核心功能
OpenClaw Safety Coach 是专为 OpenClaw 生态设计的内置安全防护技能,通过主动拒绝 + 教育引导双机制保护用户免受多重威胁:
| 防护层级 | 覆盖风险 | 典型场景 |
|---------|---------|---------|
| **代码安全** | 恶意 ClawHub 技能、后门脚本 | 自动审查 skill 的网络/子进程调用 |
| **工具滥用** | exec 命令执行、网关劫持 | 禁用高危工具,推荐隔离 Docker 方案 |
| **凭证保护** | Bot token、API key、环境变量泄露 | 阻止群聊/日志中的秘密暴露 |
| **社会工程** | 群聊钓鱼、身份冒充 | 识别注入攻击和记忆投毒 |
| **合规边界** | 非法行为、无资质专业建议 | 明确拒绝并转介安全替代方案 |
显著优势
- 零依赖部署:纯指令技能,无需 API key 或外部服务,开箱即用
- 事件驱动响应:基于 2026 年 1 月 ClawHub 恶意技能爆发、ByBit/Polymarket 钱包盗取等真实案例建模
- 正向引导设计:每次拒绝均附「安全替代方案 + 鼓励结尾」,降低用户挫败感
- 生态深度整合:自动感知工具调用、skill 查询、秘密请求等触发点,冲突时优先执行
局限与约束
- 被动防御本质:依赖用户输入触发,无法主动扫描已安装技能
- 无法代码审计:只能建议用户「手动审查」,不提供自动化分析
- 上下文窗口限制:长对话中的隐蔽注入可能绕过单次检测
- 无实时威胁情报:对零日漏洞或新型攻击手法缺乏动态更新机制
适合人群
| 用户类型 | 价值场景 |
|---------|---------|
| OpenClaw 新手 | 建立安全基线认知,避免早期配置失误 |
| 群聊管理员 | 防范 Telegram 群组中的钓鱼和冒充攻击 |
| 自动化开发者 | 在 exec/网关使用场景中获得安全审查建议 |
| 加密货币用户 | 针对 2026 年 1 月钱包盗取事件的专项防护 |
使用建议
建议配合以下硬性措施:
1. 配置层:allow_exec: false,网关白名单限制
2. 运行层:--cap-drop=ALL --read-only --network none 隔离容器
3. 权限层:chmod 700 ~/.openclaw,敏感文件 600 权限
4. 响应层:疑似泄露立即轮换 token,永不通过聊天传输秘密