skills/davida-ps/openclaw-audit-watchdog

openclaw-audit-watchdog

🔭 每日自动安全审计 · DM邮件双投递

OpenClaw自动化安全审计守护进程,每日定时执行深度安全扫描并通过DM/邮件推送结构化报告,适合生产环境持续监控。

收藏
7.9k
安装
2.4k
版本
0.1.4
CLS 安全性认证2026-06-04
点击查看完整报告 >

使用说明

核心用法

openclaw-audit-watchdog 是一款面向 OpenClaw 代理的自动化安全审计工具,通过创建无人值守的 cron 任务实现每日定时扫描。核心工作流包括:

1. 双模式审计:执行标准审计 (openclaw security audit --json) 与深度审计 (--deep --json),覆盖 12-20+ 项安全检查
2. 智能报告生成:自动汇总关键/警告/信息级发现,附带 checkId、标题及单行修复建议
3. 多渠道投递:通过 DM(Telegram/Slack 等)推送主报告,可选邮件副本(需显式配置 PROMPTSEC_EMAIL_TO

安装支持两种模式:捆绑于 ClawSec Suite(推荐,路径 ~/.openclaw/skills/)或独立部署。MDM 友好型设计支持纯环境变量驱动配置,零交互即可完成初始化。

显著优点

  • 生产级自动化:默认每日 23:00 运行,支持自定义 CRON 表达式(如 0 */6 * * * 每6小时)
  • 防御式抑制机制:双因子激活(CLI 标志 --enable-suppressions + 配置文件 "enabledFor": ["audit"]),避免误过滤
  • 多层级配置:4 级配置解析(显式参数 → 环境变量 → ~/.openclaw/security-audit.json.clawsec/allowlist.json
  • 幂等更新:自动检测同名任务并更新,避免重复创建
  • 多环境标识:通过 PROMPTSEC_HOST_LABEL 区分 dev/prod 等场景,报告头清晰标注来源主机

潜在局限与风险

| 维度 | 说明 |
|------|------|
| **依赖链** | 强依赖 `openclaw`、`node`、`bash` 运行时,任一缺失导致任务失败 |
| **邮件可靠性** | 邮件投递依赖本地 sendmail 或 SMTP 中继配置,若双路径均失败仅记录备注而非告警 |
| **权限风险** | 配置文件权限若过宽(如非 `chmod 600`),敏感抑制规则可能被篡改 |
| **时区误配** | 未正确设置 `PROMPTSEC_TZ` 可能导致非预期时段执行,影响业务低峰期策略 |
| **抑制滥用** | 尽管有双因子保护,长期累积的 suppressions 可能掩盖真实风险,需定期审计 |

适合人群

  • DevOps/SRE 工程师:需为生产集群建立标准化安全基线监控
  • 安全运营团队:希望将 OpenClaw 发现集成至现有告警通道(Telegram/Slack)
  • 合规管理员:需留存结构化审计日志以满足 SOC2/ISO27001 等审计追溯要求

常规风险提示

  • 非修复型工具:报告仅建议修复方案,不会自动执行 --fix,需人工确认后处理
  • 环境变量注入:MDM 部署时注意路径展开规则,避免单引号导致 $HOME 字面量目录创建失败
  • SMTP 凭证:若使用 SMTP 中继,建议通过专用只读 secret 注入而非明文环境变量
  • 版本锁定:建议固定 version: 0.1.4 或启用 PROMPTSEC_GIT_PULL=1 时配合完整性校验

安全解读

核心功能

openclaw-audit-watchdog 是一款面向 OpenClaw 生态的自动化安全审计工具,专注于创建无人值守的每日安全扫描任务。该 Skill 通过 openclaw cron 建立定时作业,在每天 23:00(可自定义)自动执行标准与深度两层安全审计,生成包含关键/警告/信息三级风险分类的结构化报告,并通过即时通讯(DM)与可选邮件双通道推送。

显著优点

深度防御设计:采用 CLI 标志 + 配置文件 sentinel 的双层权限检查机制管理风险抑制规则,避免误操作导致的安全盲区。

灵活交付体系:支持 Telegram、Slack 等主流 IM 渠道的直接消息推送,同时保留 SMTP 邮件作为可选备份通道,满足不同组织的通知偏好。

MDM 友好部署:完整的环境变量驱动模式,支持零交互自动化安装,适合大规模服务器集群的统一配置管理。

智能去重更新:自动检测现有定时任务并执行增量更新,避免重复创建导致调度混乱。

潜在局限

外部依赖较重:必须预装 openclaw CLI、node 运行时及 bash,在精简容器环境中可能增加镜像体积。

SMTP 安全限制:当前邮件发送仅支持本地 sendmail 或无认证 SMTP 中继,缺乏原生 TLS/SSL 与 SMTP AUTH 支持,企业级邮件网关集成存在门槛。

抑制配置风险:虽然双层检查机制降低了误用概率,但配置文件若被恶意篡改仍可能导致特定风险被静默忽略。

适合人群

  • 运维工程师与 DevSecOps 团队,需要跨服务器安全态势的可视化监控
  • 中小规模技术团队,缺乏专职安全运营人员,需要低维护成本的自动化方案
  • 已有 OpenClaw 生态部署的组织,希望扩展安全审计能力的现有用户

常规风险

命令执行暴露:核心功能依赖 openclaw security audit 外部命令执行,需确保二进制文件来源可信且未被替换。

网络外发控制:SMTP 报告功能涉及审计数据外发,建议在隔离网络环境或配置严格的外发白名单。

配置权限管理:抑制配置文件存储用户主目录,需确保 ~/.openclaw/security-audit.json 权限设置为 600,防止其他用户读取或篡改。

securityauditautomationcronmonitoringcompliancereportingalerting

openclaw-audit-watchdog 内容

examples文件夹
scripts文件夹
手动下载zip · 29.3 kB
README.mdtext/markdown
请选择文件