Claw 权限防火墙

用于代理/技能操作的最小权限运行时防火墙。它会评估请求的操作，并返回以下之一：

• ALLOW（可安全执行）
• DENY（被策略阻止）
• NEED_CONFIRMATION（存在风险；需明确确认）

同时返回一个已净化的操作对象（敏感信息已隐藏），以及结构化的审计记录。

本工具并非网关加固工具。它通过在运行时对每个操作强制执行策略，与网关安全扫描工具形成互补。

保护范围

• 向未知域名的数据外泄
• 提示注入类“发送密钥”攻击（支持密钥检测与隐藏）
• 读取本地敏感文件（如 ~/.ssh、~/.aws、.env 等）
• 不安全的执行模式（如 rm -rf、curl | sh 等）

输入

提供一个操作对象以供评估：

{
  "traceId": "可选的 UUID",
  "caller": { "skillName": "SomeSkill", "skillVersion": "1.2.0" },
  "action": {
    "type": "http_request | file_read | file_write | exec",
    "method": "GET|POST|PUT|DELETE",
    "url": "https://api.github.com/...",
    "headers": { "authorization": "Bearer ..." },
    "body": "...",
    "path": "./reports/out.json",
    "command": "rm -rf /"
  },
  "context": {
    "workspaceRoot": "/workspace",
    "mode": "strict | balanced | permissive",
    "confirmed": false
  }
}

输出

{
  "decision": "ALLOW | DENY | NEED_CONFIRMATION",
  "riskScore": 0.42,
  "reasons": [{"ruleId":"...","message":"..."}],
  "sanitizedAction": { "...": "..." },
  "confirmation": { "required": true, "prompt": "..." },
  "audit": { "traceId":"...", "policyVersion":"...", "actionFingerprint":"..." }
}

默认策略行为（v1）

• 执行操作（exec）默认禁用
• HTTP 请求必须使用 TLS
• 拒绝列表阻止常见数据外泄主机（如 pastebins、脚本托管站点）
• 文件访问被限制在 workspaceRoot 路径内
• 始终隐藏 Authorization、Cookie、X-API-Key 及常见令牌模式

推荐使用流程

1）你的技能创建一个操作对象。

2）调用此技能进行评估。

3）若返回 ALLOW → 执行已净化的操作。

4）若返回 NEED_CONFIRMATION → 向用户询问确认，并以 context.confirmed=true 重新调用。

5）若返回 DENY → 停止执行，并展示拒绝原因。

文件

• policy.yaml 包含策略内容（可根据环境修改）