Claw 权限防火墙：AI 智能体安全与策略执行

AI智能体脚本智能办公脚本自动化游戏脚本浏览器自动化脚本服务器脚本

Claw 权限防火墙：AI 智能体安全与策略执行 - Openclaw Skills

作者：互联网

2026-03-25

AI快讯

什么是 Claw 权限防火墙？

Claw 权限防火墙是自主智能体关键的安全层，为请求的操作提供运行时评估。它基于最小权限模型运行，分析每一个意图（如读取文件、HTTP 请求或 Shell 命令），以确定执行是否安全。作为开发者使用 Openclaw Skills 构建应用时的核心组件，它充当看门人的角色，减轻与提示词注入和未经授权数据访问相关的风险。

除了简单的拦截，该技能还提供智能调解。它可以在执行操作前脱敏敏感信息（如 API 密钥或 Cookie），并能为高风险操作触发人工介入确认。通过将其集成到您的智能体工作流中，您可以确保 Openclaw Skills 始终符合本地安全策略，同时不牺牲 AI 的自主性。

下载入口:https://github.com/openclaw/skills/tree/main/skills/bharathjanumpally/claw-permission-firewall

安装与下载

1. ClawHub CLI

从源直接安装技能的最快方式。

npx clawhub@latest install claw-permission-firewall

2. 手动安装

将技能文件夹复制到以下位置之一

全局模式 ~/.openclaw/skills/ 工作区 /skills/

优先级：工作区 > 本地 > 内置

3. 提示词安装

将此提示词复制到 OpenClaw 即可自动安装。

请帮我使用 Clawhub 安装 claw-permission-firewall。如果尚未安装 Clawhub，请先安装（npm i -g clawhub）。

Claw 权限防火墙应用场景

通过拦截发送到不可信或非 TLS 域名的传出 HTTP 请求，防止数据泄露。
保护敏感的本地文件（如 SSH 密钥、AWS 凭据和 .env 文件）免受智能体访问。
减轻尝试诱骗智能体执行破坏性 Shell 命令（如 rm -rf）的提示词注入攻击。
为需要在执行前获得明确用户批准的风险操作实现人工介入工作流。

Claw 权限防火墙工作原理

宿主应用程序或主智能体生成一个代表预期操作的操作对象。
该操作对象被传递给 Claw 权限防火墙进行安全分析。
防火墙根据 policy.yaml 中定义的规则评估该操作并计算风险评分。
技能返回一个决策：ALLOW（允许）、DENY（拒绝）或 NEED_CONFIRMATION（需要确认），以及操作的脱敏版本。
如果决策是 ALLOW，系统执行脱敏后的操作；如果是 NEED_CONFIRMATION，系统暂停并等待用户输入。

Claw 权限防火墙配置指南

开始之前，请确保您已定义好策略配置。防火墙依赖本地配置文件来管理规则集。

# 进入您的技能目录
cd skills/claw-permission-firewall

# 编辑策略文件以匹配您的安全需求
nano policy.yaml

在触发任何外部副作用之前，通过调用评估端点将防火墙集成到智能体的决策循环中。

Claw 权限防火墙数据架构与分类体系

该技能为输入和输出使用结构化的 JSON 模式，以确保在 Openclaw Skills 中的兼容性。

属性	类型	描述
decision	字符串	裁定结果：ALLOW、DENY 或 NEED_CONFIRMATION。
riskScore	数字	代表操作计算出的威胁级别的浮点数。
sanitizedAction	对象	原始操作负载，已脱敏机密信息和请求头。
reasons	数组	触发该决策的特定策略规则列表。
audit	对象	包含用于合规性跟踪的 traceId 和 policyVersion 的元数据。

Claw Permission Firewall

Runtime least-privilege firewall for agent/skill actions. It evaluates a requested action and returns one of:

ALLOW (safe to execute)
DENY (blocked by policy)
NEED_CONFIRMATION (risky; require explicit confirmation)

It also returns a sanitizedAction with secrets redacted, plus a structured audit record.

This is not a gateway hardening tool. It complements gateway security scanners by enforcing per-action policy at runtime.

What it protects against

Exfiltration to unknown domains
Prompt-injection “send secrets” attempts (secret detection + redaction)
Reading sensitive local files (~/.ssh, ~/.aws, .env, etc.)
Unsafe execution patterns (rm -rf, curl | sh, etc.)

Inputs

Provide an action object to evaluate:

{
  "traceId": "optional-uuid",
  "caller": { "skillName": "SomeSkill", "skillVersion": "1.2.0" },
  "action": {
    "type": "http_request | file_read | file_write | exec",
    "method": "GET|POST|PUT|DELETE",
    "url": "https://api.github.com/...",
    "headers": { "authorization": "Bearer ..." },
    "body": "...",
    "path": "./reports/out.json",
    "command": "rm -rf /"
  },
  "context": {
    "workspaceRoot": "/workspace",
    "mode": "strict | balanced | permissive",
    "confirmed": false
  }
}

Outputs

{
  "decision": "ALLOW | DENY | NEED_CONFIRMATION",
  "riskScore": 0.42,
  "reasons": [{"ruleId":"...","message":"..."}],
  "sanitizedAction": { "...": "..." },
  "confirmation": { "required": true, "prompt": "..." },
  "audit": { "traceId":"...", "policyVersion":"...", "actionFingerprint":"..." }
}

Default policy behavior (v1)

Exec disabled by default
HTTP requires TLS
Denylist blocks common exfil hosts (pastebins, raw script hosts)
File access is jailed to workspaceRoot
Always redacts Authorization, Cookie, X-API-Key, and common token patterns