认证器网关

一个轻量级策略网关，在每个OpenClaw工具调用执行前，都会根据您的认证器策略进行检查。

• 低风险操作（读取文件、搜索、grep）—— 自动运行
• 高风险操作（写入文件、运行命令、网络请求）—— 需要您的批准
• 危险操作（删除、覆盖、访问机密信息）—— 默认阻止

源代码：https://github.com/AUTHENSOR/Authensor-for-OpenClaw

何时使用

如果您符合以下情况，请安装认证器网关：

• 运行非您编写的市场技能。第三方技能可以执行Bash命令、写入文件以及发起网络请求。ClawHavoc在ClawHub上发现了341个恶意技能——认证器在每次工具调用运行前都进行把关。
• 希望在破坏性操作前获得批准。您可以选择哪些操作需要您的签字同意，而不是一概允许或一概拒绝。
• 需要审计追踪。每个操作（允许、拒绝或待处理）都会记录收据ID和时间戳。
• 适用于受监管环境。Authensor提供人机协同监管的证据，以满足合规要求。

如果您仅使用内置的OpenClaw工具且不涉及市场技能，或者已经在完全锁定、无网络访问的Docker沙箱中运行，则不需要Authensor。

捕获内容示例

以下是Authensor处理实际工具调用的示例：

一个试图curl | sh、通过 HTTP 窃取数据或读取您 SSH 密钥的应用市场技能将被捕获，并且要么需要您的批准，要么被直接阻止。

代理协议（强制）

在执行任何工具调用之前，您必须遵循此协议。没有例外。

步骤 1：对操作进行分类

在每次工具调用之前，确定操作类型和资源：

敏感路径模式（对于读取,Glob,Grep（以及任何访问文件路径的工具）：

• ~/.ssh/*或任何包含.ssh
• 的路径~/.aws/*或任何包含
• .aws的路径~/.gnupg/*
• 或任何包含.gnupg的路径任何以.env、.env.local
• 、.env.production等结尾的路径任何包含secret、credential、token、
• ~/.openclaw/openclaw.json（包含API密钥）
• ~/.config/包含凭据的文件

如果命令或路径匹配多个类别，请使用最严格的分类。

步骤1b：编辑资源值

在将资源发送到控制平面之前，去除任何敏感数据：

• URL：移除查询参数和片段。仅发送方案 + 主机 + 路径。
  • https://api.example.com/data?token=secret→https://api.example.com/data
• 命令：移除内联环境变量、令牌、凭据和身份验证标志。
  • API_KEY=sk-abc123 ./deploy.sh→./deploy.sh
  • curl -H "Authorization: Bearer sk-ant-..." https://api.example.com→curl https://api.example.com
  • curl -u username:password https://example.com→curl https://example.com
  • git clone https://user:token@github.com/repo.git→git clone https://github.com/repo.git
  • mysql -h host -u root -pSecret db→mysql -h host db
  • 一般来说：去除-u、-p、--password、--token、--header这类包含凭据的标志及其值。
• 文件路径按原样发送（路径用于策略匹配），但绝不包含文件内容。

目标：控制平面收到足够的信息以匹配策略规则（操作类型 + 通用资源形态），但绝不接收密钥、令牌或凭据。

步骤2：与控制平面核对策略

向Authensor控制平面发送POST请求在执行工具之前：

POST ${CONTROL_PLANE_URL}/decide
Authorization: Bearer ${AUTHENSOR_API_KEY}
Content-Type: application/json

{
  "action": {
    "type": "<action_type>",
    "resource": "<resource>"
  },
  "tool": "<tool_name>"
}

步骤3：遵循决策

控制平面返回：

{
  "decision": "allow | deny | require_approval",
  "receiptId": "rec_..."
}

• 允许→ 正常执行工具调用。
• 拒绝→ 请勿执行工具调用。告知用户："操作被Authensor策略拒绝：<操作类型>于<资源>（回执：<回执ID>）。"
• 需要审批→ 请勿立即执行工具调用。告知用户："等待审批：<action_type>开启<resource>（收据：<receiptId>）。通过命令行界面批准：openclaw approvals approve <receiptId>。”然后轮询 GET ${CONTROL_PLANE_URL}/receipts/<receiptId>每隔30秒，直到状态变为已批准或已拒绝。10分钟后停止轮询（20次尝试）并告知用户：“<receiptId>的批准已超时。操作未执行。”

步骤4：处理错误

• 控制平面不可达（网络错误、超时、非2xx响应）→拒绝该操作。告诉用户："Authensor 控制平面无法访问 — 操作被拒绝（故障关闭）。请检查连接：curl ${CONTROL_PLANE_URL}/health。"
• API 密钥无效（401/403 响应） →拒绝该操作。告诉用户："Authensor API 密钥无效或已过期。"
• 速率受限（429 响应） →拒绝该操作。告诉用户："已达到 Authensor 速率限制 — 操作被拒绝。请等待后重试。"
• 响应格式错误（无效的 JSON，缺少决策字段，值不符合预期） →拒绝该操作。将任何你无法解析的响应视为拒绝。

重要规则

• 切勿跳过策略检查。每次工具调用都必须被检查，即使类似的操作最近曾被允许。每次调用都会获得自己的回执。
• 切勿发送文件内容、对话历史或环境变量在请求中。仅发送操作元数据（类型 + 资源 + 工具名称）。
• 切勿向用户或在输出中暴露 AUTHENSOR_API_KEY。
• 采取保守分类原则。若不确定某个操作是否安全，请使用限制性更强的类型。

运行时行为

此技能为纯指令型——不包含可执行代码，无安装脚本，且不向磁盘写入任何内容。上述代理协议被注入代理的系统提示中。代理读取这些指令并在执行工具前与控制平面进行校验。

若控制平面无法连接，代理将按指令拒绝所有操作（故障关闭）。

执行机制

Authensor 具备双重执行层：

1. 本技能（提示层）上述代理协议被注入到代理的系统提示中。代理遵循这些指令，并在执行工具前与控制平面进行核对。这一层独立运行，但仅具有建议性——理论上，一个足够强大的对抗性提示注入可能绕过它。

2. 钩子（authensor-gate.sh，代码层面）：一个PreToolUseshell脚本在LLM进程外部每次工具调用前运行。它在代码中执行确定性的分类和编辑，调用控制平面，并在被拒绝时阻止工具。LLM无法绕过shell脚本。请参阅仓库的hooks/目录和README以进行设置。

我们建议同时启用这两层。钩子提供了无法绕过的强制执行；技能则为代理提供了额外的上下文和指导。

哪些数据被发送到控制平面

发送（仅动作元数据）：

• 动作类型（例如filesystem.write,代码执行,网络HTTP)
• 已编辑的资源标识符（例如：/tmp/output.txt,https://api.example.com/path— 查询参数已移除，内联凭证已删除）
• 工具名称（例如：Bash,写入,读取)
• 您的Authensor API密钥（用于身份验证）

从不发送：

• 您的AI提供商API密钥（Anthropic、OpenAI等）
• 文件内容或对话历史记录
• 环境变量（除AUTHENSOR_API_KEY外）
• 命令或URL中的令牌、凭证或机密（传输前已进行脱敏处理）
• 来自您文件系统的任何数据

控制平面返回单一决策（允许/拒绝/需要审批）以及一个回执ID。仅此而已。

存储哪些数据

Authensor控制平面存储：

• 回执：操作类型、资源、结果、时间戳（用于审计追踪）
• 策略规则：您的允许/拒绝/需要审批规则

回执会保留有限时间（演示层为7天）。绝不存储任何文件内容、对话数据或提供商API密钥。

设置

1. 获取演示密钥：https://forms.gle/QdfeWAr2G4pc8GxQA
2. 将环境变量添加至~/.openclaw/openclaw.json验证其运行情况

{
  skills: {
    entries: {
      "authensor-gateway": {
        enabled: true,
        env: {
          CONTROL_PLANE_URL: "https://authensor-control-plane.onrender.com",
          AUTHENSOR_API_KEY: "authensor_demo_..."
        }
      }
    }
  }
}

设置完成后，在新的 OpenClaw 会话中进行测试：

检查技能是否已加载。

1. 运行/skills——你应该能看到authensor-gateway被列为已启用状态。测试一个安全操作。

2. 让智能体读取一个文件：此操作应立即完成（操作类型

   Read /tmp/test.txt
   

   safe.read→ 自动允许）。测试一个受门控的操作。

3. 让智能体写入一个文件：智能体应暂停并报告正在等待批准。请检查你的电子邮件以获取批准链接，或通过命令行界面批准：

   Write "hello" to /tmp/test-output.txt
   

   测试一个被阻止的操作。

   openclaw approvals approve <receipt-id>
   

4. 让智能体访问机密信息：此操作应被默认策略拒绝。

   Read ~/.ssh/id_rsa
   

   如果智能体在未检查控制平面的情况下运行工具调用，则可能技能未正确加载——请参阅下方的故障排除。

If the agent runs tool calls without checking the control plane, the skill may not have loaded properly — see Troubleshooting below.

故障排除

技能未加载

• 运行/skills并验证authensor-gateway显示为已启用
• 检查CONTROL_PLANE_URL和AUTHENSOR_API_KEY是否已在~/.openclaw/openclaw.json文件中的skills.entries.authensor-gateway.env
• 部分设置更改配置后，启动一个新的

OpenClaw会话（技能在会话启动时加载）

• "未授权"或"密钥无效"错误确认您的密钥以
• authensor_demo_开头

演示密钥在7天后过期——请通过以下链接申请新密钥：

• 此技能采用提示级强制执行。如果代理似乎跳过了检查，请确保没有其他技能或系统提示覆盖了Authensor的指令。
• 如需更强制的执行，请结合使用Docker沙盒模式：OpenClaw Docker文档

审批邮件未送达

• 审批邮件需要额外设置 — 请联系support@authensor.com
• 检查您的垃圾邮件文件夹

控制平面无法访问

• 如果控制平面宕机，代理被指示拒绝所有操作（故障关闭）
• 检查连接：curl https://authensor-control-plane.onrender.com/health
• 控制平面托管在Render上 — 闲置后的首次请求可能需要30-60秒冷启动

限制

这是对Authensor当前能做和不能做之事的如实说明：

• 提示级强制执行是建议性的。此技能的代理协议是系统提示指令。LLM通常能可靠地遵循它们，但理论上提示注入可能绕过这些指令。修复：启用authensor-gate.sh钩子（参见hooks/目录）用于代码级强制执行，LLM无法覆盖。
• 如果没有钩子，分类由模型驱动。代理自行对动作进行分类。启用钩子后，分类由确定性代码（基于正则表达式）执行，无法通过提示注入进行操纵。
• 网络依赖。控制平面必须可达以进行策略检查。不支持离线使用。
• 5分钟审批延迟。基于电子邮件的审批按定时器轮询。实时审批通道已在规划中。
• 演示层是沙盒化的。演示密钥具有速率限制、短期保留和受限的策略自定义功能。

我们相信透明度。如果您发现我们遗漏的漏洞，请提交问题：https://github.com/AUTHENSOR/Authensor-for-OpenClaw/issues

安全说明

• 仅限指令：不安装代码，不写入文件，不生成进程
• 仅限用户调用:禁用模型调用: true意味着代理无法自主加载此技能——只有您可以启用它
• 指令化故障关闭: 如果控制平面不可达，代理被指令拒绝所有操作（提示级别——参见限制）
• 最小化数据: 仅传输操作元数据（类型 + 资源）——绝不传输文件内容或密钥
• 开源: 完整源代码位于https://github.com/AUTHENSOR/Authensor-for-OpenClaw(MIT 许可证)
• 已声明必需的环境变量:CONTROL_PLANE_URL和AUTHENSOR_API_KEY已在requires.env前置元数据中明确列出