secucheck

核心用法

secucheck 是专为 OpenClaw 设计的综合安全审计 Skill，通过执行 full_audit.sh 脚本对部署环境进行7大领域的只读扫描：运行时状态、频道策略、代理配置、定时任务、已安装技能、会话隔离和网络暴露。用户可通过自然语言指令（如"security audit"或"secucheck"）触发，并选择三种专业深度级别（初学者/中级/专家）获取定制化报告。审计完成后自动生成可视化 HTML 仪表板，支持本地化输出。

显著优点

专业深度与易用性平衡：三级解释体系让安全小白和渗透测试专家都能获得适配的信息密度，同一套检查逻辑通过差异化表述满足不同受众。

主动隐私保护：gather_config.sh 使用 jq 的 walk 函数自动脱敏 token、password、secret、apiKey 等敏感字段，审计报告不含凭证信息。

上下文感知风险评估：识别 VPN/Tailscale 环境、单用户场景、容器化部署等特殊情境，避免机械套用安全基线导致误报。

攻击场景驱动：内置提示注入、会话泄露、权限提升、凭证暴露、未授权访问五大攻击场景模板，专家模式直接引用 CVE 和真实利用路径。

零侵入设计：明确承诺"Never modifies configuration automatically"，所有修复建议需用户显式确认，并前置功能影响警告。

潜在缺点与局限性

仪表板服务暴露：serve_dashboard.sh 启动的 Python http.server 默认绑定 0.0.0.0，虽为本地功能但缺乏访问控制机制，多用户共享主机时存在信息泄露风险。

外部依赖查询：审计需访问 ifconfig.me 和 api.ipify.org 检测公网暴露，离线环境或严格网络隔离场景下部分检查会失败。

平台覆盖不均：Windows 原生支持依赖 PowerShell 回退，部分检查（如精确的文件权限 ACL 解析）在 WSL/DSM/Docker 精简环境中可能降级执行。

无持续监控能力：单次审计模式，需配合 cron 或手动触发实现周期性检查，不具备实时入侵检测功能。

适合的目标群体

• OpenClaw 自托管用户：尤其是将 AI 代理暴露于公网或半公网环境的部署者
• 企业安全团队：需要为内部 AI 基础设施建立安全基线的合规人员
• 开发运维工程师：在迭代代理配置、安装新技能或修改定时任务后快速验证安全影响
• 安全意识培训场景：利用三级报告体系向非技术人员解释 AI 系统风险

使用风险

性能影响：全量审计执行多条系统命令（ip、、ss、、netstat、、pgrep` 等），在资源受限的嵌入式设备或高负载生产环境可能产生短暂性能波动。

依赖项可用性：依赖 jq、、curl` 等工具，极简容器环境（如 distroless）需预装依赖或接受检查降级。

误报与漏报平衡：上下文感知逻辑虽减少误报，但过度依赖环境推断可能掩盖真实风险，建议关键决策前人工复核。

报告残留：HTML 仪表板文件生成于本地磁盘，多用户系统需手动清理避免审计结果泄露。