OpenClaw Security Monitor

🛡️ 59点深度扫描·威胁情报驱动·自动修复

59点深度安全扫描与自动修复,基于ClawHavoc威胁情报,覆盖C2检测、反向Shell、MCP投毒、CVE漏洞链等全方位防护。

收藏
8k
安装
3.2k
版本
4.2.1
CLS 安全性认证2026-06-04
点击查看完整报告 >

使用说明

核心用法

openclaw-security-monitor 是专为 OpenClaw AI Agent 设计的主动式安全监控套件,提供从威胁检测到自动修复的完整闭环。核心命令包括:

  • `/security-scan`:执行 59 点综合安全扫描,涵盖已知 C2 IP、AMOS 窃取器标记、反向 Shell、凭证外泄端点、加密货币钱包攻击、curl-pipe 攻击、敏感文件权限、SKILL.md 注入、内存投毒、Base64 混淆、恶意发布者检测等
  • `/security-remediate`:扫描驱动修复,支持 --dry-run 预览、--check N 单点修复、--all 批量执行,需 OPENCLAW_ALLOW_UNATTENDED_REMEDIATE=1 才能无人值守
  • `/security-dashboard`:只读 Web 仪表盘,默认绑定 localhost:18800,无 shell 执行能力
  • `/security-network`:网络连接监控与 IOC 库比对
  • `/clawhub-scan`:本地技能库安全审计,检测恶意发布者、可疑脚本模式、SKILL.md 完整性

显著优点

1. 威胁情报领先:直接整合 ClawHavoc 研究(341 个恶意技能)、40+ 安全源,覆盖 CVE-2026-25253 至 CVE-2026-29610 等 20+ 高危漏洞
2. 检测维度全面:从传统入侵指标(C2 IP、域名)到 AI Agent 特有攻击面(MCP 工具投毒、prompt 注入、SKILL.md 供应链攻击)

3. 修复能力实用:59 个独立修复脚本覆盖权限加固、域名屏蔽、工具黑名单、网关加固、沙箱配置等

4. 透明可审计:全开源(GitHub 公开仓库),扫描逻辑只读不泄露,修复操作需显式确认

5. 最小侵入设计:不自动安装持久化机制(cron/LaunchAgent),所有后台任务需用户手动启用

潜在缺点与局限

  • 平台依赖:专为 OpenClaw 生态设计,对其他 AI Agent 框架(如 Claude Desktop、ChatGPT)无直接适配
  • 修复风险remediate.sh 会修改系统配置(/etc/hosts、文件权限、网关配置),误报可能导致服务中断
  • 情报滞后:IOC 库依赖手动或定时更新,零日攻击可能无签名覆盖
  • Node.js 依赖:仪表盘需要 node 运行时,部分精简环境可能缺失
  • Telegram 可选依赖:每日告警功能需要外部 bot token 配置

适合人群

  • OpenClaw 重度用户,尤其是安装 5+ 第三方技能的开发者
  • 处理敏感凭证(API key、私钥)的 AI 自动化工作流运维者
  • 需要合规审计的企业安全团队,需证明 Agent 基础设施的安全基线
  • 安全研究人员分析 AI Agent 供应链攻击面

常规风险

  • 供应链风险:技能本身若被篡改,扫描器可能成为后门(但项目开源可审计,且支持自身完整性校验)
  • 误修复风险:自动化修复可能破坏合法但"可疑"的配置(如开发用的 webhook.site 测试端点)
  • 权限提升:修复脚本需要读写敏感路径(~/.openclaw、/etc/hosts),运行时应最小化权限
  • 情报源信任update-ioc.sh 默认从 GitHub 拉取,若上游被攻陷可能植入恶意检测规则(可配置 OPENCLAW_ALLOW_UNTRUSTED_IOC_SOURCE 限制)
  • MCP 生态快速演变:OWASP MCP Top 10 2026 刚发布,检测规则需持续跟进新型攻击向量

安全解读

核心用法

OpenClaw Security Monitor 是一款专为 OpenClaw AI 代理平台设计的主动式安全监控工具,通过 /security-scan/security-remediate/security-dashboard 等命令提供全方位防护。

主要功能模块

  • 59点安全扫描:覆盖 C2 IP 检测、反向 shell 识别、凭证外泄、加密钱包攻击、Skill 完整性验证、MCP 服务器投毒、SANDWORM_MODE 蠕虫检测等前沿威胁
  • 自动修复系统remediate.sh 支持 59 项独立修复脚本,采用"扫描-预览-修复"工作流,需双重确认(--yes 标志 + OPENCLAW_ALLOW_UNATTENDED_REMEDIATE=1 环境变量)才能无人值守执行
  • 威胁情报中心:基于 ClawHavoc、Koi Security、VirusTotal 等 40+ 安全研究机构的实时 IOC 数据库(C2 IP、恶意域名、文件哈希、恶意发布者)
  • Web 仪表盘:只读型本地仪表盘(默认 127.0.0.1:18800),无命令执行能力
  • ClawHub 审计:扫描已安装 Skill 的恶意发布者、可疑脚本模式(curl-pipe、base64 eval、反向 shell)

显著优点

安全设计领先

  • 纯原生实现(Shell/Node.js),零第三方依赖包,消除供应链攻击面
  • 修复操作强制交互确认,误触风险极低;--dry-run 模式支持完整预览
  • 代码公开可审计(GitHub),获 CLS-Certify A级认证(82分),静态分析 88分、动态行为 85分

威胁覆盖深度

  • 独家覆盖 2026 年新型 CVE:CVE-2026-28363(safeBins 绕过,CVSS 9.9)、CVE-2026-28479(SHA-1 缓存投毒)、CVE-2026-28469(Google Chat 跨账户绕过,CVSS 9.8)等
  • 首创 MCP 服务器安全审计(OWASP MCP03/MCP06)、SANDWORM_MODE 蠕虫检测、规则文件 Unicode 后门识别

运营友好

  • 可选 Telegram 每日警报、自动 cron 任务(需手动配置)
  • 细粒度控制:支持单检查修复(--check N)、全量修复(--all)、仅扫描不修复

潜在局限

平台绑定:专为 OpenClaw 生态设计,对 Claude、ChatGPT 等其他 AI 代理平台无直接支持

IOC 更新依赖:威胁情报从 GitHub 远程拉取,虽默认来源可信且支持完整性校验,但极端场景下存在供应链风险(RISK-001,CVSS 3.1)

修复权限要求:部分修复操作(hosts 修改、网关配置调整)需系统级权限,在严格受限环境中可能无法完整执行

本地监控边界:核心功能聚焦本地 OpenClaw 实例,网络层监控(/security-network)依赖 lsof,深度流量分析能力有限

适合人群

  • OpenClaw 重度用户:日常依赖 OpenClaw 执行代码、操作文件系统的开发者
  • AI 代理安全团队:需要审计 AI 工具链(MCP 服务器、Skill 生态)的企业安全人员
  • 加密货币持有者:针对 AMOS 窃取器、种子短语外泄等加密资产威胁的专项防护需求
  • 安全意识较强的个人用户:愿意投入时间理解安全扫描报告、执行修复确认流程的用户

常规风险

| 风险项 | 等级 | 说明 |
|--------|------|------|
| IOC 来源篡改 | 低 | 需 `OPENCLAW_ALLOW_UNTRUSTED_IOC_SOURCE=1` 才能使用非信任源,默认受保护 |
| 误修复导致配置变更 | 低 | 必须 `--yes` + 环境变量双因子确认,默认逐条交互 |
| 仪表盘未授权访问 | 低 | 默认仅本地绑定,无认证但攻击面极小 |
| Skill 自身被篡改 | 极低 | 开源可审计,CLS A级认证,建议验证 `sha256:1d97bea...` 哈希 |

OpenClaw Security Monitor 内容

dashboard文件夹
docs文件夹
ioc文件夹
scripts文件夹
remediate文件夹
手动下载zip · 168.7 kB
index.htmltext/plain
请选择文件