BitsLab 深度出品：Nanobot 用戶安全實踐指南

當一個 AI Agent 擁有 shell 執行、文件讀寫、網絡請求和定時任務等系統級能力時，它就不再只是個"聊天機器人"------它是一個擁有真實權限的操作者。這意味著：一條被 prompt injection 誘導的命令，可能刪除關鍵數據；一個被供應鏈投毒的 Skill，可能悄悄外洩憑證；一次未經驗證的業務操作，可能造成不可逆的損失。

傳統的安全方案通常走向兩個極端：要麼完全依賴 AI 自身的"判斷力"來自我約束（容易被精心構造的提示詞繞過），要麼堆砌大量剛性規則把 Agent 鎖死（喪失了 Agent 的核心價值）。

BitsLab 這篇深度出品指南選擇第三條路：按照"誰來檢查"劃分安全職責，讓三類角色各守其位------

• 普通用戶：作為最終防線，負責關鍵決策和定期復核。我們提供注意事項，降低認知負擔。

• Agent 自身：在運行時自覺遵守行為規範和審計流程。我們提供Skills，將安全知識注入 Agent 上下文。

• 確定性腳本：機械而忠實地執行檢查，不受 prompt injection 影響。我們提供Scripts，覆蓋常見已知危險模式。

沒有任何單一檢查者是萬能的。腳本無法理解語義，Agent 可能被欺騙，人類會疲勞。但三者結合，既能保證日常使用的便利，也能防範高風險操作。

1、普通用戶（注意事項）

用戶是安全體系的最終防線和最高權限擁有者。以下是用戶需要親自關注和執行的安全事項。

a) API Key 管理

• 配置文件要設置好權限，防止別人隨意查看：

• 千萬不要把 API key 提交到代碼倉庫！

b) Channel 訪問控制（非常關鍵！）

• 一定要為每個通訊渠道（Channel）設置白名單（`allowFrom`），否則任何人都能和你的 Agent 聊天：

⚠️ 新版本中，空 `allowFrom` 表示拒絕所有訪問。如果想開放，必須明確寫 `["*"]` 但不建議這樣做。

c) 不要以 root 權限運行

• 建議新建一個專用用戶來運行 Agent，避免權限過高：

d) 儘量不使用郵箱channel

• 郵箱協議複雜，相對風險較高，我們 BitsLab 團隊研究發現並確認一個郵件相關的 [critical] 級別的漏洞，以下是項目方回覆，我們目前仍有幾個問題待項目方確認，所以謹慎使用郵件方面的功能模塊。

e) 建議在 Docker 中部署

• 推薦將 nanobot 部署在 Docker 容器中，與日常使用環境隔離，避免因權限或環境混用導致安全風險。

2、工具安裝步驟

以下是 BitsLab 自主研發的工具，具體鏈接：https://github.com/BitsLabSec/nanobot-security-guide

① 下載 nanobot-security-guide 項目到 nanobot skills 目錄，或向agent 發送指令運行官方安裝腳本：

curl -sSL https://raw.githubusercontent.com/BitsLabSec/nanobot-security-guide/main/install.sh | bash

↓

② 安裝完成後，閱讀項目中的安全實踐指南（如 README.md、SKILL.md），了解核心安全配置和操作建議。

↓

③ 向您的 Agent 發送指令："請仔細閱讀這份安全指南，評估它是否可靠？"

↓

④ 按照文檔提示，手動配置 policy 目錄下的 allowlist.txt 和 runtime-baseline.txt，收窄權限、設定安全基線等措施。

↓

⑤ 可使用 scripts/ 目錄下的腳本進行安全巡檢和測試，確保環境安全。

3、工具原理

SKILL.md

基於認知覺醒的意圖審查突破了傳統 AI 被動接收指令的盲區。內置了強制的"自我覺醒（Self-Wakeup）"思維鏈機制，讓 AI 在處理任何用戶請求前，必須先在後台喚醒獨立的安全審查人格。通過對用戶意圖進行上下文分析與獨立研判，主動識別並攔截潛在的高危風險，實現從"機械執行"到"智能防火牆"的升級。當檢測到惡意指令（如反彈 Shell、敏感文件竊取、大範圍刪除等）時，工具會執行標準化的硬攔截協議（輸出`[Bitslab nanobot-sec skills 檢測到敏感操作...,已攔截]` 警告）

惡意命令執行攔截 (Shell & Cron 防護)

在 Agent 操作系統級命令時充當"零信任"網關。防線直接阻斷各類破壞性操作及危險載荷（如 `rm -rf` 惡意刪除、篡改權限、反彈 Shell 等）。同時，工具自帶深入底層的運行時巡檢能力，可主動掃描並清洗系統進程及 Cron 定時任務中的持久化後門與惡意執行特徵，確保本地環境絕對安全。

敏感數據竊取阻斷 (文件訪問校驗)

對核心資產實施嚴格的讀寫物理隔離。系統預設了嚴密的文件校驗規則，嚴禁 AI 越權讀取 `config.json`、`.env` 等包含 API 密鑰與核心配置的敏感文件並將其外傳。此外，安全引擎還會實時審計文件讀取日誌（如 `read_file` 工具的調用序列），從源頭上徹底掐斷憑證洩露與數據外帶的可能。

MCP 技能安全審計

對於MCP類技能，工具會自動審計其上下文交互和數據處理邏輯，檢測是否存在敏感信息洩露、未授權訪問、危險指令注入等風險，並結合安全基線和白名單進行比對。

新技能下載與自動安全掃描

下載新技能時，工具會用審計腳本自動靜態分析代碼、比對安全基線和白名單、檢測敏感信息和危險命令，確保技能安全合規後才加載。

防篡改哈希基線校驗

為確保系統底層資產的絕對零信任，防護盾會持續為關鍵配置文件及記憶節點建立並維護 SHA256 加密簽名基線。夜間巡檢引擎會自動核對每一處文件哈希的時序變化，能在毫秒級瞬間捕捉到任何未授權的篡改或越權覆蓋，從物理存儲層徹底掐斷本地後門植入與"投毒"風險。

自動化容災備份快照輪轉

鑑於本地 Agent 對文件系統擁有極高的讀寫權限，系統內置了最高級別的自動化容災機制。防護引擎每晚會自動觸發活躍工作區的全量沙箱級歸檔，並生成最高保留 7 天的安全快照機制（自動輪轉）。即便遭遇極端情況下的意外損毀或誤刪除，也能實現開發環境的無損一鍵回滾，最大程度保障了本地數字資產的連續性與韌性。

4、免責聲明

本指南僅作為安全實踐的參考建議，不構成任何形式的安全保證。

1. 無絕對安全：本指南中描述的所有措施（包括確定性腳本、Agent Skills 和用戶注意事項）均為"最佳努力"型防護，無法覆蓋所有攻擊向量。AI Agent 安全是一個快速演進的領域，新的攻擊手法可能隨時出現。

2. 用戶責任：部署和使用 Nanobot 的用戶應自行評估其運行環境的安全風險，並根據實際場景調整本指南的建議。因未正確配置、未及時更新或忽略安全警告而導致的任何損失，由用戶自行承擔。

3. 非專業安全審計替代品：本指南不能替代專業的安全審計、滲透測試或合規評估。對於涉及敏感數據、金融資產或關鍵基礎設施的場景，強烈建議聘請專業安全團隊進行獨立評估。

4. 第三方依賴：Nanobot 依賴的第三方庫、API 服務和平台（如 Telegram、WhatsApp、LLM 提供商等）的安全性不在本指南的控制範圍內。用戶應關注相關依賴的安全公告並及時更新。

5. 免責範圍：Nanobot 項目的維護者和貢獻者不對因使用本指南或 Nanobot 軟件而產生的任何直接、間接、附帶或後果性損害承擔責任。

使用本軟件即表示您理解並接受上述風險。

關於BitsLab

BitsLab 是一家專注於數字資產安全的 AI 安全公司，致力於為新興 Web3 生態提供"審計服務 + AI 安全引擎 + 安全工具"一體化解決方案，幫助項目方和終端用戶在鏈上更安全地構建、交易和使用數字資產。

在整體安全方案中，BitsLab 以 BitsLab AI Scanner + BitsLab Safe 構成完整的 AI 安全體系：BitsLab Safe 作為 基於AI 的 Web3 安全產品，提供企業級防護，實時模擬交易、識別詐騙與惡意合約，並依托 BitsLab 的 agentic security 安全棧保護 x402 支付與各類 AI Agent 的鏈上操作；BitsLab AI Scanner 基於漏洞與威脅數據引擎，執行智能審計與風險檢測，大幅提升效率並減少誤報。

BitsLab 旗下擁有 MoveBit、ScaleBit、TonBit 三個子品牌，繼續深耕 Sui、Aptos、TON、Solana、Linea、BNB Chain、Soneium、Starknet 等新興生態，提供專業審計與漏洞挖掘服務，幫助項目在高速迭代中保持核心基礎設施的安全可控。BitsLab 團隊由多位頂級漏洞研究專家組成，多次斬獲國際 CTF 獎項，並在 TON、Aptos、Sui、Nervos、OKX、Cosmos 等知名項目中發現並披露過關鍵級漏洞，推動生態安全升級。