运行时权限防火墙

技能简介

Claw Permission Firewall 是一个运行时最小权限防火墙，用于评估代理或技能发起的各类动作请求，根据预设策略返回允许、拒绝或需确认三种决策结果，同时提供脱敏后的动作对象和结构化审计记录。

能做什么

• 拦截向未知域名的数据外泄行为
• 检测并阻断提示词注入导致的密钥泄露尝试
• 阻止读取本地敏感文件（SSH密钥、AWS凭证、环境变量等）
• 识别危险执行模式（强制删除、管道执行远程脚本等）
• 自动脱敏HTTP头中的认证信息与令牌

使用说明

安装指令：

# 从 OpenClaw 技能仓库安装
claw skill install bharathjanumpally/claw-permission-firewall

使用步骤：

1. 构造待评估的动作对象，包含动作类型、目标地址、请求头、命令等信息
2. 调用本技能传入动作对象及上下文（工作目录、运行模式、确认状态）
3. 解析返回的决策结果：ALLOW 直接执行脱敏后的动作；NEED_CONFIRMATION 需用户明确确认后重试；DENY 终止操作并展示原因
4. 查看审计记录进行合规追溯

策略配置：编辑 policy.yaml 文件适配具体环境需求，默认策略禁止执行命令、要求HTTPS、限制文件访问范围至工作目录。

输入与输出

见下方输入与输出表格。

风险提示

• 本技能为运行时策略补充，不可替代网关层安全加固
• 严格模式可能误拦合法操作，建议生产环境先用平衡模式观察
• 自定义策略文件需版本管理，避免配置漂移导致意外放行
• 审计日志仅记录指纹摘要，完整内容需外部存储对接

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/bharathjanumpally/claw-permission-firewall/SKILL.md
来源类型：GitHub 开源仓库