核心功能
openclaw-security-monitor 是专为 OpenClaw AI Agent 生态设计的主动式安全监控与威胁防护工具,由安全研究员 Adrian Birzu 开发维护。该技能整合了来自 ClawHavoc、Koi Security、Snyk、CrowdStrike 等 40+ 安全研究机构的威胁情报,针对 OpenClaw 特有攻击向量提供 41 项深度安全检查。
主要能力
- comprehensive 41-point 扫描:覆盖 C2 通信、恶意软件特征、反向 Shell、凭证窃取、加密钱包攻击、MCP 工具投毒、WebSocket 漏洞(CVE-2026-25253)、沙箱逃逸、权限提升等全攻击面
- 自动修复引擎:
remediate.sh支持 41 项独立修复脚本,可对文件权限、网关配置、MCP 隔离、PATH 劫持等进行一键加固,支持--dry-run预览模式 - 实时威胁情报:内置 IOC 数据库(C2 IP、恶意域名、文件哈希、恶意发布者),支持自动更新
- 可视化监控:本地 Web Dashboard(只读设计)展示扫描结果、进程树、历史趋势
- 告警通知:Telegram 集成,支持每日定时扫描推送
显著优点
1. 深度垂直集成:专门针对 OpenClaw/MCP 生态设计,覆盖 CVSS 9.9(safeBins 绕过)、CVSS 9.8(Google Chat Webhook 越权)等高危漏洞
2. 透明可信:完全开源(GitHub 可审计),扫描逻辑只读,修复操作需显式授权,无隐藏持久化机制
3. 生产级安全设计:Dashboard 默认仅绑定 localhost,无人值守修复需 OPENCLAW_ALLOW_UNATTENDED_REMEDIATE=1 环境变量显式开启
4. 活跃维护:持续跟踪 2026 年最新 CVE(如 CVE-2026-320xx 系列沙箱逃逸漏洞)
潜在局限
- 平台限制:仅支持 macOS(darwin)和 Linux,Windows 未覆盖
- 依赖环境:需要 Node.js 运行 Dashboard,部分功能依赖可选工具(docker、witr)
- 误报风险:基于特征匹配的检测可能对合法但敏感的操作(如内网 Webhook)产生告警
- 修复范围:自动修复主要针对配置层面的加固,对已被植入的后门需人工介入清除
- Telegram 依赖:告警功能需要外部 Bot Token,存在配置泄露风险(需妥善保管)
适合人群
- OpenClaw 重度用户,尤其是安装了大量第三方 Skill 的开发者
- 企业安全团队需要对其 AI Agent 基础设施进行合规审计
- 加密货币从业者(针对 AMOS Stealer 等钱包窃取木马有专门检测)
- 安全研究人员分析 OpenClaw/MCP 攻击样本
常规风险提示
- 权限敏感:
remediate.sh会修改系统配置(/etc/hosts、LaunchAgents、文件权限),建议在隔离环境测试后再用于生产 - IOC 更新源:默认从 GitHub 拉取威胁情报,若配置非官方源需
OPENCLAW_ALLOW_UNTRUSTED_IOC_SOURCE=1,存在供应链污染风险 - 扫描范围:会读取
~/.openclaw/下的凭证、配置、SSH 密钥等敏感路径,虽声称只读但仍需在可信环境运行 - Node.js 漏洞:Dashboard 依赖 Node.js,需关注 CVE-2026-21636 等运行时权限绕过漏洞