核心用法
ClawGuard 是一款专为 AI 代理设计的安全防护技能,采用"检查-执行"模式构建安全屏障。其核心工作流程为:在执行任何外部命令(curl/wget/pip/npm 等)、访问未知 URL 或安装新技能前,先调用 clawguard check 进行威胁检测。系统通过退出码传递决策:0 表示安全可继续,1 表示已阻断需停止,2 表示警告需人工确认。
该技能提供四档安全级别(0-3级)的"温度控制"机制:默认的 Level 0(silent)仅做后台威胁库检查,零用户摩擦;Level 1(cautious)对警告级威胁请求 Discord 审批;Level 2(strict)对所有 shell 命令和未知 URL 要求确认;Level 3(paranoid)则进入全锁定模式,除文件读取外全部需人工批准。用户可通过 clawguard config --level 灵活切换。
此外,ClawGuard 支持 OpenClaw 插件钩子模式,可自动拦截所有工具调用;提供完整的审计日志系统(~/.clawguard/audit.jsonl)记录每次检测;并可选配置 Discord 集成实现警告级威胁的人工审批流程。
显著优点
零摩擦默认体验:Level 0 的静默模式让用户在日常使用中几乎感知不到安全层的存在,同时后台持续提供威胁情报保护,平衡了安全性与用户体验。
分层防御架构:静态威胁数据库、动态模式匹配、可选人工审批三层机制叠加,既覆盖已知威胁(如 ClawHavoc 恶意技能、x402 比特币诈骗),又能识别新型攻击模式(如提示词注入)。
全场景覆盖:支持命令、URL、技能、消息四种检测类型,从 pip install 到浏览器导航、从技能安装到用户输入过滤,形成端到端的代理安全防护网。
透明可审计:所有检测记录本地存储,用户完全掌控自己的安全数据;代码开源可审查,无黑箱操作;MIT 许可证允许自由定制和二次开发。
生态集成友好:既提供独立 CLI 工具供脚本调用,又通过 OpenClaw 插件实现无侵入式自动保护,还支持 Discord slash 命令满足团队协作场景。
潜在缺点与局限性
依赖本地威胁数据库时效性:虽然支持 clawguard sync 手动更新,但零摩擦模式下用户可能长期不更新数据库,导致对最新威胁的识别存在窗口期。
T3 来源的背书局限:作为社区项目(jugaad-lab),缺乏顶级安全机构或大型科技公司的品牌背书,在企业采购场景中可能面临信任门槛。
Discord 审批的可用性依赖:Level 1-3 的人工审批功能依赖 Discord 集成,对于无 Discord 环境或网络受限的用户,高级别安全模式无法生效。
误报与漏报的平衡:任何基于模式匹配的安全系统都存在误报(阻断正常操作)和漏报(放过新型威胁)的固有矛盾,用户需在安全级别设置中自行权衡。
Node.js 运行时依赖:要求 Node.js 18+ 环境,在部分精简容器或嵌入式场景中可能增加部署复杂度。
适合的目标群体
- AI 代理开发者:需要为自主运行的 AI 系统添加安全护栏,防止提示词注入和恶意代码执行
- MCP 服务器用户:频繁安装和切换各类技能,需要前置安全检查避免供应链攻击
- 自动化工作流运维:运行包含大量外部命令(curl、npm install 等)的 CI/CD 或定时任务,需要风险拦截机制
- 安全意识较强的个人用户:希望在享受 AI 自动化便利的同时,保留对关键操作的知情权和控制权
- Discord 协作团队:已通过 Discord 进行工作沟通,希望将安全审批流程嵌入现有协作习惯
使用风险
性能开销:每次外部操作前的检查会引入 10-50ms 的延迟(取决于数据库大小和匹配复杂度),在高频调用场景下需评估累积影响。
依赖项风险:核心依赖 better-sqlite3 虽为成熟库,但原生模块编译可能在某些平台(如 Alpine Linux、ARM 架构)遇到构建问题。
配置漂移风险:安全级别、Discord 通道 ID 等配置存储在本地文件,多设备同步或容器重建时可能丢失,建议纳入配置管理或备份策略。
过度依赖风险:ClawGuard 是"最后一道防线"而非万能盾牌,不能替代代码审查、最小权限原则、网络隔离等基础安全实践。用户不应因部署该工具而放松对其他安全环节的重视。