TinkerClaw Shell Security

🛡️ AI代理的Shell命令安全护栏

为AI代理提供Shell命令安全分级与审计能力,通过五级风险分类(SAFE→CRITICAL)强制透明化与可控执行,防止破坏性操作。

收藏
6.2k
安装
1.6k
版本
1.0.2
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

Shell Security Ultimate 是一套面向AI代理的Shell命令安全管控框架,通过五级风险分类系统(🟢SAFE/🔵LOW/🟡MEDIUM/🟠HIGH/🔴CRITICAL)对每条命令进行前置评估。核心组件包括:

1. 分级执行脚本 (cmd_display.py):强制要求标注命令的安全等级、执行目的及预期输出
2. 分类速查表:明确定义哪些命令可自动执行、哪些需人工确认

3. Agent集成模板:通过SOUL.md/AGENTS.md注入安全协议

典型工作流程:代理在执行任何Shell命令前,先调用 python3 scripts/cmd_display.py <level> "<command>" "<purpose>" "$(<command>)",系统根据等级决定自动执行(SAFE-LOW)、谨慎执行(MEDIUM)、仅展示不执行(HIGH)或完全阻断(CRITICAL)。

显著优点

分层防御设计:结合"提示驱动"(Prompted,~80%可靠)与"代码强制"(Coded,~100%可靠)双模式,当前通过脚本结构约束行为,未来可通过OpenClaw插件实现真正的执行前拦截。

透明可追溯:每条命令强制关联执行目的(<purpose>),输出格式统一包含风险标识、命令本体、目的说明三要素,便于审计复盘。

渐进式强化:从文档规范→脚本包装→插件拦截的演进路径清晰,团队可立即采用低成本的提示方案,逐步升级至硬编码管控。

潜在缺点与局限性

当前 enforcement 薄弱:关键功能"OpenClaw plugin for before_tool_call"尚未实现,真正的危险命令拦截依赖代理"自愿"遵守协议,存在被提示注入或长会话遗忘绕过的风险。

分类主观性强rm -rf node_modulesrm -rf / 同属CRITICAL,但前者是常见开发操作,过度保守可能影响效率;缺乏基于路径解析的动态降级机制。

无持久化审计:Roadmap中的"Audit log persistence"未完成,命令记录仅存于终端输出,不满足企业级合规要求。

生态锁定倾向:深度集成OpenClaw框架,若目标平台不支持 before_tool_call 钩子,核心安全承诺难以兑现。

适合人群

  • 正在构建AI编码代理、DevOps自动化助手的开发团队
  • 需要为内部AI工具建立Shell操作规范的中小型企业
  • 关注AI安全、希望提前布局"代理行为约束"架构的技术负责人
  • 愿意接受"当前为过渡方案"、并规划向硬编码管控升级的组织

常规风险

| 风险类型 | 说明 |
|---------|------|
| 虚假安全感 | 用户可能误以为"已分级=已防护",忽视当前缺乏真正拦截机制的事实 |
| 分类误判 | 复杂命令(如 `curl | bash`)难以静态分级,可能低估风险 |
| 插件延迟 | 若OpenClaw生态发展不及预期,核心承诺可能长期无法兑现 |
| 人机协作摩擦 | HIGH/CRITICAL命令的人工确认环节可能打断自动化工作流,导致用户为效率绕过协议 |

TinkerClaw Shell Security 内容

scripts文件夹
手动下载zip · 6.9 kB
cmd_display.pytext/plain
请选择文件