SafeExec

# SafeExec - Safe Command Execution

为 OpenClaw 智能体提供安全的命令执行功能，具备危险操作自动拦截和审批工作流。

## 功能特性

- 🔍 **自动危险模式检测** - 在执行前识别风险命令 - 🚨 **基于风险的拦截** - 多级评估 (CRITICAL/HIGH/MEDIUM/LOW) - 💬 **会内通知** - 在当前终端/会话中实时提醒 - ✅ **用户审批工作流** - 命令等待明确确认后执行 - 📊 **完整审计日志** - 所有操作的全链路追踪 - 🤖 **智能体友好** - 支持自动化工作流的非交互模式 - 🔧 **平台无关** - 独立于通信工具（飞书、Telegram 等）工作

## 快速开始

### 安装（一条命令）

**安装 SafeExec 最简单的方法：**

只需在您的 OpenClaw 聊天中输入： ``` Help me install SafeExec skill from ClawdHub ```

OpenClaw 将自动为您下载、安装并配置 SafeExec！

### 备选方案：手动安装

如果您更喜欢手动安装：

```bash # Using ClawdHub CLI export CLAWDHUB_REGISTRY=https://www.clawhub.ai clawdhub install safe-exec

# Or download directly from GitHub git clone https://github.com/OTTTTTO/safe-exec.git ~/.openclaw/skills/safe-exec chmod +x ~/.openclaw/skills/safe-exec/safe-exec*.sh ```

### 启用 SafeExec

安装完成后，只需输入： ``` Enable SafeExec ```

SafeExec 将开始自动监控所有 Shell 命令！

## 工作原理

启用后，SafeExec 会自动监控所有 Shell 命令的执行。当检测到潜在的危险命令时，它会拦截执行并通过 **会内终端通知** 请求您的批准。

**架构：** - 请求存储位置：`~/.openclaw/safe-exec/pending/` - 审计日志：`~/.openclaw/safe-exec-audit.log` - 规则配置：`~/.openclaw/safe-exec-rules.json`

## 使用方法

**启用 SafeExec：** ``` Enable SafeExec ```

``` Turn on SafeExec ```

``` Start SafeExec ```

启用后，SafeExec 会在后台透明运行。智能体可以正常执行命令，SafeExec 会自动拦截危险操作：

``` Delete all files in /tmp/test ```

``` Format the USB drive ```

SafeExec 会检测风险级别并显示会内批准提示。

## 风险级别

**CRITICAL（严重）**：系统破坏性命令 (rm -rf /, dd, mkfs 等) **HIGH（高）**：用户数据删除或重大系统更改 **MEDIUM（中）**：服务操作或配置更改 **LOW（低）**：读取操作和安全文件操作

## 审批工作流

1. 智能体执行命令 2. SafeExec 分析风险级别 3. 在您的终端中显示 **会内通知** 4. 通过以下方式批准或拒绝： - 终端：`safe-exec-approve <request_id>` - 列出待处理：`safe-exec-list` - 拒绝：`safe-exec-reject <request_id>` 5. 命令执行或被取消

**示例通知：** ``` 🚨 **Dangerous Operation Detected - Command Intercepted**

**Risk Level:** CRITICAL **Command:** `rm -rf /tmp/test` **Reason:** Recursive deletion with force flag

**Request ID:** `req_1769938492_9730`

ℹ️ This command requires user approval to execute.

**Approval Methods:** 1. In terminal: `safe-exec-approve req_1769938492_9730` 2. Or: `safe-exec-list` to view all pending requests

**Rejection Method:** `safe-exec-reject req_1769938492_9730` ```

## 配置

用于自定义的环境变量：

- `SAFE_EXEC_DISABLE` - 设置为 '1' 以全局禁用 safe-exec - `OPENCLAW_AGENT_CALL` - 在智能体模式（非交互式）下自动启用 - `SAFE_EXEC_AUTO_CONFIRM` - 自动批准 LOW/MEDIUM 风险命令

## 示例

**启用 SafeExec：** ``` Enable SafeExec ```

**启用后，智能体正常工作：** ``` Delete old log files from /var/log ```

SafeExec 自动检测这是 HIGH 风险（删除操作）并显示会内批准提示。

**安全操作无中断通过：** ``` List files in /home/user/documents ```

这是 LOW 风险，无需批准即可执行。

## 全局控制

**检查状态：** ``` safe-exec-list ```

**查看审计日志：** ```bash cat ~/.openclaw/safe-exec-audit.log ```

**全局禁用 SafeExec：** ``` Disable SafeExec ```

或设置环境变量： ```bash export SAFE_EXEC_DISABLE=1 ```

## 问题反馈

**发现错误？有功能建议？**

请在以下地址报告问题： 🔗 **https://github.com/OTTTTTO/safe-exec/issues**

我们欢迎社区反馈、错误报告和功能建议！

报告问题时，请包含： - SafeExec 版本（运行：`grep "VERSION" ~/.openclaw/skills/safe-exec/safe-exec.sh`） - OpenClaw 版本 - 重现步骤 - 预期行为与实际行为 - 来自 `~/.openclaw/safe-exec-audit.log` 的相关日志

## 审计日志

所有命令执行都会记录以下内容： - 时间戳 - 执行的命令 - 风险级别 - 批准状态 - 执行结果 - 用于追踪的请求 ID

日志位置：`~/.openclaw/safe-exec-audit.log`

## 集成

SafeExec 与 OpenClaw 智能体无缝集成。启用后，它透明运行，无需更改智能体行为或命令结构。审批工作流完全本地化，独立于任何外部通信平台。

## 平台独立性

SafeExec 在 **会话级别** 运行，适用于您的 OpenClaw 实例支持的任何通信渠道（网页聊天、飞书、Telegram、Discord 等）。审批工作流通过您的终端进行，确保无论您如何与智能体交互，都能保持控制权。

## 支持与社区

- **GitHub 仓库：** https://github.com/OTTTTTO/safe-exec - **问题跟踪：** https://github.com/OTTTTTO/safe-exec/issues - **文档：** [README.md](https://github.com/OTTTTTO/safe-exec/blob/master/README.md) - **ClawdHub：** https://www.clawhub.ai/skills/safe-exec

## 许可证

MIT 许可证 - 详情请参见 [LICENSE](https://github.com/OTTTTTO/safe-exec/blob/master/LICENSE)。