Security Audit

核心用法

security-audit 是专为 Clawdbot 部署设计的综合安全审计技能，通过命令行脚本对系统进行多维度扫描。基础用法为 node skills/security-audit/scripts/audit.cjs，支持 --full 全面扫描、--fix 自动修复及针对凭证、端口、配置、权限、Docker 等专项检查。输出报告按 🔴 CRITICAL、🟠 HIGH、🟡 MEDIUM、🟢 INFO 四级风险分层，便于优先级处理。

显著优点

• 开箱即用：零外部依赖，直接使用系统原生工具
• 覆盖全面：涵盖凭证泄露、端口暴露、配置缺陷、文件权限、容器安全五大领域
• 自动修复：一键修复常见安全问题，如 .env 权限设为 600、生成 .gitignore
• 结构化输出：支持 JSON 格式导出，便于集成 CI/CD 流程

潜在局限

• 自动修复仅覆盖"常见"问题，复杂漏洞需人工介入
• 报告声称"未执行安全扫描"，实际检测能力依赖脚本实现质量
• Docker 检查项较基础，不涉及镜像漏洞扫描（如 CVE 检测）
• 无持续监控能力，需配合 security-monitor 实现实时防护

适合人群

Clawdbot 部署运维人员、DevOps 工程师、安全合规团队，尤其适合部署前快速自检或定期安全巡检场景。

常规风险

• --fix 自动修改权限可能影响特定业务场景（如共享环境）
• 扫描本身可能触发入侵检测系统（IDS）告警
• 若脚本存在漏洞，可能成为攻击入口

核心功能

security-audit 是一款专为 Clawdbot 部署环境设计的安全审计 Skill，提供全面的漏洞扫描与自动修复能力。核心功能涵盖五大检查维度：凭证安全（API 密钥、令牌、硬编码密码）、端口暴露（意外开放端口、防火墙缺失）、配置验证（速率限制、认证机制、CORS 策略）、文件权限（全局可读、敏感文件位置）以及 Docker 安全（特权容器、资源限制、Root 用户运行）。

显著优点

1. 零外部依赖：仅使用 Node.js 内置模块（fs、path、crypto、child_process），彻底规避供应链攻击风险
2. 行为高度可信：安全认证报告显示其网络评分 100 分，无外发数据、无隐蔽操作，隐私合规达 85 分
3. 分级风险报告：CRITICAL/HIGH/MEDIUM/INFO 四级可视化输出，便于优先处理关键问题
4. 智能自动修复：--fix 模式一键修复常见漏洞，包括设置 600 权限于 .env 文件、补全 .gitignore 等
5. 多场景覆盖：支持快速审计、完整扫描、定向检查及 JSON 报告生成，适配 CI/CD 集成

潜在局限

• --fix 模式直接修改系统配置，虽有明确声明但缺乏交互确认，存在误操作可能
• Docker 检查功能目前仅解析 Dockerfile 内容，未实际执行容器级安全扫描
• 部分错误处理采用静默忽略策略，不利于问题排查

适合人群

DevOps 工程师、安全运维人员、Clawdbot 部署管理员，以及需要在部署前进行安全基线检查的开发团队。特别适合追求轻量化、无依赖安全工具的场景。

常规风险

该 Skill 具备 child_process.execSync 系统命令执行和 fs.chmodSync 文件权限修改能力，均属安全审计功能的核心需求。认证评估将其列为 MEDIUM 风险但确认符合预期用途。建议用户：使用前审查 --fix 的具体行为；避免在生产环境未经测试直接启用自动修复；定期关注 Skill 更新以获取 Docker 功能完善。