ClawHeart 安全助手

你可以通过 clawheart 命令行调用本机 ClawHeart 服务做 AI 安全审计、技能鉴定、Agent 凭据治理。

> 前置：用户机器需要安装 ClawHeart CLI（clawheart-cli 或 clawheart，PATH 中可执行）。

> 若 which clawheart 失败，引导用户访问 https://clawheart.live 下载，或跑 curl -fsSL clawheart.live/install.sh | sh。

触发条件 → 命令映射

输出解析规范

所有命令返回顶层 JSON：

{ "ok": true,  "data": { ... } }
{ "ok": false, "error": "..." }

data 的 schema 因命令而异，用户友好的摘要文本不在 JSON 里 —— 你需要根据 data 用自然语言重述。

工作流示例

扫描

1. 跑 clawheart scan --json
2. 从 data.results 里筛 outcome=fail 的项目
3. 优先告知用户严重问题：
• 每项给 id + description + detail + remediation
4. 然后简单提一句"还有 X 个警告 / Y 项通过 / Z 项跳过"
5. 不要逐项列举 skipped — 它们多是"未实现"占位，列出来反而让用户疑惑

技能鉴定

1. clawheart skills scan --all --json
2. 聚焦 data 数组中 blocked: true 或 score < 60 的技能
3. 给用户列出"危险技能" + 建议（一般是用 clawheart skills backup 备份后删除）

Agent 列表

1. clawheart agents list --json
2. 把 data 数组里每个 Agent 的 id + agent_name + config_path + mcp_servers 简洁报给用户

不要做的事

• ❌ 不要直接读 ~/.clawheart-v2/ 文件 — 必须通过 CLI
• ❌ 不要替用户输入密码 / API key
• ❌ skipped 项的 "未实现" 状态不要解读为漏洞或问题
• ❌ 不要自己尝试 sudo —— 遇到需要权限的提示直接转告用户

CLI 不可用时的兜底

若 clawheart 命令找不到：

> ClawHeart CLI 似乎没装。访问 https://clawheart.live 下载，或运行：

>

> macOS / Linux：curl -fsSL https://clawheart.live/install.sh | sh

>

> Windows：iwr https://clawheart.live/install.ps1 -useb | iex

完整命令清单

clawheart scan [--category=<C>] [--ids=<ID,...>] [--json]
clawheart skills {list,scan <id>|--all,backup [<ids>]} [--json]
clawheart agents {list,mcp [--agent=<id>],rescan} [--json]
clawheart providers {list,add,import,overwrite <id>} [--json]
clawheart status [--json]
clawheart init [--reset] [--json]
clawheart --version