核心用法
SafeExec 是专为 OpenClaw 智能体设计的命令执行安全中间件,采用拦截-评估-审批-执行的架构。启用后,它会自动监控所有 shell 命令,通过正则匹配识别危险模式(如递归删除、磁盘格式化、管道到 shell 等),并按 CRITICAL/HIGH/MEDIUM/LOW 四级风险分类处理。
智能体模式下,LOW/MEDIUM 风险命令可自动通过,CRITICAL/HIGH 仍被拦截并进入审计队列;交互模式下,所有非安全操作均需用户通过终端命令显式批准。审批流程完全本地化,依赖 safe-exec-approve <request_id> 等 CLI 工具完成,无需外部通知服务。
显著优点
1. 零侵入集成:无需修改智能体代码或命令结构,启用即生效
2. 分级风险管控:精确区分系统毁灭性操作与低风险读操作,避免过度拦截
3. 审计可追溯:完整记录时间戳、命令、风险等级、审批状态、执行结果,满足合规需求
4. 纯本地执行:无网络调用、无后台进程、无外发通知,隐私风险极低
5. 平台无关:审批发生在终端层面,与 WebChat、飞书、Telegram 等通信渠道解耦
潜在局限
- 依赖 jq:必须预装 jq 才能解析规则配置,增加部署依赖
- 终端交互限制:若用户通过非终端界面(纯 IM)与智能体交互,审批指令需手动输入,打断自动化流程
- 规则覆盖盲区:基于正则的模式匹配难以应对命令混淆、编码绕过等对抗性输入
- 单用户审计:日志存储于本地主目录,多用户共享主机时权限管理需额外配置
- 无实时告警:缺乏主动推送能力,高危操作需用户主动查询 pending 列表
适合人群
- 使用 OpenClaw 智能体执行自动化运维任务的技术团队
- 需要平衡 AI 效率与操作安全性的个人开发者
- 对命令级审计追溯有合规要求的中小组织
- 习惯终端工作流、能接受手动审批的技术用户
常规风险
- 环境变量绕过:
SAFE_EXEC_DISABLE或SAFE_EXEC_AUTO_CONFIRM设置不当会完全解除防护 - 智能体权限膨胀:若智能体进程拥有审计日志写入权限,理论上可篡改执行记录
- 伪终端欺骗:攻击者通过伪造 PTY 环境可能欺骗 agent 模式检测
- 依赖供应链:安装阶段需从 GitHub 拉取代码,存在仓库被入侵或历史版本漏洞风险