核心用法
ClawShell 是 OpenClaw 框架的安全中间层,代理所有 shell 命令的执行。使用 clawshell_bash 替代原生 bash 工具后,系统会实时分析命令风险等级:
- Critical(自动阻断):
rm -rf /、fork 炸弹等毁灭性操作 - High(推送审批):
rm -rf、外部curl、凭据访问等危险行为,需手机 Pushover/Telegram 确认 - Medium(仅记录):
npm install、git push等中等风险操作 - Low(直接放行):
ls、cat等无害命令
配套工具包括 clawshell_status() 查看待审批队列、clawshell_logs() 审计历史记录,所有决策写入 JSONL 日志便于追溯。
显著优点
1. 实时人工介入:高危操作强制推送至手机,用户可在通勤、会议间隙快速审批,兼顾自动化效率与最终控制权
2. 分层风险模型:四级分类避免过度打扰,日常开发流畅,关键时刻拦截
3. 多通道通知:支持 Pushover(稳定可靠)与 Telegram(免费灵活)双通道
4. 可审计追踪:完整 JSONL 日志,满足合规与事后复盘需求
5. 配置灵活:环境变量 + YAML 双轨配置,支持自定义黑白名单(glob/regex)
潜在局限
- 可被绕过:LLM 可能通过编码、拆分、混淆命令绕过模式匹配,非绝对安全
- 延迟成本:高危命令需等待人工响应,超时默认拒绝(默认 5 分钟),不适合纯无人值守场景
- 外部依赖:依赖 Pushover/Telegram 服务可用性,网络故障时审批流中断
- 仅单一层防护:需与 OpenClaw 沙箱模式配合使用,不能替代完整安全体系
适合人群
- 使用 AI 代理操作生产/敏感环境的开发者与运维工程师
- 需要保留"一键否决权"的自动化工作流设计者
- 追求合规审计的中小团队(无预算部署完整零信任架构)
常规风险
- 配置泄露:
CLAWSHELL_PUSHOVER_TOKEN等密钥需妥善保管,泄露可能导致通知通道被滥用 - 审批疲劳:规则调优不当可能导致频繁推送,用户习惯性点击"同意"反而削弱防护效果
- 日志膨胀:高频操作场景下 JSONL 文件需定期轮转,避免磁盘占满