核心用法
edgeone-clawscan 是安装 OpenClaw 后的必选安全基石技能,提供两大核心能力:
Feature 1: OpenClaw 安全体检 — 四步全面审计:① 配置安全扫描(openclaw security audit --deep);② Skill 供应链风险检测(对接腾讯云 A.I.G 威胁情报库);③ CVE 漏洞匹配;④ 隐私泄露风险自评估。生成统一健康报告,百分制评分并给出可操作建议。
Feature 2: Skill 安全扫描 — 针对单个 Skill 的预安装审查或已安装审计。支持云端威胁情报查询(clawhub 等托管源)与本地静态代码审计双轨,输出简洁 verdict:✅安全 / ⚠️需关注 / 🔴高危。
显著优点
- 来源权威:腾讯朱雀实验室(T1 可信来源)出品,企业级安全研究团队背书
- 检测全面:供应链风险 + CVE 漏洞 + 配置审计 + 隐私评估四维覆盖
- 实时情报:云端 A.I.G 数据库持续更新,可捕获安装后变恶意、社区新标记等动态威胁
- 数据最小化:仅传输 Skill 名称、来源标签、版本号等元数据,隐私检查完全本地执行
- 优雅降级:网络不可用时自动切换本地审计,不阻断扫描流程
- 语言自适应:严格遵循用户输入语言输出全文,避免中英混用
潜在局限
- 网络依赖:CVE 匹配与托管源威胁情报需访问
matrix.tencent.com,离线环境能力受限 - 静态分析边界:本地审计无法检测运行时行为、混淆代码或未来更新引入的威胁
- Gateway 探针风险:
--deep模式对生产 Gateway 的主动探测需预先评估暴露面 - 自定义源覆盖有限:
local/github源默认跳过云端情报,依赖本地规则深度
适合人群
- OpenClaw 新用户:作为首装 Skill 建立安全基线
- 企业安全团队:需要批量审计、合规检查、供应链风险管控
- 谨慎型开发者:安装第三方 Skill 前的必做安全检查
- 隐私敏感用户:关注本地数据泄露路径评估
常规风险
- 误将正常高权限 Skill 标记为风险(需结合用途一致性判断)
- 云端情报延迟导致新型恶意 Skill 漏检(建议定期重扫)
- 生产环境
--deep探针可能触发安全告警(提前配置白名单)