clawdefender

核心用法

ClawDefender 是一套面向 AI 代理的防御性安全工具包，主要提供四大核心能力：

1. 技能安全审计（--audit）：扫描已安装的 Skill 脚本，按 CRITICAL/HIGH/WARNING 三级风险评分标记潜在威胁，支持 CI/CD 集成实现自动化安全门禁。

2. 输入清洗管道（sanitize.sh）：作为通用包装器处理任何外部输入（邮件、API 响应、Trello 卡片等），检测到注入内容时自动包裹标记并阻断执行，支持 --strict 模式用于自动化流程。

3. URL 预检（--check-url）：在发起请求前解析 URL，拦截 SSRF 攻击（如 169.254.169.254 云元数据端点）、内网地址及已知数据外泄服务（webhook.site 等）。

4. 提示注入检测（--check-prompt）：基于 90+ 正则模式识别指令覆盖攻击（ignore previous instructions）、角色扮演绕过（DAN mode）、分隔符注入（<|endoftext|>）等威胁向量。

显著优点

• 零依赖风险：仅依赖 bash/grep/sed/jq 标准系统工具，无第三方包引入供应链攻击面
• 透明可审计：纯文档描述防御逻辑，无混淆代码或预编译二进制
• 场景覆盖全：从 Skill 安装、外部输入处理到 URL 访问形成完整防护链条
• 自动化友好：退出码设计和管道支持便于集成到 Cron、CI/CD 及 Heartbeat 工作流

潜在局限

• 文档与实现分离：SKILL.md 仅描述功能，实际脚本（clawdefender.sh/sanitize.sh）需用户手动部署，版本一致性依赖人工维护
• 模式匹配局限：基于正则的检测可能产生误报（如安全文档中的示例代码），需手动配置排除规则
• 无主动防御：仅提供检测与标记能力，不自动阻断网络请求或文件系统操作，最终处置依赖调用方实现
• 更新滞后：新型注入变体（如 Unicode 同形字符、分词器级攻击）可能不在现有 90+ 模式覆盖范围内

适合群体

• 运营多 Agent 系统的平台管理员，需批量审计第三方 Skill 安全性
• 处理不可信外部数据（邮件、Webhook、用户输入）的 AI 应用开发者
• 构建企业级 AI 工作流、需满足合规审计要求的 DevSecOps 团队
• 对提示注入、SSRF 等 LLM 特有风险缺乏防护经验的中小团队

使用风险

• 性能瓶颈：大规模 Skill 仓库的全量正则扫描可能产生 I/O 延迟，建议在非高峰时段执行审计
• 依赖项可用性：目标环境若缺少 jq（如精简容器镜像），脚本将执行失败，需预装检查
• 绕过可能性： determined 攻击者可通过编码混淆（如 base64 嵌套、字符拆分）绕过静态模式匹配
• 过度信任风险：用户可能因"已安装安全工具"产生虚假安全感，忽视对实际脚本代码的独立审查