核心用途
secucheck 是面向 OpenClaw 部署环境的综合安全审计工具,执行只读式安全检查,绝不自动修改配置。它通过 7 个核心维度(Runtime、Channels、Agents、Cron、Skills、Sessions、Network)全面扫描系统暴露面、权限配置和潜在攻击向量。
显著优点
分层输出设计:Beginner/Intermediate/Expert 三级解释深度,同一检查结果可按用户技术背景智能渲染——从生活化类比到 CVE 引用全覆盖。 运行时感知:不仅扫描静态配置,还检测 VPN/Tailscale 接入、容器隔离状态、实时网络暴露面等动态上下文。 本地化交付:最终报告自动匹配用户语言,技术术语保留英文确保准确性。 可视化仪表盘:生成 HTML 安全评分看板,支持浏览器直开。 上下文例外:能识别"单用户自托管""私有频道小圈子"等场景,避免机械式风险评级。
局限与风险
平台依赖:核心脚本基于 bash,Windows 原生环境需 PowerShell 回退,部分检查可能缺失。 容器/DSM 精简环境:Docker、Synology DSM 等环境常缺少 curl/ss/ip 等工具,需多次 fallback 降级检测精度。 无自动修复:设计哲学坚持"人审确认",紧急响应场景下无法一键加固。 攻击面盲区:依赖用户诚实披露网络拓扑(如是否挂 VPN),若上下文误判则评级失真。
适合人群
- OpenClaw 自托管管理员,尤其是多用户/多 Agent 复杂部署
- 企业安全合规审计人员,需周期性生成可视化报告
- 对 prompt-injection、session 隔离等 LLM 特有风险敏感的技术团队
- 安全意识薄弱的初学者(Beginner 模式可降低认知门槛)
常规风险
- 信息泄露:
gather_config.sh虽声明 redacted,但脚本权限不当或日志残留仍可能暴露敏感路径 - Dashboard 本地服务:
serve_dashboard.sh启动的 8766 端口若绑定 0.0.0.0 而非 127.0.0.1,可能意外暴露审计报告 - 社会工程依赖: Expert 级攻击场景描述过于详细,可能被恶意用户反向利用
- 自动触发盲区:Skill 安装、Agent 修改时自动审计,但若脚本执行失败未告警,用户可能误以为"已安全"
> 建议:生产环境使用 Expert 模式获取完整攻击向量分析,但务必在私有化网络内开启 Dashboard,并定期旋转 gateway auth token。