核心功能
edgeone-clawscan 是腾讯朱雀实验室(Tencent Zhuque Lab A.I.G)开发的OpenClaw环境安全扫描工具,主要提供四大能力:
1. OpenClaw配置审计 — 运行 openclaw security audit --deep 检测网关暴露、权限配置、浏览器控制等安全风险
2. Skill供应链风险扫描 — 结合本地静态分析与云端威胁情报,识别已安装或待安装Skill的恶意/风险行为
3. CVE漏洞匹配 — 查询A.I.G漏洞库,匹配当前OpenClaw版本的已知安全漏洞
4. 隐私泄露风险评估 — 基于配置元数据分析相册、文档、会话日志等敏感数据暴露路径
显著优点
- 来源权威:腾讯官方开源项目(T1级可信),GitHub活跃维护
- 数据最小化:云端查询仅发送skill名称+来源标签、版本号,绝不上传源码、对话或工作区文件
- 可控透明:提供
AIG_CLOUD_LOOKUP=off完全禁用外联,或AIG_BASE_URL指向自建实例 - 零依赖风险:纯Markdown技能,无第三方依赖包
- 离线可用:所有核心功能均有本地降级方案,网络中断不影响扫描完成
潜在局限
- 云端威胁情报依赖腾讯A.I.G服务可用性,离线模式缺少最新恶意Skill签名
- CVE库需网络更新,离线时无法获取当日新增漏洞
--deep探针需用户自行确认生产环境风险- 本地静态分析无法检测运行时动态加载的恶意行为
适合人群
- OpenClaw环境管理员、安全审计人员
- 企业合规团队需定期安全体检
- 对Skill供应链安全有顾虑的开发者
- 气隙/隐私敏感环境用户(可配置纯本地模式)
常规风险
- 误配置
AIG_CLOUD_LOOKUP可能导致预期外的网络连接 - 生产网关未隔离时运行
--deep可能产生实际探针流量 - Skill注册表显示的"所有者"可能与实际作者不一致,需核实官方仓库签名