OpenClaw Security Monitor

🛡️ AI 代理生态的深度安全守护者

OpenClaw 生态专属安全扫描器,集成 41 点威胁检测与自动修复,覆盖 CVE-2026 系列漏洞及 MCP 供应链风险

收藏
14.5k
安装
3.2k
版本
5.3.2
CLS 安全性认证2026-06-03
点击查看完整报告 >

使用说明

核心定位

OpenClaw Security Monitor 是专为 OpenClaw AI 代理生态设计的深度安全工具,提供从威胁检测到自动修复的完整闭环。其核心功能围绕 41 点综合安全扫描 展开,覆盖从传统 C2 通信、恶意软件签名到新兴的 MCP 工具投毒、AI 提示注入等 Agentic AI 时代特有的攻击向量。

核心能力

多维威胁检测体系

  • 网络层:IOC 数据库(C2 IP、恶意域名)实时比对,ClawHavoc 威胁情报集成
  • 主机层:文件权限审计、持久化机制扫描(LaunchAgents/crontab/systemd)、容器安全检测
  • 应用层:41 项细分检查涵盖 CVE-2026-25253(WebSocket RCE)、CVE-2026-28363(safeBins 绕过)、CVE-2026-28479(SHA-1 缓存投毒)等高危漏洞
  • 供应链层:ClawHub 技能市场扫描、恶意发布者检测、MCP/LSP 工具策略绕过检测
  • AI 特有风险:提示注入、SKILL.md 后门、记忆投毒、SANDWORM_MODE 蠕虫检测

分级修复机制

  • /security-remediate 提供交互式修复流程,支持 --dry-run 预览、--check N 单点修复、--all 全量修复
  • 修复范围涵盖权限修正、Hosts 拦截、网关加固、MCP 隔离、技能隔离等
  • 无人值守模式需显式声明 OPENCLAW_ALLOW_UNATTENDED_REMEDIATE=1,避免误操作

可视与告警

  • 本地 Web 仪表板(只读,localhost:18800)展示扫描历史与进程树
  • Telegram 集成支持每日定时扫描告警

显著优势

1. 威胁情报时效性:直接集成 ClawHavoc 研究成果及 April 2026 官方安全通告,CVE 覆盖领先社区
2. 生态深度适配:针对 OpenClaw 特有架构(gateway、MCP、ClawHub、pairing auth)设计检测逻辑,非通用扫描器可比

3. 修复闭环完整:从检测到修复的自动化链路,降低安全运营门槛

4. 透明可信:全开源代码(MIT)、安全认证报告(CLS-2026-0507-ADIR-5.3.2,Grade A)、零外部依赖

局限与风险

  • 平台局限:仅支持 macOS/Linux,无 Windows 支持
  • 权限要求:修复操作需较高系统权限,部分场景需人工确认
  • 情报依赖:IOC 更新依赖 GitHub 网络可达性,企业内网需配置代理
  • 误报可能:启发式检测(如 base64 解码模式)可能触发合法脚本误报
  • MCP 生态演进快:新型 MCP 攻击向量可能领先于内置检测规则更新

适合人群

  • OpenClaw 重度用户(每日交互或托管敏感数据)
  • 企业安全团队(需满足 AI 代理合规审计)
  • 开发者与技能发布者(ClawHub 技能安全自检)
  • 安全研究员(OpenClaw 威胁模型分析)

常规风险

| 类别 | 说明 |
|------|------|
| 供应链 | 威胁情报源被篡改(已 mitigated:来源白名单 + 格式验证)|
| 运营 | 自动修复误改配置(已 mitigated:默认交互模式 + 环境变量强控)|
| 隐私 | 扫描读取 ~/.openclaw 配置(已披露:只读检测,无外传)|
| 可用性 | 修复脚本超时或失败(已 mitigated:timeout 包装器 + 退出码分级)|

安全解读

核心功能

openclaw-security-monitor 是专为 OpenClaw AI Agent 生态设计的主动安全监控工具,由安全研究者 Adrian Birzu 维护。该工具整合了 41 项深度安全检查,涵盖从已知 C2 基础设施、恶意技能检测到 MCP 工具投毒、WebSocket 劫持等前沿攻击面。

显著优点

1. 全面威胁覆盖:基于 ClawHavoc 研究报告与 40+ 安全情报源,覆盖 60+ CVE 漏洞(包括 CVSS 9.8+ 高危漏洞如 CVE-2026-28469、CVE-2026-28363)
2. 主动防御能力:不仅检测威胁,还提供 41 项自动修复脚本,可隔离恶意技能、加固网关配置、阻断 exfiltration 域名

3. 供应链透明:零 npm 依赖(Dashboard 为纯 Node.js 原生实现),全部 42 个 shell 脚本开源可审计

4. 安全设计:remediation 操作需双重确认(--yes + OPENCLAW_ALLOW_UNATTENDED_REMEDIATE=1),防止误操作

5. 持续更新:内置 IOC 数据库自动更新机制,对接 GitHub 官方威胁情报源

潜在局限与风险

1. 高权限操作风险:remediation 脚本具备修改系统配置、文件权限、hosts 文件的能力,虽有确认机制但误用仍可能影响系统稳定性
2. 自定义 IOC 源风险:支持 --github-repo 指定自定义上游源,若滥用 OPENCLAW_ALLOW_UNTRUSTED_IOC_SOURCE 可能引入恶意情报

3. 敏感路径扫描:扫描过程需读取 ~/.openclaw/ 下的配置、凭证文件,在共享环境中需注意输出日志的敏感信息暴露

4. Telegram 告警依赖:可选的每日自动扫描需配置 Telegram Bot Token,存在令牌管理风险

适合人群

  • OpenClaw 生产环境运维人员:需要持续监控 Agent 安全的 DevSecOps 团队
  • 安全研究人员:分析 OpenClaw/MCP 生态威胁态势的专业人员
  • 高安全需求个人用户:运行敏感工作流、涉及密钥管理的高级用户
  • 企业合规团队:需要满足供应链安全审计要求的组织

使用建议

始终遵循"扫描→预览→修复"流程:先运行 /security-scan 识别问题,再用 /security-remediate --dry-run 预览变更,最后确认执行修复。避免在生产环境直接启用无人值守修复模式。

OpenClaw Security Monitor 内容

dashboard文件夹
docs文件夹
ioc文件夹
scripts文件夹
remediate文件夹
手动下载zip · 175.2 kB
index.htmltext/plain
请选择文件