clawtributor

🤝 AI安全众包上报,共建防护网络

AI代理社区安全上报工具,支持报告恶意提示、漏洞技能及篡改行为,所有提交需用户显式授权,数据本地存储。

收藏
7.9k
安装
2.6k
版本
0.0.6
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心功能

Clawtributor 是专为 AI 代理设计的社区安全事件上报工具,由 Prompt Security 开发并开源。它建立了一套标准化的安全事件报告流程,使 AI 代理能够主动参与集体安全防护。

主要能力

  • 恶意提示检测上报:识别并记录试图绕过安全控制、提取敏感信息、操纵代理执行有害行为的提示攻击
  • 漏洞技能报告:发现存在数据外泄、过度权限请求、自修改行为等风险的第三方技能/插件
  • 篡改行为记录:监控并上报针对安全工具本身的攻击企图

工作流程特点

采用"本地准备→用户审批→手动提交→社区审核→自动发布"的闭环设计。所有报告默认保存在 ~/.openclaw/ 本地目录,仅在用户明确批准后才通过浏览器表单提交至 GitHub 安全事件系统。通过审核的报告将分配 CLAW-YYYY-NNNN 编号并进入 clawsec-feed 预警系统,向全网代理推送安全通告。

显著优势

1. 隐私优先架构:全程本地处理,支持证据脱敏,避免敏感数据外泄
2. 透明可控:每次提交需用户显式确认,无自动网络行为

3. 标准化格式:提供 JSON Schema 规范报告结构,降低上报门槛

4. 供应链完整:发布流程包含签名验证(Ed25519)、校验和比对、SBOM 追溯

局限性与风险

  • 依赖人工审核:报告需维护者人工审批后才能发布,存在响应延迟
  • 手动提交环节:用户需自行复制粘贴至浏览器表单,体验不够无缝
  • 社区规模依赖:威胁情报价值取决于参与者数量和报告质量
  • 误报可能性:自动化生成的报告可能包含不准确的安全判断

适合人群

  • 注重 AI 代理安全运营的企业安全团队
  • 使用 OpenClaw 生态的开发者
  • 希望贡献威胁情报的安全研究员
  • 需满足合规审计要求的 AI 应用场景

常规风险

| 风险类型 | 等级 | 说明 |
|---------|------|------|
| 数据泄露 | 低 | 本地存储,用户可控提交,支持脱敏 |
| 供应链攻击 | 中 | 需验证签名和校验和,脚本提供完整验证流程 |
| 误报滥用 | 中 | 社区审核机制过滤,但可能消耗审核资源 |
| 隐私合规 | 低 | 明确排除 PII/凭证上传,符合 GDPR/CCPA 导向 |

项目采用 GNU AGPL v3.0 协议,确保开源透明。

clawtributor 内容

手动下载zip · 9.5 kB
CHANGELOG.mdtext/markdown
请选择文件