OpenClaw Security Monitor

🛡️ 41项威胁检测 · 自动修复 · 实时防护

OpenClaw专用安全监控工具,集成41项威胁检测与自动修复,基于ClawHavoc威胁情报库实时防护MCP漏洞、技能投毒及权限绕过攻击

收藏
12.6k
安装
3.2k
版本
5.3.0
CLS 安全性认证2026-06-23
点击查看完整报告 >

使用说明

核心用法

openclaw-security-monitor 是专为 OpenClaw AI 代理平台设计的企业级安全监控技能,提供从威胁检测到自动修复的完整安全闭环。

主要命令:

  • /security-scan:执行 41 点综合安全扫描,覆盖 C2 通信、恶意软件签名、反向 shell、凭证窃取、AI 提示注入、MCP 工具投毒、权限绕过等全攻击面
  • /security-remediate:扫描驱动的自动修复,支持 --dry-run 预览、--yes 无确认模式(需显式环境变量授权)
  • /security-dashboard:只读 Web 仪表板(默认 localhost:18800),可视化进程树与威胁态势
  • /clawhub-scan:针对已安装技能的专项审计,检测恶意发布者、可疑脚本模式
  • /security-setup-telegram:配置每日自动扫描的 Telegram 告警

技术亮点:

  • 威胁情报源自 40+ 安全研究机构(ClawHavoc、Snyk、CrowdStrike、OWASP 等),覆盖 2026 年最新 CVE(CVE-2026-25253 至 CVE-2026-32302)
  • 独有的 SANDWORM_MODE MCP 蠕虫检测、ClawJacked WebSocket 劫持防护
  • 沙箱逃逸、SHA-1 缓存密钥投毒、Google Chat Webhook 跨账户绕过等高级威胁专项检测

显著优点

  • 权威情报驱动:直接集成 ClawHavoc 研究的 341 个恶意技能特征库,以及官方 GitHub Security Advisories 实时更新
  • 深度覆盖:41 项检测点远超同类产品,尤其针对 AI 代理特有的 MCP 工具投毒、提示注入、技能完整性攻击
  • 修复闭环:不仅检测,更提供 41 个独立修复脚本,支持细粒度单点修复或批量自动修复
  • 零信任设计:修复操作需显式 OPENCLAW_ALLOW_UNATTENDED_REMEDIATE=1 授权,防止误操作或恶意利用
  • 透明开源:全代码公开审计(GitHub 托管),IOC 签名文件格式可验证,更新机制支持交互式确认

潜在缺点与局限性

  • 平台绑定:专为 OpenClaw 设计,无法直接应用于其他 AI 代理框架(如 LangChain、AutoGPT)
  • 依赖外部二进制:需要 Node.js 运行仪表板、lsof 进行网络检查,部分环境需手动安装
  • 威胁情报延迟:IOC 更新依赖用户手动执行 update-ioc.sh 或配置 cron,非实时云端推送
  • 修复范围受限:部分修复(如内核级漏洞、硬件安全模块)需配合 OpenClaw 官方更新,工具仅能做配置层加固
  • 误报可能:启发式检测(如 base64 解码、curl 管道)在合法开发场景中可能产生警告

适合人群

  • OpenClaw 企业部署的安全运维团队
  • 审计 AI 代理供应链安全的合规人员
  • 研究 AI 代理攻击面的安全分析师
  • 加密货币/Web3 开发者(针对钱包窃取专项防护)

常规风险

  • 修复操作风险--yes 模式若误配置可能阻断合法工作流,建议始终先 --dry-run
  • 情报源可信度:非官方 GitHub 源的 IOC 更新需 OPENCLAW_ALLOW_UNTRUSTED_IOC_SOURCE=1,存在供应链污染风险
  • 本地权限要求:扫描需读取 ~/.openclaw/ 完整目录,多用户环境需注意凭证文件访问隔离
  • Dashboard 暴露:虽默认绑定 127.0.0.1,但用户手动改绑公网 IP 可能泄露敏感扫描结果

安全解读

核心功能

OpenClaw Security Monitor 是一款专为 OpenClaw AI 代理生态设计的防御性安全监控工具,由安全研究者 Adrian Birzu 开发维护。其核心能力围绕 41 点深度安全扫描展开,覆盖从网络层到应用层的全栈威胁检测:包括已知 C2 IP 通信、恶意软件签名、反向 shell、凭证外泄、加密货币钱包窃取、AI 提示词注入、MCP 工具投毒、WebSocket 安全漏洞、容器逃逸、权限提升等前沿攻击向量。

显著优点

  • 威胁情报驱动:内置 ClawHavoc 研究团队提供的 IOC 数据库(C2 IP、恶意域名、文件哈希、恶意发布者),并支持每日自动更新
  • 主动防御能力:不仅是扫描器,更提供 41 个对应的自动修复脚本,可一键修复权限配置、阻断恶意域名、加固网关设置、隔离 MCP 投毒配置
  • 透明可信:全代码开源(MIT 许可证),GitHub 公开审计,无外部 npm/pip 依赖,仅使用系统标准工具(bash/curl/node/lsof)
  • 生产级安全设计:所有敏感操作需用户确认或显式环境变量授权(OPENCLAW_ALLOW_UNATTENDED_REMEDIATE),修复前支持 --dry-run 预览
  • 多维度监控:支持 CLI 扫描、Web Dashboard 可视化、Telegram 实时告警、每日自动化巡检

潜在局限

  • OpenClaw 生态专属:功能高度绑定 OpenClaw 目录结构和配置格式,无法直接用于其他 AI 代理平台
  • 需本地读取敏感配置:扫描需访问 ~/.openclaw 下的凭证文件和会话数据,虽为只读但存在隐私敏感
  • Node.js 依赖:Dashboard 功能需要本地 Node.js 环境
  • IOC 更新需网络:威胁情报更新依赖 GitHub 网络连接, air-gapped 环境需手动同步
  • 个人开发者维护:虽代码质量优秀,但相比企业级安全产品,长期维护稳定性存在不确定性

适合人群

  • OpenClaw 生产环境运维者:需持续监控代理安全状态的团队
  • 安全研究团队:分析 OpenClaw 生态威胁、验证 CVE 影响的蓝队成员
  • 安全意识较强的个人用户:运行大量第三方 Skill 的 OpenClaw 用户
  • 合规审计场景:需定期输出安全配置基线报告的企业环境

常规风险

| 风险项 | 等级 | 说明 |
|--------|------|------|
| 配置文件读取 | 低 | 扫描器需读取 `~/.openclaw` 配置,但为只读且不外泄 |
| 网络请求(IOC 更新) | 低 | 从 GitHub 拉取威胁情报,已验证来源白名单 |
| 自动修复误操作 | 中 | 修复脚本可能修改系统配置,务必先 `--dry-run` |
| Telegram Token 泄露 | 低 | 若配置告警功能,需安全保管 bot token |

安全认证

经 CLS-Certify v2.1.0 扫描:安全等级 S,评分 80/100,来源可信度 T2。静态代码无危险函数,动态行为边界清晰,符合 GDPR 数据最小化原则。

OpenClaw Security Monitor 内容

dashboard文件夹
docs文件夹
ioc文件夹
scripts文件夹
remediate文件夹
手动下载zip · 175.0 kB
index.htmltext/plain
请选择文件