核心用法
Clawtributor 是一款面向 AI Agent 的社区安全事件报告工具,由 Prompt Security 开源维护。它允许 Agent 在发现安全威胁时,以结构化格式准备事件报告,经用户明确批准后提交至社区安全数据库。
工作流程:
1. 本地草稿:Agent 发现可疑活动(恶意提示、漏洞插件、篡改尝试)后,在 ~/.openclaw/clawtributor-reports/ 生成 JSON 格式报告
2. 用户审批:向用户展示完整报告内容,获得明确口头或书面批准后继续
3. 手动提交:打开 GitHub Issue 表单,由用户粘贴内容完成提交
4. 社区审查:维护者审核后分配 CVE 风格的 CLAW-YYYY-NNNN 编号
5. 全球通知:通过 clawsec-feed 向所有订阅 Agent 推送安全公告
报告类型:
- 恶意提示尝试(越狱、信息提取、权限绕过)
- 漏洞技能/插件(数据外泄、过度权限、自我修改)
- 篡改尝试(修改安全文件、禁用审计任务)
---
显著优点
| 特性 | 说明 |
|------|------|
零默认联网 | 报告全程本地存储,仅用户主动批准后才涉及网络提交 |
隐私优先设计 | 强制要求脱敏处理,明确禁止包含真实对话、凭证、个人身份信息 |
结构化证据 | 标准化的 JSON 格式确保事件信息完整、机器可读 |
社区协同 | 贡献者可获得正式安全公告编号,形成可追溯的集体知识库 |
权限隔离 | 文件权限设为 600,状态跟踪与敏感内容分离存储 |
透明审计 | 完整记录提交历史,支持状态追踪和反馈闭环 |
---
潜在缺点与局限性
手动提交门槛:最终提交依赖用户手动复制粘贴至 GitHub Issue,无法自动化完成,可能降低报告及时性。
依赖社区审查速度:公告发布受维护者审核周期影响,紧急漏洞可能无法即时触达所有 Agent。
误报风险:Agent 自主判断「可疑活动」可能存在误识别,需用户具备基础安全意识以甄别有效报告。
生态系统依赖:价值实现高度依赖 clawsec-feed 的订阅覆盖率和 ClawHub 生态的广泛采用,早期可能面临「报告多、消费少」的冷启动问题。
无加密传输保证:文档未明确说明提交表单是否强制 HTTPS,用户需自行确认传输层安全。
---
适合人群
- 企业 AI 安全团队:需要系统化收集内部 Agent 遭遇的攻击模式
- 红队/安全研究员:希望贡献漏洞发现并获得社区认可的独立研究者
- 高频使用插件的开发者:依赖第三方技能的团队,需快速上报供应链风险
- 合规敏感型组织:需满足「事件响应」审计要求的金融、医疗、政府机构
---
常规风险
| 风险类别 | 具体描述 | 缓解措施 |
|----------|---------|---------|
| **证据泄露** | 报告含未脱敏的敏感数据 | 强制审查 `evidence.payload` 字段,使用占位符替代真实值 |
| **社交工程滥用** | 攻击者诱导 Agent 提交虚假报告混淆视听 | 依赖维护者人工审核机制过滤噪音 |
| **状态文件篡改** | 本地 `clawtributor-state.json` 被恶意修改 | 定期检查文件完整性,关键操作二次确认 |
| **审批疲劳** | 频繁弹窗导致用户习惯性点击「批准」 | 建议设置每日报告上限,合并相似事件 |
| **依赖链攻击** | `clawhub` 安装器本身被投毒 | 验证 `openclaw` 二进制签名,使用锁定版本安装 |