核心用法
edgeone-clawscan 是腾讯朱雀实验室 A.I.G(AI-Infra-Guard)团队开发的专业安全审计技能,为 OpenClaw 环境提供类杀毒软件的全方位防护。主要功能分为两大模块:
1. OpenClaw 安全体检(Feature 1):执行 4 步深度扫描——配置审计、供应链风险检测、CVE 漏洞匹配、隐私泄露风险自评估,生成统一健康报告
2. Skill 安全扫描(Feature 2):针对单个 Skill 进行安装前审查或已安装 Skill 审计,输出精简安全结论
使用方法简单,当用户触发安全相关指令如「开始安全体检」「扫描 Skill 安全性」时自动执行,无需复杂配置。
显著优点
| 优势 | 说明 |
|------|------|
| **权威背书** | 腾讯朱雀实验室出品,T1 级别可信来源,国内顶尖 AI 基础设施安全团队 |
| **数据零泄露** | 明确承诺不传输文件内容、凭证、个人数据,仅发送 Skill 名称和来源标签进行查询 |
| **行为透明** | 所有网络请求、API 调用、探测行为均 upfront 披露,用户可审计 |
| **优雅降级** | 云端情报不可用时自动 fallback 到本地审计,不中断扫描流程 |
| **隐私本地评估** | 第 4 步隐私检测完全本地执行,不读取实际文件内容,仅分析权限元数据 |
| **输出规范** | 严格的多语言适配、分场景输出模板,避免信息过载或安全误导 |
潜在缺点与局限性
- 依赖腾讯云 API:默认使用腾讯云 matrix.tencent.com 端点,网络受限环境需自建 AIG_BASE_URL
- 纯 Markdown 实现:无可执行代码,实际检测能力依赖 OpenClaw 内置命令
openclaw security audit,若 OpenClaw 本身存在漏洞则检测效果受限 - 静态分析为主:Feature 2 的本地审计为静态代码检查,无法覆盖运行时动态行为或未来更新引入的风险
- 生产环境 Gateway 探测需谨慎:
--deep模式的 live probe 建议在审查 Gateway 暴露情况后,再对生产环境执行
适合人群
- 刚安装 OpenClaw 的新用户,作为「首装安全技能」建立安全基线
- 企业/团队管理员,需要批量审计已安装 Skill 的供应链风险
- 安全意识较强的开发者,在安装第三方 Skill 前进行预检
- 需要满足合规要求、需定期安全体检的组织
常规风险
该 Skill 本身经腾讯朱雀实验室安全认证,评分 S+,零依赖,无确认安全风险。主要注意事项:
1. 确保使用官方来源安装,避免被篡改的仿冒版本
2. 生产环境执行 --deep 探测前,先确认 Gateway 访问控制配置
3. 网络隔离环境下,提前规划 AIG_BASE_URL 自建实例或接受离线模式
4. 理解「静态检查通过」不代表「绝对安全」,仍需关注 Skill 后续更新和运行时行为