总安装量 16
评分人数 13
核心用法
Claw Permission Firewall 是一个运行时最小权限防火墙,专为 Agent/Skill 系统设计。它通过评估请求动作(HTTP 请求、文件读写、命令执行)返回三种决策状态:ALLOW(允许执行)、DENY(策略阻止)或 NEED_CONFIRMATION(需用户确认)。
使用流程遵循"评估-决策-执行"模式:技能生成动作对象后调用本防火墙进行评估,根据返回决策执行相应操作(直接执行、用户确认后执行或终止流程)。系统同时返回脱敏后的动作对象和结构化审计记录,确保敏感信息(Authorization、Cookie、API Key 等)在日志和传输过程中被自动遮盖。
显著优点
该技能的核心优势在于其零执行风险设计——作为纯分析型工具,它本身不执行任何外部命令、不进行网络传输,仅通过策略引擎进行风险评估。内置的敏感信息脱敏机制覆盖常见凭证模式(JWT、AWS Access Key、Bearer Token 等),有效防止提示词注入导致的数据泄露。
策略系统提供三种工作模式(strict/balanced/permissive)和可配置的 YAML 策略文件,支持自定义域名黑白名单、文件访问沙箱(workspaceRoot 限制)和执行权限控制。审计日志功能为合规性要求提供完整的操作追溯能力。
潜在缺点与局限性
作为 T3 来源的个人开发者项目,长期维护稳定性和代码更新频率存在不确定性。当前版本输入验证机制不够严格,某些字段缺少类型检查,异常处理可能泄露堆栈跟踪信息,存在信息暴露风险。
功能定位上,它明确不是网关层安全工具,无法替代网关扫描器,仅作为运行时补充防护。对于需要复杂身份验证或企业级 SLA 保障的场景,该工具可能无法满足需求。此外,策略配置需要专业知识,配置错误可能导致正常操作被误拦或风险操作被放行。
适合的目标群体
主要面向构建多 Agent/Skill 协作系统的开发者和平台架构师,特别是需要在运行时层实施零信任安全策略的技术团队。适用于以下场景:防止第三方技能的数据外泄、隔离不受信代码的执行环境、为自动化工作流添加安全闸口、满足敏感数据处理的合规审计要求。
对于使用 Claude、GPT 等大模型构建自动化工作流,且担心提示词注入导致敏感信息泄露的开发者,该工具提供了轻量级的运行时防护层。
使用风险
维护风险:个人开发者维护的开源项目,存在因维护者精力转移导致停止更新的可能。
配置风险:策略文件(policy.yaml)配置不当可能导致安全策略被绕过(过于宽松)或业务中断(过于严格)。Exec 功能默认禁用,如需启用需明确配置,不当开启可能带来执行风险。
依赖风险:虽然当前依赖(js-yaml、minimatch)成熟稳定,但未来版本更新可能引入漏洞,需持续关注依赖安全。
功能边界:不能替代企业级防火墙或网关安全设备,仅作为应用层补充防护。对于加密混淆的恶意代码或高级持续性威胁(APT)难以检测。
examples