OpenClaw Security Monitor

🛡️ OpenClaw 生态的主动式安全防护中枢

安全工具榜 #2

OpenClaw安全监控技能,提供41点综合安全扫描、威胁情报检测、自动修复和Telegram告警,覆盖MCP投毒、WebSocket漏洞、沙箱逃逸等最新CVE

收藏
11.1k
安装
3.2k
版本
5.1.1
CLS 安全性认证2026-06-23
点击查看完整报告 >

使用说明

核心用法

openclaw-security-monitor 是专为 OpenClaw AI 代理生态设计的主动式安全监控工具,提供从威胁检测到自动修复的完整安全闭环。核心功能包括:

安全扫描 (/security-scan):执行41点深度安全检查,涵盖 C2 通信、恶意软件特征、反向 shell、凭证外泄、加密钱包攻击、AI 提示注入、WebSocket 安全(CVE-2026-25253)、MCP 工具投毒、沙箱逃逸(CVE-2026-32048)、SHA-1 缓存密钥污染(CVE-2026-28479)等最新威胁向量。

自动修复 (/security-remediate):扫描驱动的自动化修复系统,针对每个警告/严重发现执行独立修复脚本,支持 --dry-run 预览、--yes 自动确认(需环境变量授权)及单检查点修复模式。

威胁监控:网络连接 IOC 检测 (/security-network)、ClawHub 技能安全审计 (/clawhub-scan),以及可选的 Telegram 每日安全告警 (/security-setup-telegram)。

可视化仪表板:只读 Web 界面展示扫描结果、威胁统计和历史记录,默认绑定 localhost:18800。

显著优点

  • 威胁情报深度整合:基于 ClawHavoc 研究的 341 个恶意技能数据、40+ 安全来源,覆盖 2026 年最新 CVE
  • 零误操作设计:修复前强制 --dry-run 预览,无人值守模式需显式环境变量 OPENCLAW_ALLOW_UNATTENDED_REMEDIATE=1
  • 模块化修复架构:41 个独立修复脚本,支持单点修复和全量修复,避免过度修复
  • 透明可信:全源码开源审计,扫描只读不外传,修复行为完全可控
  • 生态原生:深度适配 OpenClaw 架构,自动识别技能目录、网关配置和沙箱策略

局限性与风险

  • 平台限制:仅支持 macOS 和 Linux,无 Windows 支持
  • 依赖要求:需要 Node.js、curl、lsof 等二进制文件,部分功能需可选依赖(witr、docker)
  • 权限需求:修复操作需要修改系统文件(/etc/hosts、文件权限、LaunchAgents 等),需适当权限
  • 威胁情报滞后:IOC 数据库依赖定期更新,零日攻击可能无法及时检测
  • 扫描范围限制:专注于 OpenClaw 生态,非通用系统安全扫描工具

适合人群

  • OpenClaw 重度用户,尤其是安装多个第三方技能的开发者
  • 需要满足合规要求的企业安全团队
  • 处理敏感凭证或加密货币操作的高风险场景用户
  • 关注 AI 代理供应链安全的早期采用者

常规风险

  • 修复误伤:自动修复可能误改合法配置,建议始终先执行 --dry-run
  • 权限提升:修复脚本以用户权限运行,不当配置可能导致权限扩大
  • 情报源信任:默认从 GitHub 拉取 IOC 更新,需验证 update-ioc.sh 的签名或哈希
  • 仪表板暴露:虽默认绑定 localhost,但错误配置可能导致敏感信息外泄

安全解读

核心功能

openclaw-security-monitor 是专为 OpenClaw AI Agent 生态设计的综合性安全监控工具,由独立安全研究者 Adrian Birzu 开发并开源维护。该 Skill 整合 ClawHavoc 等40+安全研究机构的威胁情报,提供41项深度安全检查,覆盖从基础设施到应用层的完整攻击面。

显著优点

1. 覆盖全面的检测能力:41点安全扫描涵盖 C2 通信、恶意代码签名、反向 shell、凭证外泄、加密钱包攻击、AI 提示注入、WebSocket 漏洞(CVE-2026-25253/ClawJacked)、MCP 工具投毒、沙箱逃逸、权限升级等新兴威胁向量,尤其针对 OpenClaw 特有的攻击模式(如 SKILL.md 注入、/agent/act 绕过、SANDWORM_MODE 蠕虫)。

2. 实战威胁情报支持:内置 ClawHavoc 研究团队维护的 IOC 数据库,包含已知恶意发布者、C2 IP、恶意域名、文件哈希等,支持自动更新机制保持情报时效性。

3. 透明可控的修复流程remediate.sh 提供 --dry-run 预览模式,所有系统修改(hosts 阻断、权限修复、配置加固等)均需用户确认,自动修复需显式设置 OPENCLAW_ALLOW_UNATTENDED_REMEDIATE=1 环境变量,避免误操作。

4. 低依赖架构:仅依赖 Node.js 内置模块(http/fs/path),无第三方 npm 包引入供应链风险;可选 Telegram 告警和本地 Dashboard,网络暴露面极小。

潜在局限与风险

1. 修复操作的风险敞口:虽然扫描本身只读,但 remediation 脚本确实具备修改系统配置的能力(如写入 /etc/hosts、调整 OpenClaw 网关配置)。用户在 --yes 自动模式下可能因误报导致配置变更,建议始终先 --dry-run

2. OpenClaw 生态绑定:该工具深度耦合 OpenClaw 的目录结构(~/.openclaw)、配置文件格式和 MCP 协议,无法直接迁移至其他 AI Agent 平台,适用场景受限。

3. Telegram 集成的隐私考量:可选的告警功能需配置 Bot Token,扫描摘要数据将流经 Telegram 服务器,对高敏感环境需评估合规性。

4. 维护依赖单一作者:尽管代码开源,项目主要由 Adrian Birzu 个人维护,长期更新可持续性存在不确定性;IOC 情报更新依赖上游 GitHub 仓库的可用性。

适合人群

  • 运行 OpenClaw/OpenClaude 等 AI Agent 的生产环境运维人员
  • 需要满足合规要求的企业安全团队
  • 希望主动监控 AI Agent 攻击面的安全意识较强的个人用户
  • 安全研究人员分析 OpenClaw 威胁样本

常规风险提示

  • 权限管理:Remediation 部分操作需 sudo,建议临时提权而非全程 root 运行
  • 备份习惯:首次修复前备份 ~/.openclaw 配置和 /etc/hosts
  • 情报验证:IOC 更新来自公开 GitHub 仓库,高安全环境建议自建私有情报源
  • Dashboard 暴露:默认 localhost 绑定,若需远程访问务必通过 SSH 隧道而非直接暴露

总体而言,这是 OpenClaw 生态中少有的专业级安全工具,设计谨慎、透明度高,适合作为生产环境的日常安全基线工具。

OpenClaw Security Monitor 内容

dashboard文件夹
docs文件夹
ioc文件夹
scripts文件夹
remediate文件夹
手动下载zip · 169.3 kB
index.htmltext/plain
请选择文件