SVG本地存储漏洞演示
SVG XSS获取l
技能简介
为AI助手设置安全暗号,在执行敏感操作前增加人工验证层。通过挑战-应答机制确认操作者身份,防止API密钥、密码等机密信息被未授权获取。
能做什么
- 敏感数据访问前的身份核验(API密钥、密码、令牌)
- 危险操作确认(删除数据库、修改重要配置)
- 异常请求拦截(偏离常规模式的可疑操作)
- 机密信息外发管控
使用说明
安装要求:需预先安装Node.js环境,并确保macOS系统可用security命令行工具。
配置步骤:
- 运行
stranger-danger setup设置密保问题与答案 - 答案经bcrypt加盐哈希后存入macOS钥匙串
- 问题文本保存在
~/.openclaw/stranger-danger.json
验证流程:
- 检测到敏感操作时,向用户提出预设的密保问题
- 调用
stranger-danger verify <answer>核验答案 - 仅当返回码为0(验证成功)时才继续执行
- 答案本身绝不记录或泄露
辅助命令:
stranger-danger test— 交互式测试验证流程stranger-danger reset— 清除已存储的凭证
输入与输出
见下方输入与输出表格。
| 项目 | 内容 |
|---|---|
| 输入 | 用户输入的安全暗号答案;待验证的敏感操作指令 |
| 输出 | 验证结果(成功/失败);操作执行许可信号 |
| 适用人群 | 使用OpenClaw且需保护敏感操作的开发者;共享AI环境的团队 |
| 不包含 | Windows/Linux系统支持;图形界面配置;多因素认证;网络同步功能 |
风险提示
- 遗忘安全暗号将导致无法执行任何受保护操作
- 仅支持macOS系统,依赖钥匙串功能
- 密保问题设计不当可能被猜测破解
- 本地配置文件权限需妥善管理
来源信息
原始链接:https://github.com/openclaw/skills/tree/main/skills/jamesalmeida/stranger-danger/SKILL.md
来源类型:GitHub仓库
数据统计
相关导航
技能安全扫描器
检测恶意代码与凭证窃
共享代理配方
分享与发现代理脚本
技能安全扫描器
ClawHub第三方
虚拟代理市场
代理服务交易与任务协
AI密钥托管服务
代理密钥加密管理工具
凭证集中管理器
OpenClaw安全
ARBITER安全通告
金融安全事件监控工具
暂无评论...