OpenClaw 清理 Skill 实战：基于 Rust+Tauri 构建安全沙箱

2. 统一 API 设计（防后门关键）

Skill 只能调用以下高级指令，无法直接接触文件句柄或任意路径：

// Skill 只能调用这个枚举，不能直接传任意路径字符串
pub enum CleanerAction {
    Scan(ScanTarget), // 扫描：浏览器缓存、系统日志等
    Delete(Vec<PathBuf>), // 删除：必须是 Scan 返回的具体文件列表
    GetSystemInfo,
}

// 扫描目标必须是预定义的枚举，防止 Skill 扫描敏感目录
pub enum ScanTarget {
    UserCache,
    BrowserCache,
    SystemLogs,
    RecycleBin,
}

三、实战开发：Rust + Tauri 实现安全清理核心

3.1 环境初始化

# 使用 Tauri CLI 创建项目 (选择 React + TypeScript 模板)
cargo create-tauri-app openclaw-cleaner-skill
cd openclaw-cleaner-skill

3.2 Core 层：实现'带锁的'文件操作

在 src-tauri/src/main.rs 中，我们实现核心逻辑。重点在于路径解析和安全校验。

步骤 1：跨平台路径映射（防越界）

创建一个 src-tauri/src/paths.rs 文件，将 Skill 的抽象请求映射到真实的系统路径，并进行白名单校验。

use dirs_next::{home_dir, cache_dir};
use std::path::PathBuf;

// 获取用户主目录
fn get_home() -> Option<PathBuf> { home_dir() }

// 核心：将 Skill 的抽象目标映射到真实路径
pub fn resolve_target_path(target: &str) -> Result<PathBuf, String> {
    let home = get_home().ok_or("无法获取用户目录")?;

    // 白名单校验：只允许访问缓存和临时目录
    let allowed_prefixes = vec![
        cache_dir().unwrap(),
        std::env::var("TEMP").map(PathBuf::from).unwrap_or_default(),
    ];

    match target {
        "browser_cache" => {
            // Windows: %LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache
            // macOS: ~/Library/Caches/Google\Chrome
            // Linux: ~/.cache/google-chrome
            #[cfg(target_os = "windows")]
            let path = home.join("AppData").join("Local").join("Google").join("Chrome").join("Cache");

            #[cfg(target_os = "macos")]
            let path = home.join("Library").join("Caches").join("Google").join("Chrome");

            #[cfg(target_os = "linux")]
            let path = home.join(".cache").join("google-chrome");

            // 安全校验：检查解析后的路径是否在白名单内
            if !allowed_prefixes.iter().any(|p| path.starts_with(p)) {
                return Err("非法路径：禁止访问系统核心目录".into());
            }
            Ok(path)
        }
        "system_logs" => {
            // ... 类似逻辑，映射到 /var/log 或 Event Logs
            Ok(PathBuf::from("/var/log")) // 示例
        }
        _ => Err("不支持的清理目标".into()),
    }
}

步骤 2：异步安全删除（系统级 API 调用）

这里体现技术深度。我们不能简单用 std::fs，因为：

1. 文件可能被占用（如浏览器正在运行）。
2. 需要处理权限（Windows UAC, macOS SIP）。
3. 需要防止 UI 阻塞。

// src-tauri/src/cleaner.rs
use tokio::fs;
use std::path::Path;

// 异步计算目录大小
pub async fn calculate_dir_size(path: &Path) -> u64 {
    let mut total = 0;
    if let Ok(entries) = fs::read_dir(path).await {
        while let Ok(Some(entry)) = entries.next_entry().await {
            if let Ok(md) = entry.metadata().await {
                if md.is_file() {
                    total += md.len();
                } else if md.is_dir() {
                    total += calculate_dir_size(&entry.path()).await;
                }
            }
        }
    }
    total
}

// 核心清理逻辑：带重试和权限处理
#[tauri::command]
pub async fn safe_clean(paths_to_clean: Vec<String>) -> Result<String, String> {
    let mut log = String::new();

    for path_str in paths_to_clean {
        // 1. 解析路径（包含白名单校验）
        let path = crate::paths::resolve_target_path(&path_str)?;

        if !path.exists() { continue; }

        // 2. 记录审计日志（关键：用于事后追溯）
        log.push_str(&format!("[AUDIT] Attempting to clean: {:?}\n", path));

        // 3. 异步删除（Windows 下处理只读属性）
        #[cfg(target_os = "windows")]
        {
            use tokio::fs::File;
            use std::os::windows::fs::MetadataExt;

            if let Ok(mut file) = File::open(&path).await {
                let mut perms = file.metadata().await?.permissions();
                perms.set_readonly(false);
                let _ = file.set_permissions(perms).await;
            }
        }

        // 4. 执行删除
        if let Err(e) = fs::remove_dir_all(&path).await {
            // 如果是'文件被占用'，不报错，只记录（因为浏览器可能正在运行）
            if e.kind() != std::io::ErrorKind::ResourceBusy {
                log.push_str(&format!("[ERROR] Failed to delete {:?}: {}\n", path, e));
            }
        } else {
            log.push_str(&format!("[SUCCESS] Cleaned: {:?}\n", path));
        }
    }

    // 5. 发送审计日志到 OpenClaw Gateway
    // emit_audit_log(log).await;

    Ok(log)
}

3.3 Skill 层：调用与沙箱隔离

前端（Skill UI）只能看到一个极其简化的接口。

// frontend/src/CleanerSkill.tsx
import { invoke } from '@tauri-apps/api/tauri';

export default function CleanerSkill() {
    const handleClean = async () => {
        try {
            // Skill 只能请求'清理浏览器缓存'，不能指定具体路径
            // 具体的路径映射由 Core 后台决定，Skill 无法篡改
            const result = await invoke('safe_clean', {
                pathsToClean: ['browser_cache']
            });
            console.log('Core 返回:', result);
        } catch (error) {
            // 如果触发了权限校验，这里会捕获到 "非法路径" 错误
            console.error('Skill 被拦截:', error);
            alert(`清理失败：${error}`);
        }
    };

    return <button onClick={handleClean}>一键清理缓存</button>;
}

四、防御 Skill 后门的高级策略

仅仅有路径白名单是不够的。为了防止类似'Meta 高管邮箱被清空'的事件，我们需要更深层的防御体系。

1. 能力模型限制 (Capability Model)

在 tauri.conf.json 中禁用危险 API，强制 Skill 通过 Core 代理：

2. 运行时审计与异常检测

在 Rust Core 中植入'钩子'，实时监控行为：

3. 物理隔离：CuaBot / Docker 沙箱

参考 OpenClaw 社区的 CuaBot 方案，我们可以让清理 Skill 在 Docker 容器中运行：

1. Core 启动一个 Docker 容器（Linux 环境）。
2. 将需要清理的目录挂载到容器中。
3. Skill 在容器内操作，即使失控也只能破坏容器内的文件系统，无法触及宿主机的核心数据（如 /etc/shadow）。
4. 使用 Hairpin 通信（容器 -> 宿主机 -> 容器）来传输截图和操作指令，确保 Skill 无法直接控制宿主机的鼠标和键盘。

五、打包与分发：让龙虾机器人落地

使用 Tauri 打包，我们可以生成一个极小的原生二进制文件，并模拟 OpenClaw 的 Skill 安装体验。

5.1 配置 tauri.conf.json

5.2 签名与公证

为了防止被系统拦截或被视为恶意软件：

• Windows: 使用 EV 证书签名 .exe 和 .msi。
• macOS: 使用 Apple Developer ID 签名 .app 和 .dmg，并提交 Notary Service 公证。
• Linux: 使用 GPG 签名 .deb/.rpm 包。

5.3 模拟 OpenClaw Skill 商店一键安装

我们可以编写一个安装脚本，模拟云厂商的'一键部署'：

六、总结：构建可信的 AI Agent 生态

通过本文的实战，我们不仅开发了一个实用的跨平台清理工具，更重要的是建立了一套可信的 AI Agent 执行框架：

1. 最小权限原则：Skill 只能做它被允许做的事（如只清理缓存），不能越界。
2. 后端代理模式：Skill 不碰系统 API，所有操作由 Core 代理，便于审计和拦截。
3. Rust 的安全性：利用 Rust 的内存安全和类型系统，从底层杜绝缓冲区溢出等漏洞，防止 Skill 通过内存破坏逃逸沙箱。
4. Tauri 的轻量与安全：相比 Electron，Tauri 大大减小了攻击面，且二进制文件更小，适合作为系统级守护进程。

未来展望： 未来的 OpenClaw Skill 商店可以基于此模型建立。开发者提交 Skill 时，CI/CD 流水线自动扫描其请求的权限，并在商店页面明确标注：'此 Skill 需要访问：浏览器缓存、系统临时目录'。用户安装时一目了然，真正实现**'我的电脑，我做主'**。

当 AI 拥有了操作世界的'螯'，我们必须为它套上'安全的锁链'。这不仅是技术的挑战，更是对 AI 伦理的坚守。