Rust+Tauri 实战：构建 OpenClaw 安全沙箱清理工具

3.2 Core 层：实现'带锁的'文件操作

在 src-tauri/src/main.rs 中，我们实现核心逻辑。重点在于路径解析和安全校验。

步骤 1：跨平台路径映射（防越界）

创建一个 src-tauri/src/paths.rs 文件，将 Skill 的抽象请求映射到真实的系统路径，并进行白名单校验。

use dirs_next::{home_dir, cache_dir};
use std::path::PathBuf;

// 获取用户主目录
fn get_home() -> Option<PathBuf> { home_dir() }

// 核心：将 Skill 的抽象目标映射到真实路径
pub fn resolve_target_path(target: &str) -> Result<PathBuf, String> {
    let home = get_home().ok_or("无法获取用户目录")?;

    // 白名单校验：只允许访问缓存和临时目录
    let allowed_prefixes = vec![
        cache_dir().unwrap(),
        std::env::var("TEMP").map(PathBuf::from).unwrap_or_default(),
    ];

    match target {
        "browser_cache" => {
            #[cfg(target_os = "windows")]
            let path = home.join("AppData").join("Local").join("Google").join("Chrome").join("Cache");

            #[cfg(target_os = "macos")]
            let path = home.join("Library").join("Caches").join("Google").join("Chrome");

            #[cfg(target_os = "linux")]
            let path = home.join(".cache").join("google-chrome");

            // 安全校验：检查解析后的路径是否在白名单内
            if !allowed_prefixes.iter().any(|p| path.starts_with(p)) {
                return Err("非法路径：禁止访问系统核心目录".into());
            }
            Ok(path)
        }
        "system_logs" => {
            // 类似逻辑，映射到 /var/log 或 Event Logs
            Ok(PathBuf::from("/var/log"))
        }
        _ => Err("不支持的清理目标".into()),
    }
}

步骤 2：异步安全删除（系统级 API 调用）

这里体现技术深度。我们不能简单用 std::fs，因为文件可能被占用（如浏览器正在运行），需要处理权限（Windows UAC, macOS SIP），还要防止 UI 阻塞。

// src-tauri/src/cleaner.rs
use tokio::fs;
use std::path::Path;

// 异步计算目录大小
pub async fn calculate_dir_size(path: &Path) -> u64 {
    let mut total = 0;
    if let Ok(entries) = fs::read_dir(path).await {
        while let Ok(Some(entry)) = entries.next_entry().await {
            if let Ok(md) = entry.metadata().await {
                if md.is_file() {
                    total += md.len();
                } else if md.is_dir() {
                    total += calculate_dir_size(&entry.path()).await;
                }
            }
        }
    }
    total
}

// 核心清理逻辑：带重试和权限处理
#[tauri::command]
pub async fn safe_clean(paths_to_clean: Vec<String>) -> Result<String, String> {
    let mut log = String::new();

    for path_str in paths_to_clean {
        // 1. 解析路径（包含白名单校验）
        let path = crate::paths::resolve_target_path(&path_str)?;

        if !path.exists() { continue; }

        // 2. 记录审计日志（关键：用于事后追溯）
        log.push_str(&format!("[AUDIT] Attempting to clean: {:?}\n", path));

        // 3. 异步删除（Windows 下处理只读属性）
        #[cfg(target_os = "windows")]
        {
            use tokio::fs::File;
            use std::os::windows::fs::MetadataExt;

            if let Ok(mut file) = File::open(&path).await {
                let mut perms = file.metadata().await?.permissions();
                perms.set_readonly(false);
                let _ = file.set_permissions(perms).await;
            }
        }

        // 4. 执行删除
        if let Err(e) = fs::remove_dir_all(&path).await {
            // 如果是'文件被占用'，不报错，只记录（因为浏览器可能正在运行）
            if e.kind() != std::io::ErrorKind::ResourceBusy {
                log.push_str(&format!("[ERROR] Failed to delete {:?}: {}\n", path, e));
            }
        } else {
            log.push_str(&format!("[SUCCESS] Cleaned: {:?}\n", path));
        }
    }

    // 5. 发送审计日志到 OpenClaw Gateway
    // emit_audit_log(log).await;

    Ok(log)
}

3.3 Skill 层：调用与沙箱隔离

前端（Skill UI）只能看到一个极其简化的接口。

// frontend/src/CleanerSkill.tsx
import { invoke } from '@tauri-apps/api/tauri';

export default function CleanerSkill() {
    const handleClean = async () => {
        try {
            // Skill 只能请求'清理浏览器缓存'，不能指定具体路径
            // 具体的路径映射由 Core 后台决定，Skill 无法篡改
            const result = await invoke('safe_clean', {
                pathsToClean: ['browser_cache']
            });
            console.log('Core 返回:', result);
        } catch (error) {
            // 如果触发了权限校验，这里会捕获到 "非法路径" 错误
            console.error('Skill 被拦截:', error);
            alert(`清理失败：${error}`);
        }
    };

    return <button onClick={handleClean}>一键清理缓存</button>;
}

四、防御 Skill 后门的高级策略

仅仅有路径白名单是不够的。为了防止类似'Meta 高管邮箱被清空'的事件，我们需要更深层的防御体系。

1. 能力模型限制 (Capability Model)

在 tauri.conf.json 中禁用危险 API，强制 Skill 通过 Core 代理。例如，禁止直接访问文件系统，仅允许通过 IPC 通道调用预定义的命令。这样即使前端被攻破，也无法直接执行系统级破坏。

2. 运行时审计与异常检测

在 Rust Core 中植入'钩子'，实时监控行为。比如记录每次 safe_clean 调用的参数、耗时、结果，并与正常模式进行比对。如果发现某个 Skill 频繁尝试访问非白名单路径，立即熔断。

3. 物理隔离：Docker 沙箱

参考 OpenClaw 社区的 CuaBot 方案，我们可以让清理 Skill 在 Docker 容器中运行：

1. Core 启动一个 Docker 容器（Linux 环境）。
2. 将需要清理的目录挂载到容器中。
3. Skill 在容器内操作，即使失控也只能破坏容器内的文件系统，无法触及宿主机的核心数据（如 /etc/shadow）。
4. 使用 Hairpin 通信（容器 -> 宿主机 -> 容器）来传输截图和操作指令，确保 Skill 无法直接控制宿主机的鼠标和键盘。

五、打包与分发：让龙虾机器人落地

使用 Tauri 打包，我们可以生成一个极小的原生二进制文件，并模拟 OpenClaw 的 Skill 安装体验。

5.1 配置 tauri.conf.json

在配置文件中，我们需要严格定义 capabilities，禁用危险 API，强制 Skill 通过 Core 代理。例如，禁止直接访问文件系统，仅允许通过 IPC 通道调用预定义的命令。

5.2 签名与公证

为了防止被系统拦截或被视为恶意软件：

• Windows: 使用 EV 证书签名 .exe 和 .msi。
• macOS: 使用 Apple Developer ID 签名 .app 和 .dmg，并提交 Notary Service 公证。
• Linux: 使用 GPG 签名 .deb/.rpm 包。

5.3 模拟 OpenClaw Skill 商店一键安装

我们可以编写一个安装脚本，模拟云厂商的'一键部署'，让用户能像安装普通应用一样安装这个清理工具。

六、总结：构建可信的 AI Agent 生态

通过本文的实战，我们不仅开发了一个实用的跨平台清理工具，更重要的是建立了一套可信的 AI Agent 执行框架：

1. 最小权限原则：Skill 只能做它被允许做的事（如只清理缓存），不能越界。
2. 后端代理模式：Skill 不碰系统 API，所有操作由 Core 代理，便于审计和拦截。
3. Rust 的安全性：利用 Rust 的内存安全和类型系统，从底层杜绝缓冲区溢出等漏洞，防止 Skill 通过内存破坏逃逸沙箱。
4. Tauri 的轻量与安全：相比 Electron，Tauri 大大减小了攻击面，且二进制文件更小，适合作为系统级守护进程。

未来的 OpenClaw Skill 商店可以基于此模型建立。开发者提交 Skill 时，CI/CD 流水线自动扫描其请求的权限，并在商店页面明确标注：'此 Skill 需要访问：浏览器缓存、系统临时目录'。用户安装时一目了然，真正实现'我的电脑，我做主'。

当 AI 拥有了操作世界的'螯'，我们必须为它套上'安全的锁链'。这不仅是技术的挑战，更是对 AI 伦理的坚守。