核心用法
MoltGuard 是专为 OpenClaw Agent 设计的运行时安全防护插件,由 OpenGuardrails 组织开发维护。安装方式极其简单:通过 openclaw plugins install @openguardrails/moltguard 一键安装并重启即可激活保护。
插件采用"纯文档+远程 Core"架构设计:本地仅包含 Markdown 说明文档和配置脚本,所有安全检测逻辑由远程 Core 服务执行。这种设计符合最小权限原则,避免了本地代码执行带来的攻击面扩大。
主要防护场景覆盖三大风险面:指令风险(提示词注入、恶意邮件/网页指令、未授权任务)、行为风险(危险命令执行、文件删除、高风险 API 调用)、数据风险(密钥泄露、PII 暴露、敏感数据外传至 LLM)。核心技术亮点是"意图-行为错配检测",可识别言行不一的 Agent 异常行为。
日常操作通过 /og_* 系列命令完成:状态查询、Dashboard 启动、API 配置、账户绑定等。企业用户还可通过 enterprise-enroll.mjs 脚本接入私有 Core 部署,实现数据主权控制。
显著优点
1. 架构安全先进:纯 Markdown 零本地可执行代码,攻击面最小化;远程 Core 专业安全团队维护,防护能力持续迭代
2. 即装即用:500 次/天免费额度,无需信用卡即可体验完整功能
3. 企业级扩展:支持私有 Core 部署,满足金融、医疗等强合规行业需求
4. 透明可验证:GitHub 开源,所有行为可追溯,无黑盒操作
5. 检测维度全面:覆盖提示词注入、数据外泄、命令注入、凭证盗窃等多类攻击向量
潜在缺点与局限性
1. 网络依赖性强:核心检测功能依赖远程 Core 服务,离线环境或网络隔离场景无法使用
2. 免费额度有限:500 次/天对于高频自动化场景可能不足,需付费升级($19/月起)
3. 隐私顾虑:安全检测数据需上传至 Core 服务,虽认证报告评估为 GDPR/CCPA 合规,但极度敏感场景仍需谨慎
4. 企业脚本待完善:enterprise-enroll.mjs 等脚本缺乏 TLS 证书固定指引,存在中间人攻击理论风险
5. 许可证缺失:当前未明确声明开源许可证,法律确定性不足
适合人群
- 个人开发者:使用 OpenClaw Agent 处理不可信来源内容(邮件、网页、用户输入),需要基础安全防护
- 安全敏感型企业:金融、医疗、政务等领域,需防范 AI Agent 成为数据泄露通道
- AI Agent 运营方:多 Agent 协同场景下,需统一安全策略和配额管理
- 红队/安全研究员:研究提示词注入防御技术的实践参考
常规风险
| 风险类型 | 等级 | 说明 |
|---------|------|------|
| 供应链攻击 | 低 | Core 服务被攻破可导致防护失效,但 Skill 本身无本地依赖 |
| 隐私泄露 | 低-中 | 检测数据需上传 Core,企业建议部署私有实例 |
| 误报干扰 | 中 | 过度严格的检测可能影响正常 Agent 功能,需调优 |
| 配置错误 | 低 | API Key 管理不当可导致配额盗用,需定期轮换 |