介绍如何使用 Rust 和 Tauri 框架开发一个具备安全沙箱机制的 OpenClaw 清理技能。通过 Core-Skill 分离架构和路径白名单校验,防止恶意指令破坏系统。核心实现包括跨平台路径映射、异步文件清理及权限控制,并结合 Docker 隔离增强安全性。最终打包为原生二进制应用,确保 AI Agent 在最小权限原则下安全运行。
当 AI 走出聊天框,拿起系统的'root 权限',它是你的'数字管家'还是潜伏的'特洛伊木马'?2026 年初,由 Peter Steinberger 打造的OpenClaw(龙虾机器人)横扫全球开源社区,GitHub 星标数迅速突破 18 万。它不再是单纯的 Chatbot,而是能通过 WhatsApp、Telegram 直接操控你电脑的执行型智能体。
然而,权力的下放伴随着巨大的风险——Meta 高管因授权 OpenClaw 访问邮箱而导致收件箱被批量清空的惨案犹在眼前。本文将基于OpenClaw 架构,使用技术栈,开发一款。我们将重点解决两大核心难题:
rm -rf / 式的破坏。这不仅是一个工具开发教程,更是一次AI Agent 安全架构的深度实践。
目标读者:OpenClaw 开发者、Rust 爱好者、AI Agent 安全工程师、跨平台工具开发者。
技术栈:
OpenClaw(曾用名 Clawdbot、Moltbot)的爆火,标志着 AI 从'动口'进化到了'动手'。它的核心逻辑是Lobster Workflow:通过'网关'连接聊天软件,由'大脑'(LLM)驱动,通过'技能'(Skills)执行具体操作。
场景痛点:
用户对龙虾机器人说:'帮我清理一下电脑垃圾,释放空间。'
如果直接给 Skill 开放无限制的 std::fs::remove_dir_all 权限,一旦 Skill 被恶意注入(后门),或者 LLM 出现幻觉,它可能会:
~/.ssh 目录导致无法登录服务器。解决方案: 我们需要一个**'受控的螯'**。清理 Skill 只能在'临时文件目录'这个特定范围内活动,且所有操作必须经过 Core 的审计和白名单校验。
为了防止 Skill 后门,我们采用 OpenClaw 官方推荐的**'瘦 Skill + 胖 Core'架构,并引入双重沙箱**机制。
clean_temp 指令)。target: "browser_cache")。SkillPermission 表,检查该 Skill 是否有权操作目标路径。%TEMP%, ~/.cache),Skill 无法越界。Skill 只能调用以下高级指令,无法直接接触文件句柄或任意路径:
// Skill 只能调用这个枚举,不能直接传任意路径字符串
pub enum CleanerAction {
Scan(ScanTarget), // 扫描:浏览器缓存、系统日志等
Delete(Vec<PathBuf>), // 删除:必须是 Scan 返回的具体文件列表
GetSystemInfo,
}
// 扫描目标必须是预定义的枚举,防止 Skill 扫描敏感目录
pub enum ScanTarget {
UserCache,
BrowserCache,
SystemLogs,
RecycleBin,
}
# 使用 Tauri CLI 创建项目 (选择 React + TypeScript 模板)
cargo create-tauri-app openclaw-cleaner-skill
cd openclaw-cleaner-skill
在 src-tauri/src/main.rs 中,我们实现核心逻辑。重点在于路径解析和安全校验。
创建一个 src-tauri/src/paths.rs 文件,将 Skill 的抽象请求映射到真实的系统路径,并进行白名单校验。
use dirs_next::{home_dir, cache_dir};
use std::path::PathBuf;
// 获取用户主目录
fn get_home() -> Option<PathBuf> { home_dir() }
// 核心:将 Skill 的抽象目标映射到真实路径
pub fn resolve_target_path(target: &str) -> Result<PathBuf, String> {
let home = get_home().ok_or("无法获取用户目录")?;
// 白名单校验:只允许访问缓存和临时目录
let allowed_prefixes = vec![
cache_dir().unwrap(),
std::env::var("TEMP").map(PathBuf::from).unwrap_or_default(),
];
match target {
"browser_cache" => {
// Windows: %LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache
// macOS: ~/Library/Caches/Google\Chrome
// Linux: ~/.cache/google-chrome
#[cfg(target_os = "windows")]
let path = home.join("AppData").join("Local").join("Google").join("Chrome").join("Cache");
#[cfg(target_os = "macos")]
let path = home.join("Library").join("Caches").join("Google").join("Chrome");
#[cfg(target_os = "linux")]
let path = home.join(".cache").join("google-chrome");
// 安全校验:检查解析后的路径是否在白名单内
if !allowed_prefixes.iter().any(|p| path.starts_with(p)) {
return Err("非法路径:禁止访问系统核心目录".into());
}
Ok(path)
}
"system_logs" => {
// ... 类似逻辑,映射到 /var/log 或 Event Logs
Ok(PathBuf::from("/var/log")) // 示例
}
_ => Err("不支持的清理目标".into()),
}
}
这里体现技术深度。我们不能简单用 std::fs,因为:
// src-tauri/src/cleaner.rs
use tokio::fs;
use std::path::Path;
// 异步计算目录大小
pub async fn calculate_dir_size(path: &Path) -> u64 {
let mut total = 0;
if let Ok(entries) = fs::read_dir(path).await {
while let Ok(Some(entry)) = entries.next_entry().await {
if let Ok(md) = entry.metadata().await {
if md.is_file() {
total += md.len();
} else if md.is_dir() {
total += calculate_dir_size(&entry.path()).await;
}
}
}
}
total
}
// 核心清理逻辑:带重试和权限处理
#[tauri::command]
pub async fn safe_clean(paths_to_clean: Vec<String>) -> Result<String, String> {
let mut log = String::new();
for path_str in paths_to_clean {
// 1. 解析路径(包含白名单校验)
let path = crate::paths::resolve_target_path(&path_str)?;
if !path.exists() { continue; }
// 2. 记录审计日志(关键:用于事后追溯)
log.push_str(&format!("[AUDIT] Attempting to clean: {:?}\n", path));
// 3. 异步删除(Windows 下处理只读属性)
#[cfg(target_os = "windows")]
{
use tokio::fs::File;
use std::os::windows::fs::MetadataExt;
if let Ok(mut file) = File::open(&path).await {
let mut perms = file.metadata().await?.permissions();
perms.set_readonly(false);
let _ = file.set_permissions(perms).await;
}
}
// 4. 执行删除
if let Err(e) = fs::remove_dir_all(&path).await {
// 如果是'文件被占用',不报错,只记录(因为浏览器可能正在运行)
if e.kind() != std::io::ErrorKind::ResourceBusy {
log.push_str(&format!("[ERROR] Failed to delete {:?}: {}\n", path, e));
}
} else {
log.push_str(&format!("[SUCCESS] Cleaned: {:?}\n", path));
}
}
// 5. 发送审计日志到 OpenClaw Gateway
// emit_audit_log(log).await;
Ok(log)
}
前端(Skill UI)只能看到一个极其简化的接口。
// frontend/src/CleanerSkill.tsx
import { invoke } from '@tauri-apps/api/tauri';
export default function CleanerSkill() {
const handleClean = async () => {
try {
// Skill 只能请求'清理浏览器缓存',不能指定具体路径
// 具体的路径映射由 Core 后台决定,Skill 无法篡改
const result = await invoke('safe_clean', {
pathsToClean: ['browser_cache']
});
console.log('Core 返回:', result);
} catch (error) {
// 如果触发了权限校验,这里会捕获到 "非法路径" 错误
console.error('Skill 被拦截:', error);
alert(`清理失败:${error}`);
}
};
return <button onClick={handleClean}>一键清理缓存</button>;
}
仅仅有路径白名单是不够的。为了防止类似'Meta 高管邮箱被清空'的事件,我们需要更深层的防御体系。
在 tauri.conf.json 中禁用危险 API,强制 Skill 通过 Core 代理。
在 Rust Core 中植入'钩子',实时监控行为。
参考 OpenClaw 社区的CuaBot方案,我们可以让清理 Skill 在 Docker 容器中运行:
/etc/shadow)。使用 Tauri 打包,我们可以生成一个极小的原生二进制文件,并模拟 OpenClaw 的 Skill 安装体验。
tauri.conf.json为了防止被系统拦截或被视为恶意软件:
.exe 和 .msi。.app 和 .dmg,并提交 Notary Service 公证。.deb/.rpm 包。我们可以编写一个安装脚本,模拟云厂商的'一键部署':
通过本文的实战,我们不仅开发了一个实用的跨平台清理工具,更重要的是建立了一套可信的 AI Agent 执行框架:
未来展望: 未来的 OpenClaw Skill 商店可以基于此模型建立。开发者提交 Skill 时,CI/CD 流水线自动扫描其请求的权限,并在商店页面明确标注:'此 Skill 需要访问:浏览器缓存、系统临时目录'。用户安装时一目了然,真正实现**'我的电脑,我做主'**。
当 AI 拥有了操作世界的'螯',我们必须为它套上'安全的锁链'。这不仅是技术的挑战,更是对 AI 伦理的坚守。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
生成新的随机RSA私钥和公钥pem证书。 在线工具,RSA密钥对生成器在线工具,online
基于 Mermaid.js 实时预览流程图、时序图等图表,支持源码编辑与即时渲染。 在线工具,Mermaid 预览与可视化编辑在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML 转 Markdown 互为补充。 在线工具,Markdown 转 HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML 转 Markdown在线工具,online