moltguard

核心用法

MoltGuard 是 OpenClaw 生态的安全插件，提供双重防护机制：

1. 本地提示词净化网关 —— 在数据发往 LLM 前本地脱敏敏感信息（银行卡、API 密钥、邮箱等），通过占位符替换实现"数据可用不可见"，LLM 返回后再还原真实值执行本地操作。

2. 提示词注入检测 —— 拦截外部内容（邮件、网页、文档）中的隐藏恶意指令，通过调用 api.moltguard.com 分析净化后的内容结构，识别注入攻击并阻断。

安装方式支持 npm 包安装或源码审计后本地安装，配置灵活：可启用 gateway-only 模式完全离线运行，或全功能模式启用云端检测。

显著优点

• 完全开源可审计：约 1,800 行 TypeScript 源码无混淆，关键文件（sanitizer.ts、runner.ts、store.ts）明确标识，用户可自行验证网络调用与文件操作
• 隐私优先设计：敏感数据本地脱敏后才外发，PII 永不离开设备；支持自托管 API 端点
• 零配置上手：自动注册免费 API 密钥，无需邮箱或手动申请
• 多协议兼容：网关支持 Anthropic、OpenAI、Gemini 等主流 LLM 协议，透明代理无需修改业务代码
• 透明度高：详细文档说明每行网络调用、每个文件创建路径，提供完整验证清单

潜在缺点与局限性

• 强制外部依赖：注入检测功能必须连接 api.moltguard.com，无法完全离线使用全功能
• 数据外泄风险：即使脱敏，内容结构和提示词模式仍会发送至第三方服务器，极端隐私场景不适用
• API 可用性绑定：检测服务依赖 MoltGuard 服务器稳定性，网络中断时可能超时或降级
• 审计门槛：虽宣称可审计，但普通用户缺乏动力和能力审查 1,800 行代码，信任仍部分依赖开发者声誉
• 占位符还原风险：网关模式下的敏感数据还原依赖本地状态，进程异常可能导致数据不一致

适合的目标群体

• AI Agent 开发者：需要为自动化工作流添加安全护栏，防止外部内容污染指令链
• 企业合规团队：处理含 PII 的业务数据时需满足"数据最小化"原则，本地脱敏符合 GDPR 等法规要求
• 安全研究人员：需要可审计、可自托管的 LLM 安全工具进行攻防研究
• 对隐私敏感的个人用户：愿意牺牲部分便利性换取数据控制权，能接受技术配置成本

使用风险

• 网络层风险：默认配置下存在不可验证的服务器端数据处理，隐私政策承诺不等于技术保证
• 配置误用风险：用户可能未意识到 enabled: true 即开启外发，需在安装前主动调整为 gateway-only 模式
• 供应链风险：npm 包与 GitHub 源码理论上可分叉，需用户执行 npm pack 比对验证
• 性能开销：每次 LLM 调用增加本地脱敏+网络检测延迟，高并发场景可能成为瓶颈
• 日志累积：JSONL 日志文件持续追加，长期运行需手动清理避免磁盘占满