核心定位
OpenClaw Security Monitor 是专为 OpenClaw AI 代理生态设计的深度安全工具,提供从威胁检测到自动修复的完整闭环。其核心功能围绕 41 点综合安全扫描 展开,覆盖从传统 C2 通信、恶意软件签名到新兴的 MCP 工具投毒、AI 提示注入等 Agentic AI 时代特有的攻击向量。
核心能力
多维威胁检测体系:
- 网络层:IOC 数据库(C2 IP、恶意域名)实时比对,ClawHavoc 威胁情报集成
- 主机层:文件权限审计、持久化机制扫描(LaunchAgents/crontab/systemd)、容器安全检测
- 应用层:41 项细分检查涵盖 CVE-2026-25253(WebSocket RCE)、CVE-2026-28363(safeBins 绕过)、CVE-2026-28479(SHA-1 缓存投毒)等高危漏洞
- 供应链层:ClawHub 技能市场扫描、恶意发布者检测、MCP/LSP 工具策略绕过检测
- AI 特有风险:提示注入、SKILL.md 后门、记忆投毒、SANDWORM_MODE 蠕虫检测
分级修复机制:
/security-remediate提供交互式修复流程,支持--dry-run预览、--check N单点修复、--all全量修复- 修复范围涵盖权限修正、Hosts 拦截、网关加固、MCP 隔离、技能隔离等
- 无人值守模式需显式声明
OPENCLAW_ALLOW_UNATTENDED_REMEDIATE=1,避免误操作
可视与告警:
- 本地 Web 仪表板(只读,localhost:18800)展示扫描历史与进程树
- Telegram 集成支持每日定时扫描告警
显著优势
1. 威胁情报时效性:直接集成 ClawHavoc 研究成果及 April 2026 官方安全通告,CVE 覆盖领先社区
2. 生态深度适配:针对 OpenClaw 特有架构(gateway、MCP、ClawHub、pairing auth)设计检测逻辑,非通用扫描器可比
3. 修复闭环完整:从检测到修复的自动化链路,降低安全运营门槛
4. 透明可信:全开源代码(MIT)、安全认证报告(CLS-2026-0507-ADIR-5.3.2,Grade A)、零外部依赖
局限与风险
- 平台局限:仅支持 macOS/Linux,无 Windows 支持
- 权限要求:修复操作需较高系统权限,部分场景需人工确认
- 情报依赖:IOC 更新依赖 GitHub 网络可达性,企业内网需配置代理
- 误报可能:启发式检测(如 base64 解码模式)可能触发合法脚本误报
- MCP 生态演进快:新型 MCP 攻击向量可能领先于内置检测规则更新
适合人群
- OpenClaw 重度用户(每日交互或托管敏感数据)
- 企业安全团队(需满足 AI 代理合规审计)
- 开发者与技能发布者(ClawHub 技能安全自检)
- 安全研究员(OpenClaw 威胁模型分析)
常规风险
| 类别 | 说明 |
|------|------|
| 供应链 | 威胁情报源被篡改(已 mitigated:来源白名单 + 格式验证)|
| 运营 | 自动修复误改配置(已 mitigated:默认交互模式 + 环境变量强控)|
| 隐私 | 扫描读取 ~/.openclaw 配置(已披露:只读检测,无外传)|
| 可用性 | 修复脚本超时或失败(已 mitigated:timeout 包装器 + 退出码分级)|