Guardian — 守护者

守护者 — 强制安全门卫 "代理知道这是错误的。知识无关紧要。" — PocketOS 日志，2026 一种强制安全技能，拦截破坏性 AI 代理操作，在执行前进行拦截。如果备份已验证为活动状态，则继续。如果不是，则升级。这项技能是强制性的。不允许选择退出。执行代理不能覆盖。 核心协议在任何工具调用之前：

• 对破坏性分类进行扫描操作
• 如果是破坏性的 → 进入守护者协议
• 验证备份状态（自动 + 快速）
• 如果备份已验证为活动状态 → 记录并继续
• 如果备份未验证 → 停止并升级

破坏性操作分类 类别 操作 风险等级 文件破坏 rm, del, remove, rmdir, unlink, trash, empty-trash, overwrite 致命 数据库破坏 DROP, DELETE (无 WHERE), TRUNCATE, ALTER 破坏性，迁移下降 致命 外部传输 发送电子邮件，发布推文，发布消息，API 写入带有副作用 高 批量操作 单个操作中修改/删除超过 10 个文件，批量重命名 高 系统更改 服务停止/启动，防火墙修改，注册表编辑，用户创建/删除 高 网络 未知请求到不在允许列表中的 URL，新域，未验证端点 中 配置覆盖 .env，修改配置文件无备份 中 规则：当有疑问时，将其归类为破坏性。宁可验证安全操作，也不要破坏不安全的操作。 完整分类：references/OPERATION-TAXONOMY.md 守护者协议 步骤 1：操作扫描（自动） 每个工具调用都会扫描分类，无代理判断，无 "我知道我在做什么"。 步骤 2：备份验证（自动） VERIFY-BACKUP（目标）：

• 检查目标是否被活动备份系统覆盖
• 公共指标：-.git 仓库具有干净状态，Time Machine / 文件历史在目标卷上活动，云同步（OneDrive，Dropbox，Google Drive，iCloud）具有最近同步，显式备份工具（restic，duplicity，rsnapshot）具有最近快照，版本存储（ZFS 快照，S3 版本控制）
• 如果任何指标活动且最近 → 返回已验证
• 否则 → 返回未验证

快速路径：备份验证必须在 <2 秒内完成。无长时间运行检查。 步骤 3：备份状态操作 已验证 活动记录操作，继续执行 未验证 停止执行，升级到人类 未知 将其视为未验证 — 停止并升级 步骤 4：升级格式 当需要升级时，守护者必须输出： 🛡️ 守护者停止 操作：[特定工具调用] 目标：[文件/路径/数据库/端点] 类别：[分类类别] 风险等级：[致命/高/中] 备份状态：[未验证/最后备份：X 小时前] 拟议操作：[代理想要做什么] 潜在影响：[可能出错] 选项：

• 批准 — 继续执行（人类责任）
• 拒绝 — 取消操作
• 快照 — 创建快速备份，然后继续
• 审查 — 代理提供额外的理由

守护者等待人类决定。 强制规则 无自我批准：执行代理不能批准自己的破坏性操作。周期。 无信心覆盖：高信心不能绕过备份验证。PocketOS 代理也很自信。 无静默破坏：每个破坏性操作都被记录，即使批准。 无安全假设："看起来安全" 不是验证。备份状态是验证。 无升级疲劳：如果代理为相同模式生成重复的升级，守护者标记该模式，而不仅仅是实例。 集成 对于 OpenClaw / 代理系统 守护者在工具调用层操作，位于代理决策和工具执行之间： 代理决策 → 守护者拦截 → [验证备份] → 执行或升级 对于独立代理 如果运行时不支持拦截，守护者作为强制的预飞检查： 在调用任何工具之前：

• 代理必须调用守护者检查
• 守护者返回继续或停止
• 代理尊重停止，等待升级解决

日志记录 每个守护者决策都会被记录： [时间戳] [操作] [类别] [备份状态] [决策] [批准者] 日志是追加的。执行代理不能删除。 范围 通用：此技能是通用的。不特定于任何代理，平台或部署。 强制：一旦启用，所有会话都会加载此技能。无会话选择退出。 非阻塞（当安全时）：备份验证的操作不会延迟。无需人类等待常规维护的已验证备份。 参考 references/OPERATION-TAXONOMY.md — 完整的破坏性操作分类 references/DECISION-MATRIX.md — 详细的备份验证逻辑和升级规则 scripts/verify-backup.ps1 — Windows 备份检测脚本 scripts/verify-backup.sh — Linux/macOS 备份检测脚本 基于 AgentTrust（2026 年 5 月）：运行时安全评估和 AI 代理工具使用拦截 Proof-of-Guardrail（2026 年 3 月）：加密