clawguard

核心用法

ClawGuard 是一款专为 AI 代理设计的安全防护技能，采用"检查-执行"模式构建安全屏障。其核心工作流程为：在执行任何外部命令（curl/wget/pip/npm 等）、访问未知 URL 或安装新技能前，先调用 clawguard check 进行威胁检测。系统通过退出码传递决策：0 表示安全可继续，1 表示已阻断需停止，2 表示警告需人工确认。

该技能提供四档安全级别（0-3级）的"温度控制"机制：默认的 Level 0（silent）仅做后台威胁库检查，零用户摩擦；Level 1（cautious）对警告级威胁请求 Discord 审批；Level 2（strict）对所有 shell 命令和未知 URL 要求确认；Level 3（paranoid）则进入全锁定模式，除文件读取外全部需人工批准。用户可通过 clawguard config --level 灵活切换。

此外，ClawGuard 支持 OpenClaw 插件钩子模式，可自动拦截所有工具调用；提供完整的审计日志系统（~/.clawguard/audit.jsonl）记录每次检测；并可选配置 Discord 集成实现警告级威胁的人工审批流程。

显著优点

零摩擦默认体验：Level 0 的静默模式让用户在日常使用中几乎感知不到安全层的存在，同时后台持续提供威胁情报保护，平衡了安全性与用户体验。

分层防御架构：静态威胁数据库、动态模式匹配、可选人工审批三层机制叠加，既覆盖已知威胁（如 ClawHavoc 恶意技能、x402 比特币诈骗），又能识别新型攻击模式（如提示词注入）。

全场景覆盖：支持命令、URL、技能、消息四种检测类型，从 pip install 到浏览器导航、从技能安装到用户输入过滤，形成端到端的代理安全防护网。

透明可审计：所有检测记录本地存储，用户完全掌控自己的安全数据；代码开源可审查，无黑箱操作；MIT 许可证允许自由定制和二次开发。

生态集成友好：既提供独立 CLI 工具供脚本调用，又通过 OpenClaw 插件实现无侵入式自动保护，还支持 Discord slash 命令满足团队协作场景。

潜在缺点与局限性

依赖本地威胁数据库时效性：虽然支持 clawguard sync 手动更新，但零摩擦模式下用户可能长期不更新数据库，导致对最新威胁的识别存在窗口期。

T3 来源的背书局限：作为社区项目（jugaad-lab），缺乏顶级安全机构或大型科技公司的品牌背书，在企业采购场景中可能面临信任门槛。

Discord 审批的可用性依赖：Level 1-3 的人工审批功能依赖 Discord 集成，对于无 Discord 环境或网络受限的用户，高级别安全模式无法生效。

误报与漏报的平衡：任何基于模式匹配的安全系统都存在误报（阻断正常操作）和漏报（放过新型威胁）的固有矛盾，用户需在安全级别设置中自行权衡。

Node.js 运行时依赖：要求 Node.js 18+ 环境，在部分精简容器或嵌入式场景中可能增加部署复杂度。

适合的目标群体

• AI 代理开发者：需要为自主运行的 AI 系统添加安全护栏，防止提示词注入和恶意代码执行
• MCP 服务器用户：频繁安装和切换各类技能，需要前置安全检查避免供应链攻击
• 自动化工作流运维：运行包含大量外部命令（curl、npm install 等）的 CI/CD 或定时任务，需要风险拦截机制
• 安全意识较强的个人用户：希望在享受 AI 自动化便利的同时，保留对关键操作的知情权和控制权
• Discord 协作团队：已通过 Discord 进行工作沟通，希望将安全审批流程嵌入现有协作习惯

使用风险

性能开销：每次外部操作前的检查会引入 10-50ms 的延迟（取决于数据库大小和匹配复杂度），在高频调用场景下需评估累积影响。

依赖项风险：核心依赖 better-sqlite3 虽为成熟库，但原生模块编译可能在某些平台（如 Alpine Linux、ARM 架构）遇到构建问题。

配置漂移风险：安全级别、Discord 通道 ID 等配置存储在本地文件，多设备同步或容器重建时可能丢失，建议纳入配置管理或备份策略。

过度依赖风险：ClawGuard 是"最后一道防线"而非万能盾牌，不能替代代码审查、最小权限原则、网络隔离等基础安全实践。用户不应因部署该工具而放松对其他安全环节的重视。