permissions-broker

🔐 Telegram 审批制 API 代理网关

基于 Telegram 人工审批的安全代理机制,让用户完全掌控 Google/GitHub/iCloud 等外部 API 访问权限,实现零信任环境下的第三方数据操作。

收藏
2.5k
安装
756
版本
v1.0.9
CLS 安全性认证2026-05-18
点击查看完整报告 >

使用说明

Permissions Broker 是一种创新的用户控制型 API 代理机制,专为解决 AI Agent 在缺乏本地凭证时的外部数据访问需求而设计。该技能通过建立"申请-审批-执行"的三段式工作流,让用户通过 Telegram 实时掌控每一次对外部服务的访问请求,在便利性与安全性之间实现了精准平衡。

核心用法围绕代理请求的生命周期展开。Agent 使用用户签发的 PB_API_KEY 向 Broker 服务创建代理请求,指定目标上游 URL(如 Google Drive、GitHub API 或 iCloud CalDAV),随后系统自动进入等待状态。用户会在 Telegram 收到审批通知,查看请求的详细信息后决定授权或拒绝。一旦获批,Agent 立即执行该请求并获取上游响应,且每个请求仅能执行一次,有效防止重放攻击。对于 Git 操作,该技能还提供专门的 Smart HTTP 代理会话管理,支持克隆、拉取、推送等完整工作流。

显著优点体现在其安全架构设计上。首先,强制性的 Telegram 人工审批机制确保了"人在回路"(Human-in-the-loop),任何外部数据访问都需用户显式同意,彻底杜绝了静默数据泄露的风险。其次,一次性的执行模型(One-time execution)意味着即使请求 ID 被截获,也无法重复利用,大大降低了凭证泄露后的影响面。此外,该技能对敏感信息的处理极为规范,明确禁止将 API 密钥提交至代码仓库或写入日志,并支持可选的跨会话存储加密。提供商白名单机制(目前支持 Google、GitHub、iCloud)进一步限制了潜在的攻击面。

潜在局限性主要集中在可用性和灵活性方面。由于强制依赖 Telegram 进行审批,该技能无法用于完全自动化的无人值守场景,且审批流程存在超时限制(默认 30 秒轮询),可能导致长时间任务中断。1 MiB 的响应大小限制对于大型文件导出或批量数据查询可能构成瓶颈。此外,当前仅支持三家主流云服务商,对于需要访问其他特定 API 的用户而言扩展性有限。Git 推送操作的单次使用限制也可能在复杂发布流程中带来不便。

适合的目标群体包括:注重数据主权和隐私保护的个人用户;需要在合规环境下操作企业数据的知识工作者;以及无法长期存储本地 OAuth 凭证的临时计算环境用户。特别适合那些希望利用 AI 自动化处理 Google Workspace 文档、GitHub 仓库管理或 iCloud 日历,但又不愿将完整账户权限授予 AI 的场景。

使用风险方面,首先是服务可用性依赖——作为第三方托管服务(permissions-broker.steer.fun),其稳定性直接影响功能可用,建议关键业务场景制定降级方案。其次是密钥管理责任——虽然 Broker 提供了安全的代理层,但 PB_API_KEY 本身的管理仍完全依赖用户,一旦泄露,攻击者可在用户不知情的情况下发起待审批请求(尽管仍需用户点击批准)。最后是数据过境风险——所有请求流量均经过 Broker 服务器中转,虽然采用端到端加密,但敏感数据仍流经第三方基础设施,对极高安全要求的场景需谨慎评估。

安全解读

核心用法

Permissions Broker 是一种用户控制的代理机制,用于在 AI 助手无法直接访问本地凭据时,安全地调用外部 API(Google Drive、GitHub、iCloud 日历等)。

工作流程
1. AI 创建代理请求(指定上游 URL、方法、参数)

2. 用户在 Telegram 收到审批通知,手动批准或拒绝

3. AI 轮询状态,获批后立即执行并返回结果

关键特点

  • 零本地凭据:用户通过 Telegram 机器人 /key 获取 API Key,可授权 AI 安全存储或每次会话临时使用
  • 单次执行:每个请求只能执行一次,防止重放攻击
  • 透明可控:用户实时可见完整的请求详情(URL、方法、用途说明)

显著优点

  • 安全性高:纯文档型 Skill(S+ 评级),无实际可执行代码;所有敏感操作需用户显式审批
  • 隐私友好:支持用户显式同意 API Key 的跨会话存储,默认不持久化
  • 生态兼容:已支持 Google(Drive/Docs/Sheets)、GitHub、iCloud CalDAV,Provider 持续扩展
  • Git 原生支持:独创 Smart HTTP 代理模式,支持 clone/fetch/push 等 Git 操作的安全代理

潜在局限

  • 实时性受限:依赖用户 Telegram 响应,默认轮询 30 秒超时
  • Provider 白名单:未支持的第三方服务需额外开发
  • 响应大小限制:上游响应硬限制 1 MiB,大数据导出需分片
  • 单次执行约束:执行后不可复用,失败需重建请求

适合人群

  • 重视数据主权、希望逐请求审批外部访问的用户
  • 本地无法配置 OAuth 凭据,但需 AI 协助处理云端文档/代码/日历的场景
  • 企业/团队环境,需要集中审计外部 API 调用的场景

常规风险

| 风险类型 | 说明 | 缓解措施 |
|---------|------|---------|
| API Key 泄露 | 用户不当存储或 AI 记录到日志 | 文档明确禁止硬编码,提供环境变量指引 |
| 审批疲劳 | 频繁请求导致用户盲目批准 | 建议合并请求、使用幂等键避免重复创建 |
| 钓鱼风险 | 恶意 Skill 伪造 Broker 端点 | 验证 `permissions-broker.steer.fun` 域名 |
| 会话劫持 | 中间人截获临时远程 URL | 全链路 TLS 1.2+,URL 含短期令牌 |

合规认证

  • 来源可信度:T2(openclaw 组织维护)
  • 安全评级:S+(CLS-Certify 98/100)
  • 隐私合规:GDPR 数据最小化、用户知情同意全部通过

permissions-broker 内容

references文件夹
手动下载zip · 11.8 kB
api_reference.mdtext/markdown
请选择文件