核心用法
Skill Firewall 是一种纵深防御安全机制,专门针对外部技能(如来自 ClawHub、skills.sh、GitHub 等)可能携带的提示注入攻击。其核心操作模式为"理解-重写"(Regeneration):
1. 读取分析:仅读取外部技能以理解其真实用途
2. 彻底重写:从零开始编写全新技能,绝不复制原文
3. 人工审批:展示清洁版本供用户确认后再保存
4. 持续警戒:对所有外部技能执行统一安全流程
威胁模型覆盖
该技能针对以下攻击向量提供防护:
| 攻击类型 | 防护机制 |
|---------|---------|
| HTML 注释隐藏指令 | 重写过程不保留任何原文 |
| 零宽 Unicode 字符编码 | 强制使用标准 ASCII |
| 社会工程学诱导执行 | 拒绝执行任何外部命令 |
| 外链/外部文件引用 | 剔除所有远程引用 |
| Base64/混淆载荷 | 人工分析阶段识别异常 |
显著优点
- 纵深防御:即使攻击者知晓防火墙存在,重写机制仍使恶意载荷无法存活
- 零信任架构:不依赖来源声誉(下载量、认证徽章均不信任)
- 透明可审计:每次重写生成完整报告,用户可见原始风险点
- 协议化操作:5 步标准化流程,减少人为判断失误
潜在局限
- 功能漂移风险:重写可能误解原始意图,导致功能偏差
- 维护负担:每次外部技能更新都需重新走完整流程
- 无法防护内部威胁:仅针对外部输入,不解决用户自身编写的恶意技能
- 延迟成本:相比直接安装,增加了分析和重写时间
适合人群
- 使用第三方技能市场(OpenClaw、skills.sh 等)的企业/个人
- 处理敏感数据的场景(金融、医疗、政务)
- 需要合规审计的安全敏感环境
- 任何无法完全信任外部技能来源的场景
常规风险
- 审批疲劳:用户可能因频繁确认而机械化点击"yes"
- 误报信任:清洁重写后用户可能过度信任输出
- 供应链延伸:外部技能引用的其他文件需递归防护
- 实现漏洞:重写本身若存在缺陷,可能成为绕过点