核心用法
Shell Security Ultimate 是一款纯指令型安全技能,在命令执行前强制完成风险分类。系统会将待执行的 Shell 命令标记为三级风险:
- SAFE(🟢):只读操作,如
cat、ls、grep,自动放行 - WARN():可能修改状态,如
cp、mv、systemctl restart,需记录并提示确认 - CRIT(🔴):具有破坏性或不可逆性,如
rm -rf、dd、DROP TABLE、curl | bash,强制阻断直至人工显式批准
该技能通过注入系统提示词(system prompt)实现,无需额外二进制、网络调用或凭证,所有逻辑在现有 LLM 上下文中完成,天然兼容 TinkerClaw fork 及其他 OpenClaw 生态。
显著优点
1. 零依赖轻量部署:纯文本指令,无外部依赖,不引入供应链攻击面
2. 误执行免疫:从机制上消除 rm -rf / 或管道到 Shell 的经典灾难场景
3. 审计友好:每命令附带分类日志,便于合规追溯与事后复盘
4. 完全可覆盖:用户保留随时批准、拒绝或升级的人工决策权
潜在局限
- 分类准确性依赖 LLM:极端复杂的命令组合(如嵌套 eval、动态生成的代码)可能存在误判
- 无法阻止已批准的误操作:若用户手动放行 CRIT 级命令,后果仍由用户承担
- 仅适用于 TinkerClaw/OpenClaw 生态:其他 Agent 框架需适配提示词格式
适合人群
- 向 AI Agent 开放 root/shell 权限的开发者与运维工程师
- 需要满足审计合规要求的自动化场景
- 追求"Fail-safe"而非"Fail-deadly"的安全敏感环境
常规风险
- 提示词注入攻击:若外部输入可污染系统提示词,可能绕过分类逻辑
- LLM 幻觉导致误判:罕见情况下模型可能将危险命令错误归类为 SAFE
- 用户疲劳:高频交互场景下,过度频繁的 WARN/CRIT 弹窗可能导致用户习惯性点击"确认"
总体评估
Shell Security Ultimate 是 Agent 安全基建层的关键组件,以最小实现成本提供了有效的执行前闸门机制,推荐所有生产环境 Shell 场景强制启用。