安全命令执行 · safe-exec

技能简介

SafeExec 为 OpenClaw Agent 提供安全的命令执行环境，通过自动识别危险操作模式，在命令执行前进行风险评估和人工确认，防止误操作导致的数据丢失或系统损坏。

业务背景

为自动化运维筑牢安全防线。在AI Agent执行命令前自动识别危险操作，防止误删数据、系统崩溃等人为事故，降低生产环境风险。审计日志完整留痕，满足企业合规要求，让自动化与安全性兼得。

落地案例：开发团队使用OpenClaw Agent部署服务时，若指令包含"rm -rf"等高危操作，SafeExec立即弹窗提示风险等级并要求人工确认；日常低风险命令则静默放行。所有拦截记录写入本地日志，便于事后追溯问题根源。

能做什么

• 自动检测 rm -rf、dd、fork bomb 等危险命令模式
• 按 CRITICAL/HIGH/MEDIUM/LOW 四级评估风险
• 在当前终端会话中实时推送拦截通知
• 记录完整操作审计日志便于追溯
• 支持非交互模式下的自动化工作流

使用说明

安装（一句话指令）

在 OpenClaw 对话中输入：

Help me install SafeExec skill from ClawdHub

OpenClaw 将自动完成下载、安装和配置。

手动安装（备选方案）

# 使用 ClawdHub CLI
export CLAWDHUB_REGISTRY=https://www.clawhub.ai
clawdhub install safe-exec

# 或从 GitHub 直接下载
git clone https://github.com/OTTTTTO/safe-exec.git ~/.openclaw/skills/safe-exec
chmod +x ~/.openclaw/skills/safe-exec/safe-exec*.sh

启用监控

Enable SafeExec

启用后 SafeExec 在后台透明运行。当 Agent 执行危险操作时自动拦截并弹出确认提示，例如：

Delete all files in /tmp/test
Format the USB drive

审批操作

# 批准指定请求
safe-exec-approve <request_id>

# 查看待处理请求
safe-exec-list

# 拒绝请求
safe-exec-reject <request_id>

环境变量配置

• SAFE_EXEC_DISABLE=1 — 全局禁用
• SAFE_EXEC_AUTO_CONFIRM=1 — 自动批准 LOW/MEDIUM 风险命令

输入与输出

见下方输入与输出表格。

风险提示

• CRITICAL 级别命令（如 rm -rf /）必须人工确认，不可自动放行
• 审计日志存储于本地文件系统，需定期检查磁盘空间
• 非交互模式下建议配合 SAFE_EXEC_AUTO_CONFIRM 谨慎使用
• 规则配置文件路径：~/.openclaw/safe-exec-rules.json，修改前请备份

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/ottttto/safe-exec/SKILL.md
来源类型：GitHub 仓库

常见问题

Q1：安全命令执行 适合哪些场景？
A：适合需要「SafeExec 为 OpenClaw Agent 提供安全的命令执行环」的场景，尤其是希望快速验证并落地的团队与个人。

Q2：第一次使用应该先做什么？
A：先明确目标任务，再按照页面中的“能做什么”和“使用说明”完成最小可行流程。

Q3：如何判断是否值得长期使用？
A：建议连续使用 1-2 周，对比效率、稳定性和协作成本，再决定是否纳入长期工具栈。

替代方案

• 飞书文档读写
• 浏览器自动化
• X内容发布助手

相关推荐

• 浏览器自动化测试
• 反检测浏览器会话
• K8s浏览器自动化
• 反爬虫浏览器自动化