  • 社会工程:攻击者可能诱导用户执行 safe-exec-approve 绕过已拦截的危险命令
  • 环境隔离:多用户共享 shell 会话时审批状态可能产生混淆

安全解读

核心功能

SafeExec 是专为 OpenClaw Agent 设计的命令执行安全中间件,在不改变 Agent 使用体验的前提下,为 Shell 命令执行构建多层防护体系。

显著优点

智能风险拦截:采用四级风险分级(CRITICAL/HIGH/MEDIUM/LOW),精准识别 rm -rf、dd、fork bombs、系统目录修改等危险模式。CRITICAL 级别命令如 rm -rf / 会被强制拦截,避免误操作导致系统毁灭。

双重运行模式:交互模式下通过终端实时通知请求用户审批;Agent 模式(OPENCLAW_AGENT_CALL)自动跳过确认防止挂起,同时保留完整审计追踪,实现自动化与安全的平衡。

零外部依赖安全:纯本地运行,无网络通信、无后台监控进程、不读取会话历史,仅依赖系统工具 jq。审计日志写入 ~/.openclaw/safe-exec-audit.log,满足可追溯要求。

潜在局限

  • T3 来源可信度:GitHub 个人开发者项目(OTTTTTO),无企业级维护背书,需关注更新持续性
  • eval 执行必要风险:核心功能依赖 eval 执行用户批准的命令,虽有多层前置防护,但理论上存在审批绕过风险
  • 仅覆盖 Shell 命令:对 Agent 其他操作(如 API 调用、文件直接写入)无防护能力

适合人群

  • 使用 OpenClaw Agent 执行自动化任务的个人开发者
  • 需要「人机协同」审批工作流的小团队(Agent 提方案 → 人类确认 → 自动执行)
  • 对命令行操作有心理负担的新手用户

常规风险

| 风险类型 | 说明 |
|---------|------|
| 配置误禁用 | `SAFE_EXEC_DISABLE=1` 或 `safe-exec-rules.json` 损坏导致防护失效 |
| Agent 模式过度信任 | `SAFE_EXEC_AUTO_CONFIRM` 开启后,LOW/MEDIUM 风险命令自动执行 |
| 审计日志膨胀 | 高频自动化场景下日志持续增长,需定期清理 |
| 模式识别遗漏 | 新型攻击模式可能未被正则规则覆盖 |

建议生产环境配合文件系统快照或容器隔离使用,不要作为唯一安全防线。

Safe Exec 内容

scripts文件夹
tests文件夹
手动下载zip · 34.3 kB
safe-exec-ai-wrapper.shtext/x-shellscript
请选择文件