soulflow

⚙️ OpenClaw 智能工作流编排引擎

SoulFlow 是 OpenClaw 的通用 AI 工作流框架,通过隔离的 agent 会话执行多步骤任务,支持开发、运维、内容等场景自动化,但需警惕其高权限设计和凭证继承风险。

收藏
1.9k
安装
848
版本
v1.1.2
CLS 安全性认证2026-05-20
点击查看完整报告 >

使用说明

核心用法

SoulFlow 是一个专为 OpenClaw 设计的通用 AI 工作流框架,允许用户通过 JSON 定义多步骤工作流,每个步骤在独立的 agent 会话中执行。用户可通过自然语言描述需求(如"审计我的项目安全漏洞"),由主 agent 自动调用;也可直接使用 CLI 命令 node soulflow.js run <workflow> "<task>" 执行。框架内置三种开发示例工作流:安全审计(扫描→优先级排序→修复→验证)、Bug 修复(分类→修复→验证)和功能开发(规划→实现→审查),同时支持用户自定义任意领域的工作流。

显著优点

架构设计优秀:零外部依赖(纯 Node.js 22+),采用 WebSocket 本地连接网关,确保无网络外泄风险。会话隔离机制彻底,每个工作流步骤运行在全新的 agent 会话中,避免上下文膨胀和记忆污染。自动通知机制(v1.1.0+)让主 agent 无需轮询即可获取结果。

灵活性与扩展性:JSON 格式定义工作流简单直观,支持变量插值({{task}}{{step_output}}`)和步骤间数据传递。自然语言接口降低了使用门槛,非技术用户也能描述复杂需求。示例覆盖开发全场景,且文档详尽指导自定义工作流创建。

安全透明度高:SKILL.md 明确披露所有权限需求和安全风险,包括配置修改、agent 创建、凭证继承等敏感操作,体现了负责任的安全披露态度。

潜在缺点与局限性

权限需求激进:必须修改网关核心配置文件(~/.openclaw/openclaw.json)、创建具有完整工具权限(read/write/edit/exec/browser)的专用 worker agent,并继承所有外部服务凭证。这种设计虽为功能必需,但显著扩大了攻击面。

工作流文件风险:自定义 .workflow.json 文件本质上是可执行代码,可能包含恶意指令(如提示 agent 读取敏感文件、滥用云凭证)。框架本身不对工作流内容进行安全验证,完全依赖用户审查。

凭证继承隐患:Worker 自动复制现有 agent 的 authProfiles,意味着恶意工作流可滥用用户的 GitHub、AWS 等凭证,且此行为在配置层面不可逆(除非手动修改网关配置)。

生态成熟度:作为相对较新的项目(SoulStack 组织),社区验证时间有限,长期维护稳定性待观察。

适合的目标群体

  • 开发团队:需要标准化安全审计、代码审查、Bug 修复流程的工程师
  • DevOps/运维人员:构建部署流水线、健康检查、自动回滚等运维自动化
  • 内容创作者:研究→草稿→编辑→发布的结构化内容生产流程
  • 研究人员:数据收集→分析→综合→报告的研究 pipeline 构建者
  • 技术型自动化需求者:愿意理解并接受安全权衡,追求任务自动化的进阶 OpenClaw 用户

使用风险

性能风险:单步骤 10 分钟超时可能限制复杂任务;频繁创建 agent 会话带来一定开销。依赖风险:严格依赖 OpenClaw 2026.2.x+ 和 Node.js 22+,版本不兼容将导致完全失效。数据风险:工作流可能意外修改或删除文件,建议运行前备份。供应链风险:虽零 npm 依赖,但工作流文件本身成为新的供应链攻击向量——从不可信来源获取的工作流可能窃取数据或滥用凭证。

安全解读

SoulFlow 综合评估

核心用法

SoulFlow是一个基于OpenClaw的通用AI工作流框架,允许用户通过JSON定义多步骤任务流水线。其核心工作流程为:

1. 自然语言触发:用户描述需求(如"审计项目安全漏洞"),Agent自动匹配工作流
2. 隔离Agent执行:每个步骤在独立的soulflow-worker Agent会话中运行,避免上下文污染

3. 状态传递:步骤间通过变量系统(如{{task}}{{step1_output}})传递结果

4. 自动通知:工作流完成后自动向主Agent汇报结果

内置示例工作流

  • security-audit:扫描→优先级排序→修复→验证
  • bug-fix:分类→修复→验证
  • feature-dev:规划→实现→审查

用户可通过创建.workflow.json文件自定义任意领域的工作流(内容创作、运维部署、研究报告等)。

显著优点

| 维度 | 优势 |
|------|------|
| **架构设计** | 零依赖(纯Node.js 22原生模块),消除供应链攻击风险;WebSocket本地通信,无数据外泄 |
| **安全隔离** | 每个步骤独立Agent会话,worker与主Agent内存隔离;10分钟步骤超时防止无限挂起 |
| **权限透明** | SKILL.md详细披露所有权限需求及合理性,用户可知情选择 |
| **可验证性** | GitHub开源(MIT许可证),作者身份可验证(SoulStack/Pachifunk),社区可审计 |
| **功能完整** | 支持自定义工作流、变量系统、自动通知、执行历史追踪等完整功能 |
| **认证成绩** | 安全认证总分85/100,静态分析90分,依赖审计100分,网络分析95分 |

潜在缺点与局限性

1. 权限需求较高:需要读取/修改Gateway配置、创建Agent、继承authProfiles等敏感权限,虽文档充分披露,但在严格权限控制环境中可能受限

2. Worker完整工具权限:Worker被授予tools: { profile: 'full' },若工作流定义被篡改可能导致滥用

3. 工作流定义风险:自定义.workflow.json文件是主要攻击面,恶意工作流可利用Worker权限执行危险操作

4. 本地执行限制:仅支持与本地OpenClaw Gateway通信,无法直接调用云端服务(需通过继承的authProfiles间接访问)

5. Node.js版本依赖:要求Node.js 22+,旧环境需升级

6. 无内置工作流签名验证:第三方工作流缺乏自动来源验证机制

适合人群

| 用户类型 | 适用场景 |
|---------|---------|
| **开发团队** | 自动化代码审查、安全审计、Bug修复、功能开发流水线 |
| **运维工程师** | 部署→验证→回滚的自动化运维流程 |
| **内容创作者** | 研究→草稿→编辑→发布的批量内容工作流 |
| **研究人员** | 数据采集→分析→合成→报告的多阶段研究任务 |
| **AI工作流爱好者** | 需要比单轮对话更复杂的结构化AI任务编排 |

不适合:对权限极度敏感的生产环境(未审查前)、无Node.js 22运行时的环境、需要跨网络直接调用外部API的场景。

常规风险

| 风险等级 | 风险描述 | 缓解措施 |
|---------|---------|---------|
| **高** | 运行未审查的第三方工作流定义 | 运行前审查`.workflow.json`内容;仅使用可信来源工作流 |
| **中** | Worker继承的authProfiles被滥用 | 定期审查Agent凭证;使用BYOK模式隔离敏感凭证 |
| **中** | Gateway配置被意外修改 | 备份`~/.openclaw/openclaw.json`;监控配置变更 |
| **低** | 子进程参数注入(已验证安全) | 代码已使用数组传参,无注入风险 |
| **低** | 工作流执行日志泄露敏感信息 | 定期清理`~/.openclaw/workspace/.soulflow/runs/` |

关键安全建议

  • 首次使用前审查GitHub源码(https://github.com/0xtommythomas-dev/soulflow)
  • 生产环境部署前在非生产实例测试
  • 建立工作流定义审查清单( suspicious patterns: eval/exec/child_process/fetch等)
  • 定期执行安全审查(建议每季度)

总结

SoulFlow是一个设计精良、安全透明的AI工作流框架,85分的安全认证成绩和零依赖架构使其在同类工具中具有显著优势。其最大的安全风险不在于框架本身,而在于用户可能运行的不可信工作流定义文件。建议用户遵循"审查后再运行"原则,将SoulFlow作为可信赖的引擎,但对加载的每一个工作流保持审慎。

soulflow 内容

lib文件夹
workflows文件夹
手动下载zip · 32.0 kB
gateway.jstext/javascript
请选择文件