Claw 权限防火墙

为智能体/技能操作提供运行时最小权限防火墙。它评估请求的操作并返回以下结果之一：

• ALLOW（可安全执行）
• DENY（被策略阻止）
• NEED_CONFIRMATION（存在风险；需要明确确认）

同时，它还会返回一个经过脱敏处理的 sanitizedAction（隐藏了机密信息）以及一个结构化的 audit 审计记录。

注意：这不是一个网关加固工具。它通过在运行时强制执行每个操作的策略，来补充网关安全扫描器的功能。

防护范围

• 向未知域泄露数据
• 提示注入“发送机密信息”的尝试（机密检测与脱敏）
• 读取敏感的本地文件（如 ~/.ssh、~/.aws、.env 等）
• 不安全的执行模式（如 rm -rf、curl | sh 等）

输入

提供一个待评估的操作对象：

{
  "traceId": "可选-uuid",
  "caller": { "skillName": "技能名称", "skillVersion": "1.2.0" },
  "action": {
    "type": "http_request | file_read | file_write | exec",
    "method": "GET|POST|PUT|DELETE",
    "url": "https://api.github.com/...",
    "headers": { "authorization": "Bearer ..." },
    "body": "...",
    "path": "./reports/out.json",
    "command": "rm -rf /"
  },
  "context": {
    "workspaceRoot": "/workspace",
    "mode": "strict | balanced | permissive",
    "confirmed": false
  }
}

输出

{
  "decision": "ALLOW | DENY | NEED_CONFIRMATION",
  "riskScore": 0.42,
  "reasons": [{"ruleId":"规则ID","message":"说明信息"}],
  "sanitizedAction": { "...": "..." },
  "confirmation": { "required": true, "prompt": "确认提示信息" },
  "audit": { "traceId":"跟踪ID", "policyVersion":"策略版本", "actionFingerprint":"操作指纹" }
}

默认策略行为 (v1)

• 默认禁用执行（exec）操作
• HTTP 请求要求使用 TLS
• 拒绝列表会阻止常见的数据泄露目标主机（如 pastebins、原始脚本托管站点）
• 文件访问被限制在 workspaceRoot 工作空间根目录内
• 始终对 Authorization、Cookie、X-API-Key 及常见令牌模式进行脱敏处理

推荐使用模式

1) 您的技能创建一个操作对象。
2) 调用此技能来评估该操作。
3) 如果结果为 ALLOW → 执行经过脱敏处理的操作（sanitizedAction）。
4) 如果结果为 NEED_CONFIRMATION → 询问用户，并在 context.confirmed=true 的条件下重新运行评估。
5) 如果结果为 DENY → 停止操作并显示原因。

文件

• policy.yaml 包含策略配置（可根据您的环境进行编辑）。