moltguard

🛡️ AI 交互的本地隐私护盾

OpenClaw 开源安全插件,提供本地敏感数据脱敏与提示词注入检测,MIT 协议开源可审计,适合需要 AI 交互安全防护的开发者。

收藏
5k
安装
1k
版本
v6.7.23
CLS 安全性认证2026-05-11
点击查看完整报告 >

使用说明

核心用法

MoltGuard 是 OpenClaw 生态的安全插件,提供双重防护机制:

1. 本地提示词净化网关 —— 在数据发往 LLM 前本地脱敏敏感信息(银行卡、API 密钥、邮箱等),通过占位符替换实现"数据可用不可见",LLM 返回后再还原真实值执行本地操作。

2. 提示词注入检测 —— 拦截外部内容(邮件、网页、文档)中的隐藏恶意指令,通过调用 api.moltguard.com 分析净化后的内容结构,识别注入攻击并阻断。

安装方式支持 npm 包安装或源码审计后本地安装,配置灵活:可启用 gateway-only 模式完全离线运行,或全功能模式启用云端检测。

显著优点

  • 完全开源可审计:约 1,800 行 TypeScript 源码无混淆,关键文件(sanitizer.ts、runner.ts、store.ts)明确标识,用户可自行验证网络调用与文件操作
  • 隐私优先设计:敏感数据本地脱敏后才外发,PII 永不离开设备;支持自托管 API 端点
  • 零配置上手:自动注册免费 API 密钥,无需邮箱或手动申请
  • 多协议兼容:网关支持 Anthropic、OpenAI、Gemini 等主流 LLM 协议,透明代理无需修改业务代码
  • 透明度高:详细文档说明每行网络调用、每个文件创建路径,提供完整验证清单

潜在缺点与局限性

  • 强制外部依赖:注入检测功能必须连接 api.moltguard.com,无法完全离线使用全功能
  • 数据外泄风险:即使脱敏,内容结构和提示词模式仍会发送至第三方服务器,极端隐私场景不适用
  • API 可用性绑定:检测服务依赖 MoltGuard 服务器稳定性,网络中断时可能超时或降级
  • 审计门槛:虽宣称可审计,但普通用户缺乏动力和能力审查 1,800 行代码,信任仍部分依赖开发者声誉
  • 占位符还原风险:网关模式下的敏感数据还原依赖本地状态,进程异常可能导致数据不一致

适合的目标群体

  • AI Agent 开发者:需要为自动化工作流添加安全护栏,防止外部内容污染指令链
  • 企业合规团队:处理含 PII 的业务数据时需满足"数据最小化"原则,本地脱敏符合 GDPR 等法规要求
  • 安全研究人员:需要可审计、可自托管的 LLM 安全工具进行攻防研究
  • 对隐私敏感的个人用户:愿意牺牲部分便利性换取数据控制权,能接受技术配置成本

使用风险

  • 网络层风险:默认配置下存在不可验证的服务器端数据处理,隐私政策承诺不等于技术保证
  • 配置误用风险:用户可能未意识到 enabled: true 即开启外发,需在安装前主动调整为 gateway-only 模式
  • 供应链风险:npm 包与 GitHub 源码理论上可分叉,需用户执行 npm pack 比对验证
  • 性能开销:每次 LLM 调用增加本地脱敏+网络检测延迟,高并发场景可能成为瓶颈
  • 日志累积:JSONL 日志文件持续追加,长期运行需手动清理避免磁盘占满

安全解读

核心用法

MoltGuard是OpenClaw生态的开源安全插件,采用本地脱敏+远程检测的双层架构:

1. 本地提示脱敏网关(完全离线):在8900端口启动HTTP代理,自动检测并替换敏感数据(银行卡、邮箱、API密钥等)为占位符,再转发至LLM,响应返回后自动还原。

2. 提示注入检测(需联网):通过api.moltguard.com分析外部内容(邮件/网页/文档)是否包含恶意指令,检测前先在本地完成PII脱敏。

安装方式

  • 信任模式:openclaw plugins install @openguardrails/moltguard
  • 最高安全:克隆GitHub源码审计后本地安装

显著优点

  • 完全开源透明:MIT许可证,~1800行TypeScript源码无混淆,可自行审计关键文件(gateway/sanitizer.tsagent/runner.tsmemory/store.ts
  • 隐私优先设计:敏感数据本地处理,API仅接收脱敏后的占位符内容(如__email_1____secret_1__
  • 灵活部署:支持gateway-only零外部调用模式、自托管API、或完全离线使用
  • 多协议兼容:支持Anthropic Messages、OpenAI Chat Completions、Google Gemini等任意LLM provider
  • 可信来源:GitHub组织账号openguardrails维护,版本历史完整(v1.0.0至v6.0.2)

潜在局限

  • 功能分离成本:完整功能需同时配置网关和检测服务,新手配置复杂度较高
  • API依赖:注入检测依赖moltguard.com服务,虽可自托管但增加运维负担
  • 端口占用:默认8900端口可能与现有服务冲突
  • 网络验证负担:文档强烈建议用户自行tcpdump验证流量,对非技术用户门槛高

适合人群

  • 处理敏感数据(金融、医疗、企业内网)的AI应用开发者
  • 对LLM供应链安全有顾虑的安全工程师
  • 需要将AI集成到合规环境(GDPR/CCPA)的技术团队
  • 具备基础TypeScript阅读能力、愿意审计代码的技术用户

常规风险

| 风险类型 | 说明 | 缓解措施 |
|---------|------|---------|
| 供应链攻击 | npm包与GitHub源码不一致 | 安装前运行`npm pack`+`diff`验证,或源码安装 |
| API端点仿冒 | dns劫持至恶意api.moltguard.com | 首次使用后tcpdump验证TLS握手目标 |
| 本地凭证泄露 | `~/.openclaw/credentials/moltguard/credentials.json`存储API密钥 | 设置适当文件权限,定期轮换密钥 |
| 脱敏失效 | 新型PII格式未被正则捕获 | 监控`moltguard-analyses.jsonl`确认实际发送内容 |
| 过度依赖网关 | 脱敏后LLM无法理解占位符语境 | 在staging环境充分测试业务场景 |

安全报告评级:S级(92分),T2可信组织来源,满足所有合规要求。

moltguard 内容

手动下载zip · 9.9 kB
SKILL.mdtext/markdown
请选择文件