skills/AtlasPA/openclaw-egress

openclaw-egress

🛡️ Agent 工作区网络防泄漏卫士

纯本地运行的 Agent 工作区网络 DLP 工具,零依赖扫描技能出站连接与数据外泄风险,守护 API 密钥与对话隐私安全。

收藏
4.6k
安装
927
版本
v1.0.2
CLS 安全性认证2026-05-13
点击查看完整报告 >

使用说明

OpenClaw Egress 是一款专为 Agent 工作区设计的网络数据防泄漏(DLP)工具,旨在解决 AI Agent Skills 可能存在的"回拨"(phone home)风险。该工具通过静态代码分析技术,深度扫描工作区内的 Skill 文件和各类文档,识别并标记所有潜在的出站网络连接、数据外泄端点及可疑的网络函数调用,有效防止 API 密钥、对话历史及敏感工作区内容被恶意传输至外部服务器。

在核心用法层面,OpenClaw Egress 提供了多维度的扫描能力。用户可通过 scan 命令执行全面扫描或仅针对 Skills 的专项检测,系统会依据风险等级将发现项分为 CRITICAL(如包含 Base64/hex 载荷的 URL、Pastebin 等共享服务、动态 DNS)、HIGH(如 requests、urllib、curl 等网络函数调用)、WARNING(如可疑顶级域名 .xyz/.tk、URL 缩短服务、IP 地址端点)及 INFO(不在白名单内的外部 URL)四个级别。此外,domains 命令可生成外部域名映射清单,status 命令则提供快速状态概览。工具通过退出码(0 为干净、1 为需审查、2 为需立即处理)实现与 CI/CD 流程的无缝集成。

该工具的显著优势在于其极致的安全架构设计。首先,它仅依赖 Python 标准库(argparse、re、urllib 等),无需 pip 安装任何第三方包,彻底消除了供应链攻击风险。其次,所有扫描操作均在本地完成,不产生任何网络连接,确保扫描过程中的数据隐私。再者,工具具备完善的防护机制:执行 blockquarantine 等敏感操作前会自动创建 .bak 备份文件,隔离操作通过目录重命名实现且完全可逆,同时内置自我保护机制防止误操作自身文件。

然而,OpenClaw Egress 也存在一定局限性。作为 T3 级别的个人开源项目,其长期维护能力和代码审计深度不及企业级安全产品。功能上,它无法检测经过加密或严重混淆的恶意代码,也不提供实时监控能力,必须依赖手动或定时触发扫描。此外,虽然 block/quarantine 功能设计有备份,但直接修改 Skill 文件仍可能引发误杀,对合法的网络调用(如正常的 API 集成)可能产生误报,需要用户具备一定技术能力进行人工研判。

该工具特别适合以下群体:构建 AI Agent 平台的安全团队、需要审计第三方 Skill 安全性的开发者、以及关注数据合规的企业运维人员。对于使用 Claude Code、Cursor 或 OpenClaw 等 Agent 工具链的高级用户,它提供了必要的网络行为可视性。

使用风险方面,尽管工具本身安全,但用户需警惕其修改文件的能力。不当使用 block/quarantine 可能导致正常 Skill 功能受损,建议在生产环境使用前充分测试,并建立额外的备份策略。同时,该工具不能替代专业的网络安全防护体系,应作为纵深防御策略中的一环使用。

安全解读

核心用法

openclaw-egress 是一款专为 AI Agent 工作区设计的网络数据防泄漏(DLP)工具,通过静态分析检测 skills 和文件中的出站 URL、数据外泄端点及网络函数调用。

主要命令:

  • scan — 全量扫描工作区,输出风险分级报告(CRITICAL/HIGH/WARNING/INFO)
  • scan --skills-only — 仅扫描 skills 目录,快速排查第三方技能风险
  • domains — 提取并列出所有引用的外部域名
  • status — 快速查看当前工作区安全状态
  • block/quarantine — 主动防御:注释阻断可疑代码行或隔离整个 skill 目录

检测能力覆盖 Base64/hex 隐蔽载荷、动态 DNS、URL 短链、Webhook 回调、requests/urllib/fetch 等网络调用模式,并提供白名单管理机制。

显著优点

1. 零信任架构:纯 Python 标准库实现,无 pip 依赖,无网络外联,彻底杜绝供应链攻击面
2. 本地安全执行:所有分析在本地完成,工作区数据不出境,符合隐私敏感场景需求
3. 可操作的安全闭环:不仅检测,还支持 block(注释标记)和 quarantine(目录重命名)主动防御,且自动创建 .bak 备份可审计恢复
4. 跨平台兼容:支持 OpenClaw、Claude Code、Cursor 等遵循 Agent Skills 规范的工具链
5. 清晰的退出码设计:0(清洁)/1(需审查)/2(需处置),便于 CI/CD 集成

潜在局限

  • 静态分析边界:基于正则匹配,无法检测混淆代码、动态生成 URL 或二进制植入等高级威胁
  • 误报依赖白名单:开发依赖的合法 API 端点需手动维护 allowlist,否则可能产生噪音
  • 阻断粒度较粗:block 操作以代码行为单位添加注释,可能影响正常功能需人工复核
  • 无实时监控:仅支持离线扫描,不拦截运行时网络请求
  • 社区维护状态:由个人开发者 AtlasPA 维护,长期更新保障待观察

适合人群

  • 使用 Claude Code、Cursor 等 AI 编程工具且安装第三方 skills 的开发者
  • 企业内对数据外泄敏感、需合规审计的 AI 应用场景
  • 安全意识强、愿意手动审查并配置白名单的技术用户
  • 需在离线/隔离环境运行安全检测的敏感工作区

常规风险

| 风险场景 | 说明 |
|---------|------|
| 误阻断正常功能 | block 操作可能注释掉必要的网络调用,建议 scan 预览后再执行 |
| 备份文件堆积 | .bak 文件需定期清理,否则占用存储 |
| 扫描范围溢出 | 若在包含敏感凭证的目录运行,文件内容将被读取分析(虽不出境) |
| 高级威胁漏检 | 加密载荷、分段 URL、运行时生成等绕过静态检测 |

总体评价:在 AI Agent 生态缺乏原生 DLP 的现状下,openclaw-egress 提供了轻量可落地的安全基线方案,适合作为「安装新 skill 后的必检步骤」集成到工作流中。

securitydevopsdevelopment-engineeringautomationbackend

openclaw-egress 内容

scripts文件夹
手动下载zip · 9.1 kB
egress.pytext/plain
请选择文件