aegis-shield

🛡️ 提示注入与数据泄露防护盾

基于本地扫描引擎的提示注入与数据泄露防护工具,为AI记忆写入提供"扫描-隔离-清理"安全工作流,确保外部内容零信任处理。

收藏
1.8k
安装
664
版本
v0.1.0
CLS 安全性认证2026-07-02
点击查看完整报告 >

使用说明

核心用法

Aegis Shield 专为防范提示注入攻击和数据泄露风险而设计,主要提供两大核心功能模块。首先是实时内容扫描,用户可通过调用本地扫描引擎对来自网页抓取、邮件、社交媒体等不受信任的文本内容进行安全检测,系统会返回风险等级(severity)和威胁评分(score),帮助用户决定是否将内容传递给其他工具或AI模型。其次是安全内存追加工作流,这是该技能最具实用价值的功能——通过 openclaw-safe-memory-append.js 脚本实现"扫描→清理→写入或隔离"的闭环管理,确保所有写入记忆库的数据都经过严格审查,避免恶意提示或敏感信息污染AI的长期记忆。

显著优点

该技能的最大优势在于其零信任安全架构本地化部署特性。所有扫描和存储操作均在本地文件系统完成,无任何网络通信,从根本上杜绝了数据外泄风险。技术实现上,脚本仅依赖 Node.js 内置模块,无 eval()exec() 等危险函数,且采用固定路径加载依赖,拒绝动态代码执行。安全机制方面,提供了明确的隔离区(quarantine)策略,当检测到中等及以上风险时自动隔离可疑内容,隔离目录权限设置为 0o700 确保仅所有者可访问。此外,规则设计严谨,明确禁止存储密钥等敏感信息,并强制要求所有外部内容必须经过扫描才能进入工作流。

潜在缺点与局限性

尽管安全评级达到 A 级,该技能仍存在若干局限。首先是检测技术的边界,当前主要基于正则表达式进行模式匹配,面对高度混淆的提示注入攻击或新型攻击向量可能存在漏检,且有一定概率产生误判将正常内容送入隔离区。其次是来源可信度限制,作为 T3 级社区个人项目,缺乏大规模生产环境的长期验证,后续更新的持续性和稳定性需要用户自行关注。功能层面,该技能高度依赖本地 aegis-shield 库的正确安装,若库文件缺失或版本不兼容将导致工作流中断。最后,权限要求虽然控制在用户空间内,但仍需文件系统写入权限,在部分受限环境中可能无法正常运行。

适合的目标群体

该技能特别适合以下三类用户:频繁处理网络爬虫、用户生成内容(UGC)或第三方API返回数据的AI应用开发者;对数据隐私有严格要求、不希望敏感内容经过云端处理的隐私敏感型用户;以及需要构建可靠记忆管理系统、防止长期记忆被污染的复杂Agent构建者。对于日常仅需处理可信内部文档的用户,该技能可能显得过于厚重;但对于任何需要"将外部世界数据引入AI记忆"的场景,这都是一道必要的安全防线。

使用风险与注意事项

使用该技能时需注意三类风险。首先是依赖风险:必须确保本地 aegis-shield 库的完整性和可信来源,建议定期检查库文件是否被篡改。其次是性能风险:大规模文本扫描可能带来计算开销,正则匹配在处理超长文本时可能存在性能瓶颈。第三是安全幻觉风险:用户不应因使用该工具而产生"绝对安全"的错觉,它作为第一道防线可拦截明显威胁,但无法替代完善的安全审计和人工复核。建议定期清理隔离区内容,监控误判情况,并在关键生产环境中结合其他安全措施使用。

安全解读

核心用法

Aegis Shield 是一款专注于提示词注入防御数据外泄防护的安全工具类 skill。其设计目标是成为处理不可信内容(网页抓取、邮件、社交媒体信息)的第一道防线,确保在内容摘要、回复生成及记忆存储前完成安全筛查。

主要工作流程:

1. 本地文本扫描:对输入文本进行安全检测,返回 severity(严重级别)和 score(风险分数),帮助系统判断是否可安全处理
2. 安全记忆追加:通过 openclaw-safe-memory-append.js 脚本实现「扫描→清洗→接受/隔离」的标准化流程,强制要求所有记忆写入操作必须经过此安全通道

技术实现亮点:

  • 纯 Node.js 内置模块实现(fs, path),零第三方依赖,彻底规避供应链攻击风险
  • 本地加载安全扫描库,无外部网络请求,符合数据最小化原则
  • 文件系统操作严格受限,仅作用于指定的记忆目录,无越权风险

显著优点

| 维度 | 表现 |
|------|------|
| 安全架构 | 零依赖设计,静态分析95分,无危险函数 |
| 功能聚焦 | 专精提示词注入与数据外泄防御,场景明确 |
| 合规性 | 通过 GDPR、CCPA 等6项合规检测 |
| 可审计性 | 来源可追溯,操作日志完整,quarantine 机制清晰 |
| 易用性 | 提供标准化脚本,一键完成扫描+存储决策 |

潜在局限

  • 外部库完整性依赖:核心扫描功能依赖本地固定路径的外部库,当前缺乏哈希/签名校验机制(RISK-001,low 级别)
  • 错误处理待完善:文件系统操作(mkdirSync、appendFileSync)的错误处理可更精细化
  • 生态锁定:与 OpenClaw 平台深度绑定,迁移成本需评估
  • 版本信息缺失:输出 JSON 未包含 skill 及扫描库版本号,不利于问题追溯

适合人群

  • AI 应用开发者:需要为 LLM 应用添加输入安全防护层
  • 自动化工作流构建者:处理多来源不可信数据的 RPA/自动化流程
  • 安全意识强的个人用户:希望建立标准化内容审核机制

常规风险

| 风险场景 | 缓解措施 |
|---------|---------|
| 外部扫描库被篡改 | 建议按报告建议添加文件哈希校验 |
| 磁盘/权限异常导致写入失败 | 建议补充磁盘空间与权限预检 |
| quarantine 目录堆积 | 需手动补充清理策略文档 |
| 误报导致正常内容被隔离 | 提供 `--allowIf medium` 等灵活阈值配置 |

该 skill 获得 S 级安全评级(92分),在同类安全工具中表现优异,建议作为处理不可信内容的标准前置组件部署。

aegis-shield 内容

手动下载zip · 3.4 kB
openclaw-safe-memory-append.jstext/javascript
请选择文件