核心用法
OpenClaw Sentinel 是一款专为 AI 代理工作区设计的本地安全监控工具,通过三大核心功能保护代理身份文件与记忆系统:
1. 基线完整性校验
baseline命令创建受监控文件的哈希基线,覆盖 SOUL.md、AGENTS.md、IDENTITY.md、USER.md 等核心身份文件verify命令比对当前状态与基线,检测修改、删除或新增未跟踪文件accept命令允许人工审核后更新特定文件的基线
2. 提示注入检测
scan命令深度扫描多种攻击向量:指令覆盖短语(如 "ignore previous instructions")、Base64 可疑载荷、零宽字符与 RTL 覆盖等 Unicode 技巧- 识别 Markdown 图片外渗 URL、HTML 脚本注入、系统提示标记(
<system>、[SYSTEM])及 Shell 命令注入 - 发现注入模式触发 CRITICAL 级别警报
3. 快速状态监控
status一键输出工作区健康摘要full组合执行完整性与注入扫描
显著优点
- 零依赖架构:纯 Python 标准库实现,无需 pip 安装,无网络调用,完全本地运行
- 跨平台兼容:支持 macOS、Linux、Windows,适配 OpenClaw、Claude Code、Cursor 等遵循 Agent Skills 规范的工具
- 智能分级监控:区分 Critical(身份文件)、Memory(预期可变)、Config(配置)、Skills(技能元数据)四类文件,避免噪音
- 工作区自动发现:支持环境变量、当前目录检测、默认路径三级回退策略
- 清晰退出码:0(干净)、1(需审核修改)、2(需紧急处理注入),便于 CI/CD 集成
潜在局限
- 免费版无自动响应:检测后需人工介入,自动化防护(快照恢复、技能隔离、Git 回滚)需升级至 Sentinel-Pro
- 依赖初始基线质量:若基线创建时文件已遭污染,后续校验失效
- 无法阻止实时攻击:仅事后检测,不具备主动拦截能力
- Unicode 技巧识别边界:新型 homoglyph 或编码绕过可能逃逸规则库
- 内存文件预期变化:虽标记为 INFO 级别,但恶意修改与正常更新难以区分
适合人群
- 使用 Claude Code、Cursor 等 AI 编码工具的专业开发者
- 运行多代理协作系统的团队,需确保 AGENTS.md 等协调文件未被篡改
- 对 AI 供应链安全有顾虑的用户,担心恶意技能或心跳载荷植入后门
- 需要将文件完整性检查集成到 CI/CD 或自动化脚本的安全工程师
常规风险
- 误报风险:合法重构身份文件或更新技能元数据时,需频繁运行
accept更新基线 - 基线泄露风险:若基线数据库被盗,攻击者可针对性构造哈希碰撞(虽 Python hashlib 默认抗碰撞)
- 权限要求:需对工作区目录有读写权限,受限环境可能无法完整监控
- 升级诱导:Pro 版功能宣传可能分散用户对免费版局限性的注意力,需理性评估实际需求
技术可信度说明
本工具设计思路符合最小权限原则与纵深防御理念,但当前报告为占位生成,未经过实际代码审计或动态测试验证。