保护您的服务器：深入了解 OpenClaw DCG Guard 插件

Source: Dev.to

DCG Guard 的工作原理

1. 拦截 – 当 OpenClaw 代理尝试调用 exec 工具时，插件会通过 before_tool_call 事件拦截该请求。
2. 检查 – 命令会被内部逻辑审查。如果匹配已知的危险模式，则会立即被阻止。
3. DCG 二进制检查 – 如果命令未被内置逻辑标记，它会被传递给 DCG（Dangerous Command Guard）二进制文件（如果已安装）。这大约会增加 27 毫秒的延迟，对大多数文件系统或网络操作而言几乎可以忽略不计。
4. 决策
   • 如果命令安全，代理会正常继续执行。
   • 如果被阻止，插件返回 { block: true }，从而有效防止该命令进入 shell。

这种 fail‑open 设计确保即使 DCG 二进制出现故障，插件仍会阻止已知的危险命令。

开始使用 DCG Guard

1. 通过 OpenClaw 市场或代码仓库安装插件。
2. 确保已安装并可访问 DCG 二进制文件（例如 /custom/path/to/dcg）。
3. 将插件添加到你的 OpenClaw 配置中。

配置

可以在 openclaw.json 文件中定义自定义配置。示例片段：

{
  "plugins": {
    "dcg-guard": {
      "dcgPath": "/custom/path/to/dcg",
      "blockedCommands": [
        "rm -rf",
        "git reset --hard",
        "Format-Volume"
      ]
    }
  }
}

最佳实践

• 保持 AI 代理的 AGENTS.md 文件更新，以便在阻止场景中优雅地处理。
• 当 DCG Guard 阻止某个命令时，不要 自动重试。相反，应向用户询问澄清或提供替代方案。
• 定期审查并更新阻止命令列表，以匹配组织的安全策略。

资源

• OpenClaw Hub – https://clawhub.example.com
• DCG Guard 技能文档 – guard/SKILL.md

集成 DCG Guard 有助于保护你的开发工作流，防止意外或恶意的破坏性命令，无论你是单独开发者还是管理大规模企业。