核心用法
OpenClaw Warden 是一款面向 AI 代理工作区的本地安全监控工具,核心功能围绕三大场景设计:
1. 完整性基线管理
baseline:为 SOUL.md、AGENTS.md、IDENTITY.md 等关键文件建立 SHA 哈希基线verify:比对当前文件与基线,发现修改、删除或新增未追踪文件accept:人工审核后更新特定文件的基线
2. 提示注入扫描
scan:检测 7 类攻击模式——指令覆盖("ignore previous")、Base64 载荷、Unicode 隐形字符(零宽字符/RTL 覆盖)、Markdown 图片外泄、HTML 注入、系统提示标记、Shell 命令注入full:一键执行完整性验证 + 注入扫描
3. 快速状态感知
status:单命令输出工作区健康摘要- 环境变量
OPENCLAW_WORKSPACE或自动探测实现零配置运行
显著优点
- 零依赖架构:仅使用 Python 标准库,无 pip 安装、无网络调用,彻底杜绝供应链攻击面
- 跨平台覆盖:支持 macOS、Linux、Windows,兼容 OpenClaw、Claude Code、Cursor 等主流代理框架
- 分层告警机制:关键配置文件变更触发 WARNING,记忆文件变更标记为 INFO(符合预期),任何注入模式均触发 CRITICAL
- 确定性输出:退出码 0/1/2 清晰区分清洁状态、需审核修改、需紧急响应三种场景
潜在局限性与风险
- 纯检测层:免费版本仅提供告警,无自动修复或隔离能力,需人工介入或升级至 Pro 版获取快照回滚、技能隔离等功能
- 基线建立时机敏感:若在已遭篡改的状态下运行
baseline,后续检测将失效,依赖用户"干净安装"假设 - 无持续守护:基于命令行触发,非后台驻留服务,两次扫描间隔期存在监控盲区
- 误报可能:合法场景下的复杂 Markdown、Base64 图片嵌入可能触发 Unicode/HTML 规则
适合人群
- 使用 OpenClaw/Claude Code/Cursor 构建 AI 工作流的安全意识型开发者
- 需满足合规审计要求的代理系统管理员
- 对第三方技能供应链风险敏感的技术团队
常规风险提示
尽管工具本身设计安全(无网络、无依赖),但基线数据库本身成为新的攻击目标——攻击者可篡改本地哈希记录使检测失效。建议配合文件系统只读属性或外部版本控制(Git)使用。