核心用法
secucheck 是专为 OpenClaw 设计的综合性安全审计技能,通过执行 full_audit.sh 脚本对部署环境进行只读扫描。用户通过自然语言指令(如 "security audit")触发,需先选择三个专业层级之一(Beginner/Intermediate/Expert),随后系统自动运行检查并以对应深度解释结果。
审计覆盖七大核心域:
- Runtime:容器特权、VPN 状态、进程权限等实时系统状态
- Channels:频道策略、DM/群组访问控制
- Agents:代理工具权限(exec、文件访问、浏览器控制)
- Cron:定时任务的安全风险
- Skills:已安装技能的安全评估
- Sessions:会话隔离与数据泄露风险
- Network:网关绑定、外部 IP 暴露、端口监听
检查完成后生成两类输出:结构化文本报告(按风险等级分类)和可视化 HTML Dashboard(自动开启本地服务,支持局域网访问)。
显著优点
1. 上下文感知风险评估:不仅机械匹配规则,还结合部署场景(VPN/Tailscale 内网、单用户自托管、容器化环境)动态调整风险评级,避免误报。
2. 三级专业适配:同一套检查数据,根据用户选择输出类比解释、技术细节或攻击向量/CVE 引用,兼顾安全新手和渗透测试专家。
3. 全平台兼容:原生支持 Linux、macOS、Windows(WSL/Native)、Synology DSM,内置工具缺失时的降级命令(curl→wget、ss→netstat 等)。
4. 零侵入性:全程只读,所有修复建议需用户显式确认后方可执行,杜绝自动化误操作。
5. 多语言本地化:最终报告自动匹配用户语言,技术术语保留英文确保准确性。
潜在缺点与局限性
- 依赖外部脚本执行:核心功能依赖
~/.openclaw/skills/secucheck/scripts/下的 Shell 脚本,在极度精简的容器环境或权限受限主机上可能部分检查失败(虽有降级机制,但覆盖不全)。 - Dashboard 网络可达性:自动生成的 HTML 报告绑定局域网 IP,若主机防火墙未放行对应端口,或用户从隔离网络访问,可能无法直接打开。
- 非实时持续监控:属于点检工具,非 7×24 监控;高危配置变更后需手动或依赖有限的自动触发机制(技能安装/代理修改时)重新审计。
- Windows Native 支持有限:文档明确提示 Windows 原生环境可能存在检查盲区,需回退至 PowerShell 命令,功能完整性低于 Unix 系。
适合人群
- OpenClaw 自托管用户:尤其是将服务暴露于公网或半公网(DMZ、云主机)的管理员。
- 多用户/团队部署场景:需要审计频道级访问控制、会话隔离的 Workspace 管理员。
- 安全合规需求者:需定期生成安全态势报告、满足内部审计或最小权限原则验证的组织。
- AI Agent 开发者:在创建或修改 Agent 工具权限时,希望自动评估潜在攻击面(如 prompt-injection 导致的权限绕过)。
常规风险
- 信息泄露风险:
gather_config.sh虽声称对敏感信息脱敏(redacted),但审计过程仍会收集网络拓扑、端口监听、技能列表等元数据,若报告文件权限配置不当或被截获,可能降低攻击者侦查成本。 - Dashboard 服务暴露:
serve_dashboard.sh启动的临时 HTTP 服务若未正确绑定或及时关闭,可能成为短时间的额外攻击入口。 - 检查盲区导致的虚假安全感:在权限受限环境(如无
netstat/ss的容器)中,部分网络暴露检查可能静默跳过,若用户未仔细查看failed_checks字段,可能误判为"无风险"。 - 过度依赖自动化判断:上下文感知逻辑(如"VPN 内网降低网络风险")基于预设假设,若 VPN 本身存在配置缺陷(如 split tunneling 不当),系统不会自动识别。