safe-exec

🛡️ AI命令执行智能安全防护盾

个人开发者开源的OpenClaw Agent命令执行防护层,通过CRITICAL/HIGH/MEDIUM/LOW多级风险评估与强制人工审批机制,有效拦截rm -rf、dd等高危操作,保障系统安全。

收藏
3.2k
安装
979
版本
latest
CLS 安全性认证2026-05-04
点击查看完整报告 >

使用说明

核心用法

SafeExec 是专为 OpenClaw Agents 设计的安全中间件,通过一键安装即可为 AI Agent 的命令执行能力添加安全防护层。安装后,用户只需在对话中输入"Enable SafeExec"即可激活保护机制。激活后,所有 shell 命令执行都会被自动监控,当检测到危险模式(如 rm -rf、dd、mkfs、fork 炸弹等)时,系统会拦截命令并在当前终端会话中显示实时通知,等待用户通过 safe-exec-approve <request_id> 显式批准后才可执行。

显著优点

该 Skill 的最大优势在于其零侵入式集成设计,Agent 无需修改任何现有代码或命令结构即可受保护。其风险分级体系非常完善,将操作分为 CRITICAL(系统破坏性)、HIGH(数据删除)、MEDIUM(服务配置)、LOW(只读操作)四个等级,既防止误操作又避免过度打扰。完整的本地审计日志(存储于 ~/.openclaw/safe-exec-audit.log)提供了全链路可追溯性,满足合规要求。此外,平台无关性设计使其适用于 Feishu、Telegram、Discord 等所有 OpenClaw 支持的通信渠道,审批流程完全本地化,不依赖外部网络。

潜在缺点与局限性

尽管功能完善,但作为 T3 来源(个人开发者账号 OTTTTTO 维护)的项目,其长期维护稳定性和安全更新频率存在不确定性。功能上,强制审批机制虽然安全,但会打断完全自动化的工作流,不适用于需要无人值守的 CI/CD 流水线。系统依赖 jq 工具进行 JSON 处理,在极简环境中可能需要额外安装。此外,审计日志以明文形式存储在本地目录,在多用户共享环境中需注意文件权限设置。设计上使用 eval 执行命令(虽经审批流程缓解)也是潜在风险点。

适合的目标群体

主要面向使用 OpenClaw Agents 进行开发、运维的工程师和技术团队,特别是那些需要赋予 AI Agent 较高系统权限但又担心"幻觉"导致危险操作的场景。适合开发和测试环境的安全防护,以及需要命令执行审计的多用户协作环境。对于刚开始使用 AI Agent 且对自动化安全性有顾虑的用户,这是理想的安全培训工具。

使用风险

常规风险包括:1)性能延迟,审批流程会阻塞命令执行直至人工响应;2)依赖项风险,若 jq 工具缺失或版本不兼容会导致功能异常;3)误拦截风险,过于激进的模式匹配可能将合法命令标记为高危;4)本地存储风险,审计日志和待处理请求文件存储在用户目录,磁盘满或权限错误会影响功能;5)单点故障,若 SafeExec 自身进程异常可能影响正常命令执行流程。建议在生产环境部署前充分测试,并熟悉 SAFE_EXEC_DISABLE=1 紧急禁用方法。

安全解读

SafeExec 综合性评估

SafeExec 是专为 OpenClaw AI Agent 设计的安全命令执行防护层,核心价值在于为自动化代理系统提供一层关键的安全缓冲。它通过实时监控 shell 命令执行,自动识别危险操作模式(如 rm -rf /ddmkfs、fork 炸弹等),并实施分级风险拦截机制。

核心用法

启用后,SafeExec 以守护模式运行于后台,对所有 shell 命令进行透明分析。当检测到潜在危险时,它会立即拦截执行,并在当前终端会话中显示实时通知,要求用户显式批准。支持四种风险等级(CRITICAL/HIGH/MEDIUM/LOW)的差异化处理,并提供完整的审计日志追溯。

显著优点

1. 零侵入集成 - 无需修改 Agent 代码或工作流程,启用即生效
2. 多层防护设计 - 危险模式检测 + 风险分级 + 用户确认 + 审计追溯

3. 依赖极简 - 仅依赖 bash/jq 标准工具,无第三方供应链风险

4. 平台无关 - 工作于终端会话层,独立于 Feishu/Telegram 等通信渠道

5. 自动化友好 - 支持非交互式模式(OPENCLAW_AGENT_CALL)和自动确认配置

潜在缺点与局限性

  • eval 执行风险:核心实现使用 eval 执行命令,虽有多层防护,理论上仍存在绕过可能(RISK-001)
  • 环境变量可被禁用SAFE_EXEC_DISABLE=1 可完全关闭保护,存在被恶意利用风险(RISK-002)
  • 日志敏感信息泄露:审计日志明文记录完整命令,可能捕获密码等敏感数据(RISK-003)
  • 竞态条件隐患:临时文件使用 $RANDOM 生成 ID,极端情况下可能碰撞(RISK-004)
  • 来源可信度 T3:个人开发者项目(OTTTTTO),非企业级背书,需关注代码更新动态

适合人群

  • 使用 OpenClaw AI Agent 且需执行 shell 命令的开发者
  • 对自动化代理系统的安全性有顾虑的技术团队
  • 需要在人机协作环境中保留最终控制权的场景

常规风险

1. 社会工程学攻击 - 攻击者可能通过 Agent 诱导用户批准恶意命令
2. 配置绕过 - 环境变量控制机制过于简单,需警惕运行环境安全

3. 日志泄露 - 审计日志文件权限管理不当可能导致敏感信息暴露

总体建议

适合正常使用,建议启用后配合定期审计日志审查。作为防御性安全工具,其带来的安全收益大于实现层面的可控风险,但 T3 来源等级要求用户保持对代码更新的关注。

safe-exec 内容

docs文件夹
scripts文件夹
tests文件夹
tools文件夹
手动下载zip · 74.5 kB
BLOG_EN.mdtext/markdown
请选择文件