📦 0号技能（No.0-skill）

No.0 — AI Agent Safety Guardian 您的 AI 代理存在两种威胁。两层防御。一统一的 CLI。 您的代理以两种方式容易受到攻击 方式 1：身份篡改。您的代理依赖于六个核心认知文件来了解它是谁，它可以做什么，以及它记得什么。这些文件是纯文本。提示注入、粗心的第三方技能、流氓进程——任何这些都可以悄悄地重写： 文件 角色 SOUL.md 身份和个性 USER.md 所有者信息和偏好 MEMORY.md 长期记忆 HEARTBEAT.md 定期自我反思 TOOLS.md 可用工具和权限 AGENTS.md 子代理配置 您不会收到任何通知。代理继续正常响应，但它不再是您认识的那个。 方式 2：数据过度访问。即使代理没有被篡改，也可以读取它无权访问的文件——SSH 密钥、客户合同、内部仪表盘、密码管理器。您的笔记本电脑上的访问控制模型是粗粒度的（“此进程可以读取您的主目录”）。您的代理继承了所有这些。 一个短语化的指令可以使其将敏感数据泄露到 LLM、日志或您忘记安装的第三方工具中。 No.0 保护两者 —— 在两层中 No.0 Core（免费，3 步安装，零依赖） 保护认知身份。30 秒轮询所有六个认知文件 + MD5 基线完整性检查 1-5 级规则引擎对每个检测到的更改进行分类（安全绕过、自动执行、敏感数据泄露、破坏性清理等） 回滚到任何历史版本（最多保留 10 个）；当前文件在回滚之前自动保存 通过 OpenClaw Cron 条件触发 —— 没有问题时静默，仅在异常时提醒 纯 Python stdlib —— 无需 pip 安装，无网络，无您无法控制的守护进程 No.0-DLC-Internal Control（可选，适用于敏感数据/合规性） 添加强制访问控制，以便代理无法访问它不应该访问的数据 —— 即使它试图访问。 L1-L6 数据分类（从 PUBLIC 到 CRITICAL），基于路径模式、文件元数据和内容签名 参考监视器在工具调用边界拦截文件读写 —— 代理无法绕过它 HTTP 授权服务 —— 高严重性操作触发基于浏览器的批准流程 TOTP MFA 保管库 —— 对最敏感的操作进行步骤式身份验证 审计日志（audit.csv）具有每个授权决策的链式哈希完整性 异常检测 + 批量批准 —— 批量审查低严重性活动，仅升级异常 当两个都安装时，Core 将 4/5 级篡改事件写入共享事件目录，DLC 拾取它们 —— 您获得一个统一的“我的代理是安全的”体验，但两个包保持独立安装。 谁应该安装什么 如果您... 安装 仅希望代理的身份安全 Core 只 处理敏感数据/有合规性要求 Core + DLC 运行企业或多用户场景 Core + DLC 仅需要访问控制，无身份保护 DLC 只（独立） 安装 Core（3 步） ./install.sh # 安装到 ~/.openclaw/workspace/skills/no0-skill cd ~/.openclaw/workspace/skills/no0-skill ./no0 start 验证：./no0 status 添加 DLC ./install-dlc.sh DLC 安装程序： 自动检测 Core 并连接事件链接 安装 PyYAML、cryptography、keyring（DLC 的唯一第三方依赖项） 引导 ~/.openclaw/no0/dlc/ 运行一次性处理程序扫描以验证管道 要在后台运行事件处理程序： nohup python3 no0-dlc-internal-control/event_listener/cognitive_event_handler.py \ >/tmp/no0-dlc.log 2>&1 & 命令速查表（统一 ./no0） Core 命令 它的作用 ./no0 status 显示守护者状态 + 文件一致性 ./no0 start / ./no0 stop 管理后台监视器 ./no0 log [--last N] 显示最近的更改事件 ./no0 versions 列出认知文件的历史版本 ./no0 diff 显示版本与当前文件之间的差异 ./no0 rollback 将文件恢复到早期版本 ./no0 test 运行本地自检 DLC 命令 它的作用 ./no0 classify get 分类单个文件（L1-L6） ./no0 classify dir [-r] 批量分类目录 ./no0 classify stats 规则 + 分类统计 ./no0 classify exclusions 管理排除规则 ./no0 audit log [--last N] 读取审计日志 ./no0 auth pending 列出待处理的授权请求 ./no0 init 初始化 DLC 运行时状态 当 DLC 命令在未安装 DLC 时运行，./no0 打印安装提示并干净地退出 —— 无破坏状态。 场景 场景 1 —— 恶意提示注入（Core） 某人制作了一个输入，欺骗代理编辑 SOUL.md，植入隐藏指令。Core 在 30 秒内检测到哈希更改，发出 5 级事件，如果安装了 DLC，则启动带有 TOTP MFA 的 HTTP 身份验证流程。您在手机上点击批准，代理回滚到 v1，审计日志捕获整个链。 场景 2 —— 第三方技能过度访问（Core） 您安装了一个第三方技能，它试图访问代理的认知文件。Core 检测到更改并发出 4 级事件，DLC 拦截了文件访问并要求身份验证。您批准了请求，代理继续运行，审计日志记录了整个过程。