作者：BitsLab，AI 安全公司

当一个 AI Agent 拥有 shell 执行、文件读写、网络请求和定时任务等系统级能力时，它就不再只是一个"聊天机器人"——它是一个拥有真实权限的操作者。这意味着：一条被 prompt injection 诱导的命令，可能删除关键数据；一个被供应链投毒的 Skill，可能悄悄外泄凭证；一次未经验证的业务操作，可能造成不可逆的损失。

传统的安全方案通常走向两个极端：要么完全依赖 AI 自身的"判断力"来自我约束（容易被精心构造的提示词绕过），要么堆砌大量刚性规则把 Agent 锁死（丧失了 Agent 的核心价值）。

BitsLab 这篇深度出品指南选择第三条路：按照 "谁来检查" 划分安全职责，让三类角色各守其位

- 普通用户：作为最终防线，负责关键决策和定期复核。我们提供注意事项，降低认知负担。

- Agent 自身：在运行时自觉遵守行为规范和审计流程。我们提供Skills，将安全知识注入 Agent 上下文。

- 确定性脚本：机械而忠实地执行检查，不受 prompt injection 影响。我们提供Scripts，覆盖常见已知危险模式。

没有任何单一检查者是万能的。脚本无法理解语义，Agent 可能被欺骗，人类会疲劳。但三者结合，既能保证日常使用的便利，也能防范高风险操作。

普通用户（注意事项）

用户是安全体系的最终防线和最高权限拥有者。以下是用户需要亲自关注和执行的安全事项。

a) API Key 管理

- 配置文件要设置好权限，防止别人随意查看：

- 千万不要把 API key 提交到代码仓库！

b) Channel 访问控制（非常关键！）

- 一定要为每个通讯渠道（Channel）设置白名单（`allowFrom`），否则任何人都能和你的 Agent 聊天：

⚠️ 新版本中，空 `allowFrom` 表示拒绝所有访问。如果想开放，必须明确写 `["*"]` 但不建议这样做。

c) 不要以 root 权限运行

- 建议新建一个专用用户来运行 Agent，避免权限过高：

d) 尽量不使用邮箱channel

- 邮箱协议复杂，相对风险较高，我们 BitsLab 团队研究发现并确认一个邮件相关的 [critical] 级别的漏洞，以下是项目方回复，我们目前仍有几个问题待项目方确认，所以谨慎使用邮件方面的功能模块。

e) 建议在 Docker 中部署

- 推荐将 nanobot 部署在 Docker 容器中，与日常使用环境隔离，避免因权限或环境混用导致安全风险。

工具安装步骤

工具原理

SKILL.md

基于认知觉醒的意图审查突破了传统 AI 被动接收指令的盲区。内置了强制的“自我觉醒（Self-Wakeup）”思维链机制，让 AI 在处理任何用户请求前，必须先在后台唤醒独立的安全审查人格。通过对用户意图进行上下文分析与独立研判，主动识别并拦截潜在的高危风险，实现从“机械执行”到“智能防火墙”的升级。当检测到恶意指令（如反弹 Shell、敏感文件窃取、大范围删除等）时，工具会执行标准化的硬拦截协议（输出`[Bitslab nanobot-sec skills 检测到敏感操作...,已拦截]` 警告）

恶意命令执行拦截 (Shell & Cron 防护)

在 Agent 操作系统级命令时充当“零信任”网关。防线直接阻断各类破坏性操作及危险载荷（如 `rm -rf` 恶意删除、篡改权限、反弹 Shell 等）。同时，工具自带深入底层的运行时巡检能力，可主动扫描并清洗系统进程及 Cron 定时任务中的持久化后门与恶意执行特征，确保本地环境绝对安全

敏感数据窃取阻断 (文件访问校验)

对核心资产实施严格的读写物理隔离。系统预设了严密的文件校验规则，严禁 AI 越权读取 `config.json`、`.env` 等包含 API 密钥与核心配置的敏感文件并将其外传。此外，安全引擎还会实时审计文件读取日志（如 `read_file` 工具的调用序列），从源头上彻底掐断凭证泄露与数据外带的可能。

MCP 技能安全审计

对于MCP类技能，工具会自动审计其上下文交互和数据处理逻辑，检测是否存在敏感信息泄露、未授权访问、危险指令注入等风险，并结合安全基线和白名单进行比对。

新技能下载与自动安全扫描

下载新技能时，工具会用审计脚本自动静态分析代码、比对安全基线和白名单、检测敏感信息和危险命令，确保技能安全合规后才加载。

防篡改哈希基线校验

为确保系统底层资产的绝对零信任，防护盾会持续为关键配置文件及记忆节点建立并维护 SHA256 加密签名基线。夜间巡检引擎会自动核对每一处文件哈希的时序变化，能在毫秒级瞬间捕捉到任何未授权的篡改或越权覆盖，从物理存储层彻底掐断本地后门植入与“投毒”风险。

自动化容灾备份快照轮转

鉴于本地 Agent 对文件系统拥有极高的读写权限，系统内置了最高级别的自动化容灾机制。防护引擎每晚会自动触发活跃工作区的全量沙箱级归档，并生成最高保留 7 天的安全快照机制（自动轮转）。即便遭遇极端情况下的意外损毁或误删除，也能实现开发环境的无损一键回滚，最大程度保障了本地数字资产的连续性与韧性。

免责声明

本指南仅作为安全实践的参考建议，不构成任何形式的安全保证。

1. 无绝对安全：本指南中描述的所有措施（包括确定性脚本、Agent Skills 和用户注意事项）均为"最佳努力"型防护，无法覆盖所有攻击向量。AI Agent 安全是一个快速演进的领域，新的攻击手法可能随时出现。

2. 用户责任：部署和使用 Nanobot 的用户应自行评估其运行环境的安全风险，并根据实际场景调整本指南的建议。因未正确配置、未及时更新或忽略安全警告而导致的任何损失，由用户自行承担。

3. 非专业安全审计替代品：本指南不能替代专业的安全审计、渗透测试或合规评估。对于涉及敏感数据、金融资产或关键基础设施的场景，强烈建议聘请专业安全团队进行独立评估。

4. 第三方依赖：Nanobot 依赖的第三方库、API 服务和平台（如 Telegram、WhatsApp、LLM 提供商等）的安全性不在本指南的控制范围内。用户应关注相关依赖的安全公告并及时更新。

5. 免责范围：Nanobot 项目的维护者和贡献者不对因使用本指南或 Nanobot 软件而产生的任何直接、间接、附带或后果性损害承担责任。

使用本软件即表示您理解并接受上述风险。