hermes-agent量产系统

【destructive_command_guard】给AI编程助手套上安全缰绳,避免一行命令毁掉所有心血

这是一个专为AI编程助手设计的高性能拦截钩子,它能在具有破坏性的命令(如 rm -rfgit reset --hard 或数据库删除操作)被执行前将其阻断,防止AI助手一时“犯浑”瞬间摧毁你数小时的工作成果。

主要功能与特性

  • 零配置防护:默认开启核心保护,无需复杂设置即可拦截危险的 Git 和文件系统命令。
  • 50+ 模块化安全规则包:覆盖数据库、Kubernetes、Docker、云服务(AWS/GCP/Azure)、Terraform 等全方位场景,可按需启用。
  • 亚毫秒级极低延迟:采用 SIMD 加速过滤,执行拦截几乎无感,不会拖慢工作节奏。
  • 智能上下文检测:能精准区分搜索数据和真实执行(例如允许 grep "rm -rf" 但拦截 rm -rf /),避免误杀正常操作。
  • 嵌入式脚本扫描:能捕获隐藏在 python -c 或内联 shell 脚本中的破坏性代码。
  • 失败开放设计:遇到超时或解析错误时自动放行命令,绝不因工具本身的问题卡死你的正常工作流。
  • 针对不同AI的专属配置:自动检测当前运行的AI助手(如 Claude Code、Cursor等),可按助手类型设置信任级别与特定规则。
  • 便捷的逃生通道:支持环境变量临时绕过、一次性放行码和永久白名单机制,确保正当操作不被无理阻挡。
  • CI扫描与解释模式:支持在代码审查的 CI 流程中拦截危险命令;使用 dcg explain "command" 可清晰查看某条命令被拦截的具体原因。

安装与快速使用

针对不同操作系统,项目提供了极其简便的安装脚本,自动下载二进制文件并配置相关AI助手的钩子。

macOS / Linux / Windows WSL 快速安装:

curl -fsSL "https://raw.githubusercontent.com/Dickleswardstone/destructive_command_guard/main/install.sh?$(date +%s)" | bash -s -- --easy-mode

Windows 原生 PowerShell 安装:

& ([scriptblock]::Create((irm "https://raw.githubusercontent.com/Dickleswardstone/destructive_command_guard/main/install.ps1"))) -EasyMode -Verify

启用更多安全防护:
安装后,你可以在 ~/.config/dcg/config.toml 配置文件中按需开启更多安全包,例如拦截数据库删除或容器清理操作:

[packs]
enabled = [
    "database.postgresql",    # 阻断 DROP TABLE, TRUNCATE
    "kubernetes.kubectl",     # 阻断 kubectl delete namespace
    "cloud.aws",              # 阻断 aws ec2 terminate-instances
    "containers.docker",      # 阻断 docker system prune
]

查看拦截原因:
如果某条命令被拦截且你不理解原因,可以使用解释模式:

dcg explain "git reset --hard HEAD~5"

适用场景与目标用户

这个项目非常适合日常重度依赖 AI 编程助手(如 Claude Code、Codex CLI、Gemini CLI、GitHub Copilot、Cursor 等)的开发者。AI 虽然强大,但偶尔会执行不可逆的毁灭性命令,这款工具为你的本地代码库和云端基础设施提供了必不可少的防误触安全网。此外,团队负责人和运维人员也可以利用它的 CI 扫描模式,在代码提交审查阶段拦截危险操作,或者通过自定义 YAML 规则包来保护公司内部专有工具的安全。

总结

这是一个极具实用价值的“安全带”工具。随着 AI 编程助手越来越普及,它们误执行破坏性命令的潜在风险也随之增加。该项目不仅拦截范围广、性能损耗极低,而且设计非常周到——既有智能防误杀机制,又提供了灵活的白名单和绕过方式,绝不会给正常开发添堵。对于任何正在使用 AI 辅助编程的人来说,这都是一道必装的坚实防线。

类似文章