首页
ClawSentry¶
ClawSentry 为 AI Agent 工具调用提供统一安全网关:能拦截的框架前置阻断,不能完全拦截的框架清晰标注为监控或可选增强。
从本地体验到团队部署,按“安装 → 配置 → 接入框架 → 查看 Web UI → 调优/部署”的路线逐步完成。
三层递进决策(规则 → 语义 → Agent 审查)帮助你在安全性、延迟和可解释性之间取得平衡。
v0.6.6: Default scope profile and Web UI clarity
CS_SESSION_SCOPE_PROFILE_FILE=scope.json clawsentry start ... 现在可以在 Gateway 启动时加载默认 SessionScopeProfile,并自动应用到没有显式 scope 的 pre_action 决策;Web UI 风险雷达/趋势图同步使用 D1–D6 文档化评分范围,登录页也会区分缺失 token 与真正的 401。
拦截优先,监控兜底¶
Claude Code、a3s-code 和 OpenClaw 支持高危操作前阻断;Codex 默认监控,可显式启用 Bash preflight / approval gate;Gemini CLI 和 Kimi CLI 通过 native hooks 接入。每个集成页都会说明可阻断范围、监控范围和 fallback 行为。
不拖慢你的工作流¶
L1 规则引擎 <0.3ms 完成大多数决策;L2/L3 语义分析仅在必要时触发。
从事件到证据¶
每条工具调用都有记录、决策原因和审计轨迹。你可以先用 CLI 观察,再在 Web 仪表板中按 framework / workspace / session 追踪风险。
选择你的框架¶
a3s-code¶
通过显式 SDK stdio / HTTP Transport 接入,支持高危操作前阻断。
StdioTransport通过 harness + UDS 本地决策HttpTransport直连/ahp/a3s- 只通过显式 SDK 传输接入
OpenClaw¶
通过 WebSocket 实时事件流接入,支持高危操作前阻断和人工审批。
- 监听
exec.approval.requested事件 - 自动检测 OpenClaw 配置
- 支持交互式 DEFER 审批
Codex¶
默认通过 session 日志监控接入,可选启用 Bash preflight / approval gate。
- 自动监控 session 日志目录
clawsentry init codex --setup非破坏式安装 managed native hooks- 同步 host-deny / approval gate 范围:
PreToolUse(Bash)、PermissionRequest(Bash);其他 native events 默认仍为异步观察 - 建议继续配合
--approval-policy untrusted
Kimi CLI¶
通过 Kimi native [[hooks]] 接入,可阻断 prompt 和危险 Shell,并记录安全 Shell 与生命周期观察事件。
clawsentry init kimi-cli --setup写$KIMI_SHARE_DIR/config.toml或~/.kimi/config.toml- 保留非 ClawSentry hooks,只替换 marker-managed blocks
- 可阻断
UserPromptSubmit和PreToolUse高危调用;post/session/subagent/compact/notification 作为观察面 - 不提供 native
modify/ truedeferparity
Gemini CLI¶
通过 Gemini CLI native command hooks 接入,支持 prompt、model 与 tool 阶段的安全检查。
clawsentry init gemini-cli --setup默认只写项目.gemini/settings.json- 同步 hook 覆盖 prompt/model/tool 入口
- 自定义 provider 或代理前,请先确认它兼容 Gemini CLI 所需接口
核心亮点¶
统一多种 AI 框架
多端实时可见¶
CLI 终端 + Web 仪表板 + 移动端(Latch)
决策/告警/会话三端同步,全链路可观测。v0.5.10 起 Web UI 优先显示 token usage / token limit、稳定的 Unbound workspace 分组、最新优先的 session timeline,以及 L3 advisory 自然语言分析。
安全优先工作原理¶
flowchart LR
A["AI Agent\n执行工具调用"] -->|"pre_action 事件"| B["ClawSentry\n风险评估 <1ms"]
B -->|"低风险"| C["✅ ALLOW\n正常执行"]
B -->|"高风险"| D["❌ BLOCK\n自动拦截"]
B -->|"中等风险"| E["⏸ DEFER\n等待审批"]
快速安装¶
环境要求
- Python >= 3.11
- 核心依赖:FastAPI, Uvicorn, Pydantic v2
- 可选依赖组:
[llm](Anthropic / OpenAI)、[enforcement](WebSocket)、[dev](测试)
三层决策模型详解
| 层级 | 名称 | 延迟 | 机制 | 适用场景 |
|---|---|---|---|---|
| L1 | 规则引擎 | <0.3ms | D1-D6 六维评分(命令危险度/参数敏感度/命令模式/历史行为/作用域权限/注入检测) | 明确的黑白名单、已知危险模式、注入尝试 |
| L2 | 语义分析 | <3s | RuleBased / LLM / Composite 三种实现,SemanticAnalyzer 协议 | 需要上下文理解的灰度命令 |
| L3 | 审查 Agent | <30s | AgentAnalyzer + ReadOnlyToolkit + SkillRegistry,多轮工具调用推理 | 复杂意图判断、需要取证分析 |
升级策略
每层仅在无法确定时才向上升级,保证绝大多数请求在 L1 毫秒级完成。L3 是终审,永不降级——任何 L3 内部失败将降级为 confidence=0.0(fail-closed)。
各框架接入详情
通过显式 SDK StdioTransport 或 HttpTransport 接入。
通过 Hook 系统 + stdio harness 接入,自动注入 settings.json。
默认通过 Session 日志监控接入;如需最小同步防护,可显式安装 managed native hooks。
clawsentry init codex # 生成 watcher 配置
clawsentry init codex --setup # 可选:安装 PreToolUse(Bash) preflight + 异步观察 hooks
clawsentry start --env-file .clawsentry.env.local
clawsentry gateway # 启动 Gateway
codex --approval-policy untrusted
同步 host 阻断主要覆盖 PreToolUse(Bash);PostToolUse、UserPromptSubmit、Stop、SessionStart 默认保持异步观察,不承诺前置阻断。
通过 Gemini native command hooks 接入;默认写项目级 .gemini/settings.json。
clawsentry init gemini-cli
clawsentry init gemini-cli --setup --dry-run
clawsentry init gemini-cli --setup
clawsentry start --env-file .clawsentry.env.local
clawsentry gateway
gemini --prompt "say hello"
SessionStart、BeforeAgent、BeforeModel、BeforeTool 等 hook 可接入 Gateway;shell 工具会规范化为 policy tool bash,便于复用统一规则。
通过 WebSocket 实时监听 + Webhook 接收 + 审批执行器 接入。
CLI 与 API¶
- CLI 命令参考 → —
init / gateway / watch / l3 full-review / doctor / audit / config / rules / integrations / start / stop / latch - REST API 文档 → — 决策端点、报表监控、SSE 推送、认证
Web 安全仪表板¶
内置 React 18 + TypeScript + Vite 单页应用,现已升级为面向值班人员扫描路径的 operator console。当前 UI 重点回答:现在先看哪个 framework / workspace / session、token pressure 是否接近上限、L3 advisory 给出的解释和下一步是什么。
| 页面 | 功能 |
|---|---|
| Dashboard | Operator Brief、实时决策 feed、token-first LLM usage、风险概览 |
| Sessions | Framework / workspace / session 分组;缺失 workspace 时使用稳定 Unbound workspace fallback |
| Session Detail | 最新优先决策时间线、D1-D6 风险构成、L3 narrative analysis、advisory-only 边界 |
| Alerts | 告警表格、过滤、确认、SSE 自动推送 |
| DEFER Panel | 审批倒计时、Allow/Deny 操作、503 降级提示 |
Gateway 在 /ui 路径自动挂载静态文件,无需额外配置。
详见 Web 仪表板文档
项目数据¶
| 指标 | 数据 |
|---|---|
| 测试用例 | 3155 passed / 6 skipped(v0.6.6 public release;dev workspace 3156 / 5 skipped) |
| 测试耗时 | 随可选依赖与 smoke 范围变化 |
| 协议版本 | sync_decision.1.0 |
| Python 版本 | >= 3.11 |
| 许可证 | MIT |