OpenClaw Bastion 是一款专为智能体(Agent)工作区设计的运行时提示词注入防御工具,旨在保护智能体在处理各类输入内容时的安全性。与仅监控身份文件的工具不同,Bastion 聚焦于智能体的输入/输出边界——即被智能体读取的文件、网页内容、API 响应以及用户上传文档。这些来源都可能成为攻击者植入恶意指令的入口点,而 Bastion 能够在智能体实际执行操作前对这些内容进行扫描分析,有效识别潜在的提示词注入攻击。该工具采用纯 Python 标准库实现,无需外部依赖或网络调用,确保本地运行的安全性和隐私性。其核心理念是通过主动检测隐藏指令、系统标记、编码载荷等复杂攻击模式,为智能体工作流构建一道坚实的防线。
核心功能特点
- 扫描文件与目录中的提示词注入模式,包括指令覆盖、系统标记、隐藏 Unicode、Markdown 数据泄露、HTML 注入、Shell 命令注入及 Base64 编码载荷等
- 提供边界安全分析功能,识别混合可信与不可信内容的智能体指令文件、可写指令文件的风险点,并评估各关键文件的波及范围(Blast Radius)
- 支持自定义命令白名单/黑名单策略,通过 .bastion-policy.json 文件定义安全命令,Bastion Pro 版本可在运行时强制执行此策略
- 具备快速单文件检查能力,针对单个文件进行高效注入检测,适用于即时验证场景
- 采用上下文感知扫描机制,自动跳过代码围栏块以避免误报,并对每个文件基于发现数量和严重级别进行风险评分
适用场景
OpenClaw Bastion 特别适用于需要处理多源异构内容的智能体开发环境。例如,在开发一个能够读取用户上传文档、访问网页内容并调用 API 的智能助手时,Bastion 可以实时扫描所有输入源,防止攻击者通过精心构造的文本注入恶意指令,如伪装成正常文档的脚本代码或试图绕过安全限制的隐藏命令。对于使用 Agent Skills 规范的平台(如 OpenClaw、Claude Code、Cursor 等),Bastion 能有效守护技能执行过程中的输入边界,降低因外部输入污染导致智能体行为失控的风险。此外,其轻量级设计和零网络依赖特性,使其非常适合集成到 CI/CD 流程中作为自动化安全检查环节,或在本地开发环境中提供实时防护,帮助开发者及时发现并修复潜在的安全漏洞,确保智能体应用的稳健运行。