mfa-word

🔐 AI交互的零信任安全守门人

基于零信任架构的本地安全守门人,通过MFA口令验证保护敏感文件访问,提供审计日志与死手开关机制,为AI交互增添关键安全屏障。

收藏
1.2k
安装
453
版本
v1.1.0
CLS 安全性认证2026-05-08
点击查看完整报告 >

使用说明

核心用法

MFA Word 是一款面向 AI 助手的本地安全增强技能,通过在敏感操作前强制验证用户身份,防止误操作或越权访问关键数据。其核心工作流程为:当检测到涉及敏感模式(如.env、.ssh、密码文件或删除操作)的请求时,系统自动调用 check_gate_status 检查会话状态;若处于锁定状态,则要求用户提供预设的 Secret Word,经验证通过后方可执行操作。

该技能提供两种安全模式:标准模式下验证通过后15分钟内可自由操作;死手开关模式(Dead Man's Switch) 则要求每次敏感操作后重新验证,适合极高安全需求场景。此外,用户可通过 super_secret 紧急重置密码,避免因主密码遗忘导致系统锁定。

显著优点

1. 零信任架构设计:默认拒绝所有敏感操作,强制身份验证,符合现代安全最佳实践。
2. 灵活的防护策略:支持自定义敏感词列表,可针对特定文件类型或操作模式进行保护。

3. 完整的审计能力:所有访问尝试均被记录至本地日志,便于事后追溯与合规审查。

4. 无外部依赖风险:仅使用 Node.js 内置模块,零第三方依赖,攻击面极小。

5. 密码安全存储:采用 SHA256 哈希而非明文存储,基础安全性有保障。

潜在缺点与局限性

1. 本地存储限制:所有配置与日志存储于本地文件系统(~/.openclaw/),无法跨设备同步,多设备场景需重复配置。
2. 会话状态易失:验证状态仅存于内存,AI 进程重启后需重新认证,影响使用连续性。

3. 哈希强度中等:SHA256 虽安全但缺乏盐值与迭代,面对针对性暴力破解防护力有限。

4. 无速率限制:当前版本未限制验证尝试次数,存在被暴力破解的理论风险。

5. 企业集成缺失:不支持 SSO、LDAP 等企业身份体系,难以融入大型组织现有安全架构。

适合的目标群体

  • 个人开发者:保护本地开发环境的敏感配置文件,防止 AI 助手误删或泄露密钥。
  • 小型团队:在多成员共享 AI 助手的工作场景中,建立基础的操作审批机制。
  • 安全敏感型用户:对 AI 交互有额外安全顾虑,希望增加人工确认环节。
  • 合规需求场景:需要操作审计日志以满足内部安全审查或外部合规要求。

使用风险

1. 密码遗忘风险:若同时遗忘 secretsuper_secret,将无法访问受保护功能,需提前妥善备份超级密码。
2. 文件权限风险:vault 文件存储于用户主目录,若系统其他用户具有读取权限,密码哈希可能泄露。

3. 性能影响:频繁的死手开关模式会打断工作流,降低 AI 助手使用效率。

4. 误配置风险:敏感词列表设置不当可能导致过度拦截或防护遗漏,需根据实际场景精细调整。

安全解读

核心用法

MFA Word 是一款为 AI 会话设计的零信任安全网关工具。用户通过 initialize_mfa 设置主密钥词(secret)和应急重置词(super_secret),定义敏感操作触发列表(默认覆盖 .env、password、config、sudo 等模式)。系统会在检测到敏感请求时自动调用 check_gate_status 验证会话状态:

  • OPEN 模式:15 分钟有效会话期内自由操作
  • OPEN_ONCE 模式:单次敏感操作后自动锁定的"死人开关"设计
  • LOCKED 模式:强制暂停并提示用户输入密钥词,经 verify_access SHA256 哈希比对通过后方可继续

支持通过 reset_mfa 使用应急词重置主密钥,全程本地计算、无网络交互。

显著优点

供应链安全极致化:零外部依赖,仅使用 Node.js 内置 fs/path/crypto 模块,彻底消除 npm 供应链投毒风险。

隐私保护设计:原始密钥永不落地,SHA256 哈希单向存储;审计日志本地留存,符合 GDPR 数据最小化原则。

行为可预测性:功能与声明高度一致,无隐藏代码路径,通过六维安全检测(静态分析 95 分、动态行为 95 分、依赖审计 100 分、网络流量 100 分、隐私合规 90 分、来源信誉 90 分)。

弹性安全模式:标准会话模式兼顾便利,死人开关模式满足高敏感场景的单次授权需求。

潜在局限

哈希算法强度:当前采用单次 SHA256 快速哈希,理论上存在暴力破解可能;用户需自行承担密钥复杂度责任(建议 12 位以上混合字符)。

文件权限盲区:未显式设置存储文件权限(0o600),多用户共享环境中存在被其他本地用户读取的风险。

日志管理缺失:审计日志无限追加,缺乏自动轮转或容量限制机制。

会话时长固化:15 分钟超时不可配置,无法适配不同组织的安全策略。

适合人群

  • 需要保护本地开发环境敏感配置(.env、SSH 密钥、数据库密码)的个人开发者
  • 采用零信任架构、要求每次敏感操作显式授权的运维工程师
  • 在共享工作站或多租户环境中执行 AI 辅助代码审查的安全意识用户
  • 希望建立 AI 会话操作审计追踪的合规驱动型团队

常规风险

1. 弱密钥风险:用户设置简单字典词汇可能被离线暴力破解
2. 本地文件泄露:~/.openclaw/ 目录权限配置不当导致凭证哈希暴露

3. 会话劫持:15 分钟窗口期内若设备被物理接触,攻击者可利用有效会话

4. 应急词遗失:super_secret 丢失将导致无法重置主密钥,需重新初始化

建议生产环境配合全盘加密、严格的 umask 配置及定期安全审计使用。

mfa-word 内容

手动下载zip · 3.1 kB
.gitignoretext/plain
请选择文件