OpenClaw Security Monitor

🛡️ AI Agent 威胁猎手 · 41项漏洞扫描修复

OpenClaw专属安全监控技能,集成ClawHavoc威胁情报,支持41项漏洞扫描、自动修复与Telegram告警,CVSS 9.9级漏洞覆盖。

收藏
9.8k
安装
3.2k
版本
5.2.1
CLS 安全性认证2026-07-01
点击查看完整报告 >

使用说明

核心功能

openclaw-security-monitor 是专为 OpenClaw AI Agent 生态设计的主动式安全监控与威胁防护工具,由安全研究员 Adrian Birzu 开发维护。该技能整合了来自 ClawHavoc、Koi Security、Snyk、CrowdStrike 等 40+ 安全研究机构的威胁情报,针对 OpenClaw 特有攻击向量提供 41 项深度安全检查。

主要能力

  • comprehensive 41-point 扫描:覆盖 C2 通信、恶意软件特征、反向 Shell、凭证窃取、加密钱包攻击、MCP 工具投毒、WebSocket 漏洞(CVE-2026-25253)、沙箱逃逸、权限提升等全攻击面
  • 自动修复引擎remediate.sh 支持 41 项独立修复脚本,可对文件权限、网关配置、MCP 隔离、PATH 劫持等进行一键加固,支持 --dry-run 预览模式
  • 实时威胁情报:内置 IOC 数据库(C2 IP、恶意域名、文件哈希、恶意发布者),支持自动更新
  • 可视化监控:本地 Web Dashboard(只读设计)展示扫描结果、进程树、历史趋势
  • 告警通知:Telegram 集成,支持每日定时扫描推送

显著优点

1. 深度垂直集成:专门针对 OpenClaw/MCP 生态设计,覆盖 CVSS 9.9(safeBins 绕过)、CVSS 9.8(Google Chat Webhook 越权)等高危漏洞
2. 透明可信:完全开源(GitHub 可审计),扫描逻辑只读,修复操作需显式授权,无隐藏持久化机制

3. 生产级安全设计:Dashboard 默认仅绑定 localhost,无人值守修复需 OPENCLAW_ALLOW_UNATTENDED_REMEDIATE=1 环境变量显式开启

4. 活跃维护:持续跟踪 2026 年最新 CVE(如 CVE-2026-320xx 系列沙箱逃逸漏洞)

潜在局限

  • 平台限制:仅支持 macOS(darwin)和 Linux,Windows 未覆盖
  • 依赖环境:需要 Node.js 运行 Dashboard,部分功能依赖可选工具(docker、witr)
  • 误报风险:基于特征匹配的检测可能对合法但敏感的操作(如内网 Webhook)产生告警
  • 修复范围:自动修复主要针对配置层面的加固,对已被植入的后门需人工介入清除
  • Telegram 依赖:告警功能需要外部 Bot Token,存在配置泄露风险(需妥善保管)

适合人群

  • OpenClaw 重度用户,尤其是安装了大量第三方 Skill 的开发者
  • 企业安全团队需要对其 AI Agent 基础设施进行合规审计
  • 加密货币从业者(针对 AMOS Stealer 等钱包窃取木马有专门检测)
  • 安全研究人员分析 OpenClaw/MCP 攻击样本

常规风险提示

  • 权限敏感remediate.sh 会修改系统配置(/etc/hosts、LaunchAgents、文件权限),建议在隔离环境测试后再用于生产
  • IOC 更新源:默认从 GitHub 拉取威胁情报,若配置非官方源需 OPENCLAW_ALLOW_UNTRUSTED_IOC_SOURCE=1,存在供应链污染风险
  • 扫描范围:会读取 ~/.openclaw/ 下的凭证、配置、SSH 密钥等敏感路径,虽声称只读但仍需在可信环境运行
  • Node.js 漏洞:Dashboard 依赖 Node.js,需关注 CVE-2026-21636 等运行时权限绕过漏洞

安全解读

核心功能

openclaw-security-monitor 是一款专为 OpenClaw AI 代理框架设计的专业安全监控工具,提供 41 点综合安全扫描、实时威胁情报监控和自动化修复能力。

主要能力

  • 深度安全扫描:覆盖 C2 通信、恶意软件特征、反向 Shell、凭证窃取、加密钱包攻击、AI 提示注入、WebSocket 漏洞、MCP 工具投毒等 41 个检测点
  • 威胁情报集成:基于 ClawHavoc 研究成果,维护最新 IOC 数据库(C2 IP、恶意域名、文件哈希、恶意发布者)
  • 自动修复:41 个独立修复脚本,支持交互式/无人值守/预览模式
  • 监控告警:Telegram 每日安全报告 + 本地 Web Dashboard

显著优点

1. 安全设计优秀:所有敏感操作需用户显式授权,--yes 自动修复需配合 OPENCLAW_ALLOW_UNATTENDED_REMEDIATE=1 环境变量;无人值守模式不会静默执行危险操作
2. 代码透明可审计:MIT 许可证,GitHub 完全开源,无 npm 依赖,仅用系统工具(bash/curl/node/lsof)

3. 威胁情报权威:基于 40+ 安全机构研究(Snyk、CrowdStrike、OWASP、ClawHavoc 等),CVE 覆盖至 2026

4. 隐私保护严格:扫描数据本地处理,Telegram 仅发送摘要,无敏感数据外传

5. 零持久化设计:不自动安装 cron/LaunchAgent,需用户手动启用

潜在局限

  • OpenClaw 专用:仅适用于 OpenClaw 生态,其他 AI 代理框架(如 Claude Desktop、Cline)需适配
  • 本地运行依赖:需 bash/node/lsof 环境,Windows 原生支持有限
  • IOC 更新延迟:威胁情报依赖 GitHub 仓库更新,非实时流式威胁情报
  • 修复范围边界:自动修复聚焦 OpenClaw 配置层面,系统级漏洞(如内核 CVE)需外部处理

适合人群

| 场景 | 推荐度 |
|------|--------|
| OpenClaw 日常用户/开发者 | ⭐⭐⭐⭐⭐ 必备 |
| 企业安全团队管理 OpenClaw 部署 | ⭐⭐⭐⭐⭐ 强烈推荐 |
| 红队/安全研究人员分析 OpenClaw 攻击面 | ⭐⭐⭐⭐☆ 有用 |
| 其他 AI 代理框架用户 | ⭐⭐☆☆☆ 不适用 |

常规风险

  • 误报可能:41 点扫描可能标记合法但高风险的技能行为(如合法的 base64 编码配置)
  • 修复副作用:自动修复可能调整文件权限或阻止某些功能,建议 --dry-run 预览
  • Dashboard 暴露:默认 localhost 绑定,若手动修改绑定到 0.0.0.0 需额外访问控制
  • Telegram Token 管理:Bot Token 需妥善保管,避免泄露导致通知通道被滥用

使用建议

首次使用建议流程:

./scripts/scan.sh           # 基线扫描
./scripts/remediate.sh --dry-run  # 预览修复
# 人工审查后
OPENCLAW_ALLOW_UNATTENDED_REMEDIATE=1 ./scripts/remediate.sh --yes

定期维护:每周运行 update-ioc.sh --auto 更新威胁情报。

OpenClaw Security Monitor 内容

dashboard文件夹
docs文件夹
ioc文件夹
scripts文件夹
remediate文件夹
手动下载zip · 169.4 kB
index.htmltext/plain
请选择文件