> 用途:对 OpenClaw 部署进行安全配置审计,检测已知漏洞和安全隐患
> 版本:1.0.0
> 作者:Security Team
> 风险等级:安全审计工具(仅读取和检测,不修改任何配置)
本 Skill 是一个安全审计工具,可检测 OpenClaw 部署中的以下安全问题:
| 检测项 | 对应漏洞编号 | 描述 |
|---|---|---|
| -------- | ------------- | ------ |
| 环境变量泄露检测 | SYS-002, OC-008 | 检查 process.env 是否暴露敏感 API Key |
| 明文凭据存储检测 | SYS-005, ECO-012 | 检查 auth-profiles.json 等文件是否明文存储凭据 |
| 网关认证配置检测 | SYS-006, ECO-024 | 检查 Gateway 是否启用了认证 |
| 网关绑定地址检测 | SYS-006 | 检查 Gateway 是否绑定到 0.0.0.0 |
| 沙箱配置检测 | ECO-009, OC-001 | 检查沙箱是否正确启用 |
| 速率限制检测 | SYS-007, OC-011 | 检查是否配置速率限制 |
| 恶意 Skill 扫描 | ClawHavoc | 扫描已安装 Skill 是否匹配已知恶意名单 |
| IOC 指标检测 | ClawHavoc IOC | 检测已知恶意 IP、域名、文件哈希 |
| SKILL.md 恶意内容检测 | ECO-015 | 扫描所有已安装 Skill 的 SKILL.md 是否含可疑命令 |
| Base64 编码命令检测 | OC-009 | 检测 SKILL.md 中隐藏的 Base64 编码命令 |
| 进程隔离验证 | SYS-001 | 验证是否存在进程隔离机制 |
| WebSocket 加密检测 | ECO-006 | 检查 WebSocket 通信是否使用 wss:// |
| DM/Group 策略检测 | 认证/授权 | 检查频道安全策略配置 |
| 审计日志检测 | SYS-004 | 检查是否启用安全审计日志 |
| 已知恶意攻击者检测 | ClawHavoc | 比对已安装 Skill 的作者信息 |
运行安全审计:
node tools/security-audit.js
运行完整审计并输出 JSON 报告:
node tools/security-audit.js --format json --output audit-report.json
仅运行特定检测模块:
node tools/security-audit.js --module env,auth,skills,ioc
共 1 个版本