skills/globalcaos/shell-security-ultimate

shell-security-ultimate

🛡️ AI命令执行的五级风控中枢

下载技能Zip包

11
🥥11总安装量 4评分人数 5
100% 的用户推荐

OpenClaw官方安全增强技能,通过五级风险分类和彩色编码审计日志,为AI Agent的Shell命令执行提供透明化管控与危险操作拦截能力。

A

基本安全,请在特定环境下使用

  • 来自可信来源(Github / Microsoft / 官方仓库)
  • ✅ 代码完全开源透明,无任何网络连接、数据上传或隐蔽通信行为
  • ✅ 零第三方依赖,仅使用 Python 标准库和系统原生工具,供应链攻击面极小
  • ⚠️ patch-openclaw.sh 脚本会修改外部系统文件(OpenClaw 源代码),虽自动备份但存在操作风险
  • ⚠️ 当前版本依赖 Agent 自觉遵守协议,真正的强制拦截需等待官方插件支持
  • ✅ 作者身份公开(Oscar Serra/globalcaos),通过 OpenClaw 官方渠道发布,具备完整版本历史
了解 BSS 安全性认证标准 >zip · 7.1 kB

使用说明

核心用法

Shell Security Ultimate 是一款专为 AI Agent 设计的命令执行安全管控工具。其核心工作流程分为三个层次:首先,风险分类,将每条待执行的 Shell 命令按照预设的五级标准(SAFE/LOW/MEDIUM/HIGH/CRITICAL)进行自动归类;其次,可视化呈现,通过 cmd_display.py 脚本生成带颜色编码(🟢🔵🟡🟠🔴)的执行报告,包含命令内容、执行目的和输出摘要;最后,分级管控,SAFE 和 LOW 级别可自动执行,MEDIUM 需记录审计,HIGH 仅展示不执行,CRITICAL 则完全禁止并要求人工确认。

用户可通过命令行直接调用格式化脚本::python3 scripts/cmd_display.py <level> "<command>" "<purpose>" "$(<command>)"。对于 OpenClaw 用户,还可选装 patch-openclaw.sh 修补脚本,在系统层面植入 before_tool_call 钩子,实现真正的执行前拦截(当前版本为可选功能,需手动启用)。

显著优点

防御深度设计:该技能采用"提示+代码"的双重防护策略。SKILL.md 中的协议指南属于提示层(Prompted),依赖 Agent 自觉遵守;而 Python 脚本和可选的 OpenClaw 插件则属于代码层(Coded),提供不可绕过的硬性约束。这种分层设计符合安全领域的"纵深防御"原则。

零依赖架构cmd_display.py 仅依赖 Python 标准库(sys/re),无需安装任何第三方包,彻底规避了供应链攻击风险。补丁脚本也仅使用系统原生工具(sed/grep/cp),在最小化攻击面的同时保证了跨平台兼容性。

审计可追溯:所有命令执行均附带目的说明(Purpose)和结构化输出,便于后续安全审计。彩色编码和 Emoji 标识大幅提升了可读性,使高风险操作在视觉上即刻可辨。

渐进式部署:当前版本已提供完整的分类指南和显示工具,用户可立即投入使用;未来的 OpenClaw 插件将实现全自动拦截,用户可按需升级,无需重构现有工作流。

潜在缺点与局限性

执行依赖自觉性:在插件尚未发布前,该技能本质上是"建议性"而非"强制性"的。Agent 可能因上下文遗忘或提示注入攻击而绕过 cmd_display.py 包装器,直接执行原始命令。作者明确承认当前状态为"Mixed approach",真正的硬拦截需等待 before_tool_call 钩子支持。

分类规则僵化:预设的五级分类基于命令关键词匹配(如 rm -rf 自动标记为 CRITICAL),但无法覆盖复杂场景。例如,,git push 到公开仓库与推送到生产环境分支风险迥异,却被统一归类为 MEDIUM;某些看似无害的命令(如 curl | bash)可能因管道而隐含高危操作,但难以被静态规则捕获。

补丁脚本的副作用patch-openclaw.sh 会直接修改 OpenClaw 的 TypeScript 源代码(pi-tool-definition-adapter.ts),尽管有自动备份机制,但仍存在以下风险:目标文件路径依赖环境变量或硬编码默认值;sed 文本替换在复杂代码结构中可能产生意外结果;重建过程(pnpm/npm build)可能因环境差异失败。

输出截断问题summarize_output()() 函数将多行输出强制压缩为单行摘要,这在调试场景下可能导致关键信息丢失,用户需权衡安全性与可观测性。

适合的目标群体

AI Agent 开发者与运维团队:需要将 LLM 集成到自动化工作流中,但又担心"幻觉"导致破坏性操作的技术团队。该技能提供了可落地的安全基线。

金融/医疗等合规敏感行业:对操作审计有严格要求的领域,彩色分级和目的说明可直接用于合规报告生成。

OpenClaw 生态用户:已采用 OpenClaw 作为 Agent 框架的开发者,可通过可选补丁获得更深度的系统集成。

安全意识教育场景:五级分类体系本身可作为培训材料,帮助团队建立命令风险认知框架。

使用风险

性能开销:每次命令执行需额外调用 Python 进程进行格式化,在高频自动化场景(如每秒数十次命令)下可能产生可感知的延迟。

依赖项风险:补丁脚本依赖 Node.js 生态(pnpm/npm)进行重建,若构建环境配置不当可能导致 OpenClaw 实例损坏。建议在生产环境部署前于隔离环境充分测试。

版本兼容性:OpenClaw 的 pi-tool-definition-adapter.ts 文件结构可能随版本更新变化,导致补丁失效或产生冲突。当前版本(1.0.2)的补丁逻辑基于特定代码模式,未来需持续维护。

误报与漏报:过于严格的分类可能阻碍正常工作效率(如将必要的 sudo 操作标记为 HIGH 导致频繁人工介入);反之,分类规则更新不及时可能导致新型攻击向量被低估。

devopsautomationsecuritybackenddevelopment-engineeringtesting

shell-security-ultimate 内容

文件夹图标scripts文件夹
手动下载zip · 7.1 kB
cmd_display.pytext/plain
请选择文件